Één jaar AVG (GDPR): een overzicht van de meest opvallende boetes

Joël van Vugt
Begin vorig jaar kon geen bedrijf eromheen: de AVG komt eraan. De nieuwe privacywet was al in 2016 ingevoerd, maar zou vanaf 25 mei pas worden gehandhaafd. Het leidde tot soms opzienbarende taferelen waarin bedrijven geen verjaardagskaarten durfden rond te sturen, kerken niet meer voor de zieken wilden bidden en bedrijven zich afvroegen hoe ze in vredesnaam aan de wet moesten voldoen. De perfecte anti-climax volgde toen de verantwoordelijke minister Dekker vlak voor 25 mei verkondigde dat alleen grote bedrijven de AP op hun dak zouden krijgen. Tenminste, gedurende het eerste jaar.

Uiteraard heeft de toezichthouder zich daar netjes aan gehouden. Geen MKB’er kreeg afgelopen jaar een boete. Toch betekent dat niet dat ze het hele jaar kruiswoordpuzzels hebben gemaakt. Er waren namelijk wel degelijk enorme boetes vanwege privacyschendingen. Wij maakten een overzicht van de meest opzienbarende. Zowel in Nederland, als in Europa.

Nederland

1. Dwangsom voor het UWV

Er is in Nederland één instantie die beschikt over vrijwel alle gegevens van alle Nederlanders. Een enorme monopolist die alles bepaalt: dat is de Nederlandse overheid. Vanzelfsprekend moeten de mega-instanties die de gegevens beheren aan de hoogste normen voldoen. Anders leidt dat tot vermindering van het vertrouwen dat burgers hebben in de instanties en ondermijnd het ook de wetgeving ten opzichte van commerciële bedrijven. Het is dus eigenlijk heel logisch dat het UWV het eerste ‘slachtoffer’ is van de AVG.

De dwangsom werd opgelegd vanwege een gebrekkige beveiliging van het systeem waarin ondermeer ziekteverzuimgegevens worden ingevoerd van medewerkers. Het is uiteraard niet de bedoeling dat jan-en-alleman hierin kan grasduinen. Dat kon gelukkig ook niet, maar aangezien er slechts sprake was van een enkelvoudige beveiliging (wachtwoord en gebruikersnaam), vond de AP dat die onder de maat was. De norm voor een dergelijk register is namelijk two-factor-authentication, waarbij je bijvoorbeeld ook nog een code moet invoeren die je via je telefoon ontvangt.

2. De politie onder vuur

Het is al langer een grote rommel bij de nationale politie. Het is dan ook niet verrassend dat ook de AP de politie figuurlijk op de korrel heeft. Bij een eerdere controle in 2015 bleek al dat politieagenten vrijwel geen enkele beperking hadden bij het inzien van gegevens via het informatiesysteem. Hiermee kunnen niet alleen gegevens van Nederlanders worden opgevraagd, maar ook van andere landen uit het Schengengebied. Er kwamen maar liefst vijf kwetsbaarheden aan het licht, waarvoor de politie een dwangsom kreeg opgelegd.

Na het verlopen van de termijn bleek er nog steeds geen werkend logsysteem te zijn, waarbij kan worden bijgehouden wie welke gegevens heeft bekeken. Simpel werk dus voor iedere politiemol die bij wil klussen. Het gevolg was een boete van € 40.000,- en een nog veel diepgravender onderzoek naar de verwerking van privacygegevens bij de politie.

3. Overige activiteiten AP

Behalve het opleggen van boetes, deed het AP nog meer. Bij vrijwel alle grote bedrijven en instellingen, zoals ziekenhuizen, werd gecontroleerd of er een functionaris voor de gegevensbescherming (FG) is aangesteld en of er een verwerkingsregister aanwezig is. Bij vier procent bleek dit niet zo te zijn. Zij kregen een dringend advies dit zo snel mogelijk te doen. Alleen de eerste maand kwamen er 600 klachten binnen. Die zijn allemaal in behandeling genomen, maar hebben nog niet geleid tot boetes. Waarschijnlijk vooral vanwege de excuusregeling van de minister.

Europa

1. De snelste AVG boete komt uit Portugal

Waar ze in Nederland rustig aan doen met het handhaven van de AVG, daar zijn ze in sommige andere landen niet bepaald terughoudend. In Portugal wilde de toezichthouder een duidelijk statement maken door al na 53 dagen na invoering van de GDPR een boete van liefst € 400.000,- op te leggen aan een ziekenhuis.

Nu was daar ook wel het nodige aan de hand. Het ziekenhuis lag al jaren onder vuur vanwege herhaaldelijke privacyschendingen. Toen de toezichthouder er achter kwam dat persoonsgevoelige patiëntengegevens door maar liefst 1.000 mensen in te zien waren, was de maat vol. Het ziekenhuis telt namelijk maar 296 artsen.

2. Uber onder vuur

De hoofdprijs voor meeste privacyboetes voor één overtreding is voor Uber. De online taximaatschappij kreeg boetes in zowel Nederland, Groot-Brittannië als Frankrijk voor een enorme datalek. Die vond in 2016 plaats, maar Uber vond het pas in 2017 nodig om er over te berichten. Dat was veel te laat en leidde tot boetes van € 600.000,- in Nederland, 385.000 pond in Engeland en € 400.000,- in Frankrijk. Geen bedragen waar men bij Uber van wakker ligt, maar dat komt vooral omdat deze boetes werden opgelegd onder de oude wetgeving. Bij een nieuwe overtreding onder de GDPR zullen de boetes in de tientallen miljoenen lopen.

3. 50 miljoen boete voor Google

De bedenkers van de GDPR zullen eind januari ongetwijfeld een fles champagne hebben ontkurkt. De Fransen legden toen hun eerste GDPR-boete op: 50 miljoen euro voor Google. De reden voor de boete was een breed gedragen klacht van 12.000 mensen over de inzichtelijkheid van hun persoonsgegevens. Zij vonden dat Google veel te vaag was over welke gegevens de zoekmachine bewaart en hoe die vervolgens voor marketingdoeleinden gebruikt worden. Ook was het erg lastig om de informatie te vinden en stond deze verspreid over veel verschillende documenten. De toezichthouder ging hierin mee en legde de boete op. Google overweegt nog om in hoger beroep te gaan tegen de uitspraak.

Verwachting komend jaar

Het eerste jaar van de AVG kun je het beste omschrijven als ‘rustig proefdraaien’. Zowel voor Nederland, als voor de rest van de EU. In een overzicht van de opgelegde boetes kun je vooral terugzien dat de hoogte van de boete vooral voor grote bedrijven enorm verschillend gaat zijn. € 400.000,- voor Uber onder oude regelgeving tegenover 50 miljoen voor Google. Of we dit jaar zulke boetes ook in Nederland kunnen verwachten is de vraag. Wel wordt de messen gescherpt om bedrijven als Facebook, Uber en Google een stuk harder aan te pakken. Gezien de hoogtes van de boetes en de maatschappelijke impact is te verwachten dat de AP zijn beperkte vermogen vooral hierop zal richten en hoeven MKB’ers, mits ze geen rare dingen doen, zich zeker niet druk te maken over de AVG.