https://staging.ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Cyber/europe-3256079_1920_(1).jpg

3 jaar AVG: een overzicht van de boetes van de Autoriteit Persoonsgegevens tot nu toe

25 mei '21

Inclusief relevante rechtspraak over het commercieel belang en verwerking van persoonsgegevens buiten de EER

Drie jaar na de inwerkingtreding van de AVG (per 25-05-2018) leek het ons aardig eens terug te blikken. De Autoriteit Persoonsgegevens (“AP”) is inmiddels op dreef met het opleggen van boetes voor het overtreden van de privacywet. Zo is recentelijk aan diverse partijen, zoals het OLVG, Booking.com, de gemeente Enschede, PVV Overijssel, LocateFamily.com en de CP&A een boete opgelegd en de boetes lopen aardig op. Daarnaast zien wij steeds meer gerechtelijke procedures over de AVG.

De boetes zijn opgelegd om uiteenlopende redenen. Wij vonden het tijd voor een overzicht. En nog belangrijker, welke voorlopige conclusies kunnen we hieruit trekken? Naast het geven van een overzicht van de tot nu toe opgelegde boetes, besteden wij nog aandacht aan twee recente ontwikkelingen op het gebied van marketing en privacy en de verwerking van persoonsgegevens door entiteiten buiten de EU (of feitelijk: de EER).

Overzicht boetes tot op heden

2018

2019

  • Uit onderzoek van de AP bleek dat 85 medewerkers van het HagaZiekenhuis de medische gegevens van een bekende Nederlander hadden ingezien zonder dat sprake was van een zorg- of behandelrelatie. Er was sprake van onvoldoende beveiliging en hier werd een boete van 460.000 euro en een last onder dwangsom opgelegd om te zorgen dat het HagaZiekenhuis de beveiliging spoedig zou verbeteren. Tweefactor-authenticatie en het controleren van logbestanden (inzage) werd noodzakelijk bevonden (Haga beboet voor onvoldoende interne beveiliging patiëntendossiers | Autoriteit Persoonsgegevens).

2020

2021

Twee relevante ontwikkelingen in de rechtspraak

  • Naast de gepubliceerde boetes noemen wij nog twee ontwikkelingen van de afgelopen tijd, die zeer relevant zijn voor de praktijk. Allereerst de zaak VoetbalTV, over een videoplatform met 520.000 gebruikers. Dit platform heeft volgens de AP persoonsgegevens verwerkt zonder rechtmatige grondslag en om die reden is een boete van 575.000 euro opgelegd. De rechtbank overwoog echter in 2020 dat de AP een te strenge toepassing hanteert en veegt de boete geheel van tafel. De AP vond dat een commercieel belang geen ‘gerechtvaardigd belang’ kon zijn in de zin van de AVG, maar de rechtbank was het daar niet mee eens. De AP had dan ook verder moeten toetsen of de verwerking geoorloofd was (http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBMNE:2020:5111). Zie ook ons eerdere blog over dit onderwerp, geschreven vóór de uitspraak van de rechtbank: Autoriteit Persoonsgegevens (te?) streng over gerechtvaardigd belang en marketing? | Ploum Rotterdam Law Firm.
  • Daarnaast is door het Schrems II arrest op Europees niveau komen vast te staan dat bij het doorgeven van gegevens aan derde landen grote oplettendheid is vereist. In dit arrest heeft het Hof van Justitie het Privacy Shield, op basis waarvan persoonsgegevens vanuit de EU konden worden doorgegeven aan de VS, ongeldig verklaard. De tevens veelgebruikte Europese Modelcontracten (Standard Contractual Clauses,SCC’s”) voor de uitwisseling van persoonsgegevens met derde landen kunnen een passende waarborg bieden, aldus het Hof van Justitie. Echter, bij het gebruik hiervan dient wel te worden nagegaan in hoeverre deze afspraken kunnen worden nagekomen en kunnen aanvullende maatregelen zijn vereist (ECLI:EU:C:2020:559; Het Hof verklaart besluit 2016/1250 betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig (europa.eu)). Er wordt intussen aan een nieuwe versie van de SCC’s gewerkt, die binnen afzienbare tijd wordt verwacht. Zie voor veelgestelde vragen over dit onderwerp: edpb_faqs_schrems_ii_202007_adopted_nl.pdf (europa.eu) of mail naar privacy@ploum.nl voor meer informatie. 

Lessons learned

Ondanks het prille bestaan, heeft de AVG ons de afgelopen 3 jaar veel stof tot nadenken gegeven. De AP zal vermoedelijk steeds vaker van zich laten horen en we weten inmiddels ook dat het kan lonen om tegen een opgelegde boete op te treden. Tot nu toe valt te concluderen dat veel belang wordt gehecht aan het treffen van passende beveiligingsmaatregelen, zoals tweefactor-authenticatie, logging en controle daarvan, maar denk bijvoorbeeld ook aan passende afspraken in (arbeids-)overeenkomsten. Bovendien dienen betrokkenen hun rechten onder de AVG zonder opgeworpen drempels te kunnen uitoefenen en dienen datalekken tijdig te worden gemeld.

Let op bij het verwerken van bijzondere persoonsgegevens (o.a. van werknemers), verwerk niet meer persoonsgegevens dan noodzakelijk en onderneem actie met betrekking tot gegevensverwerkingen buiten de EU (EER). De doorgifte van persoonsgegevens aan derde landen zal de komende periode de nodige aandacht (blijven) vergen. Meer algemeen verwachten wij dat de functie van de AVG – en daarbij de handhaving van de AP en invulling van bepaalde normen door de rechter – de aankomende jaren alleen maar nog bepalender zullen worden. Bekijk drie jaar na dato dan ook nog eens met een frisse blik uw verwerkingsregister, privacy policy’s, beveiligingsmaatregelen (incl. handhaving daarvan) en uw overeenkomsten met betrekking tot de verwerking van persoonsgegevens.

Hulp nodig?

Heeft u hulp nodig bij het herzien van uw beleidsdocumenten of andere vragen over de verwerking van persoonsgegevens? Neem contact op met Nina Witt (n.witt@ploum.nl) of mail naar privacy@ploum.nl, dan nemen wij z.s.m. contact met u op.

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

{/exp:user:register}

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.