https://staging.ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Privacy/cctv-surveillance-camera-g6f811803a_640_mindere_kwaliteit.jpg

Boetes onder de AVG in 2022

26 jan '23

Auteur(s): Nina Witt & Lars Boer

In het kader van de Europese Dag van de Privacy op 28 januari a.s. en zoals aangekondigd in ons jaaroverzicht Privacyrecht in 2022, hebben wij op een rijtje gezet welke boetes de Autoriteit Persoonsgegevens (AP) het afgelopen jaar heeft opgelegd. In totaal zijn er vier boetebesluiten gepubliceerd. Daarnaast is de AP betrokken geweest bij twee boetes die zijn opgelegd door de Spaanse gegevensbeschermingsautoriteit. Waarom werden deze boetes opgelegd en zien wij overeenkomsten met voorgaande jaren? Wat zijn de belangrijkste takeaways?

Boete voor DPG Media in verband met een kopie ID

Op 14 januari 2022 is door de AP een boete van EUR 525.000 opgelegd aan DPG Media (het bedrijf dat Sanoma overnam), omdat klanten zonder online account een ID-bewijs moesten uploaden om hun rechten met betrekking tot de van hen verwerkte persoonsgegevens (verwijdering, inzage) te mogen uitoefenen. Het verwerken van een kopie van een ID-bewijs kan aanzienlijke privacyrisico’s met zich brengen (zoals identiteitsfraude). Naar het oordeel van de AP moet hiermee terughoudend worden omgegaan en was het in dit geval niet noodzakelijk en ongeoorloofd om een kopie van een ID-bewijs te verlangen.

Hiervoor is niet eerder een boete opgelegd, maar dat zorgvuldig moet worden omgegaan met een kopie ID is niet nieuw. Wanneer betrokkenen op een andere manier geïdentificeerd kunnen worden, bijvoorbeeld door het gebruik van een verificatiemail en/of andere gegevens die al in het bezit van de organisatie zijn, is dat de aangewezen route. Het mag betrokkenen ook niet onnodig moeilijk worden gemaakt om hun rechten onder de AVG uit te oefenen.

Boete voor het ministerie van buitenlandse zaken wegens o.a. gebrekkige beveiliging  

Op 24 februari 2022 kreeg het ministerie van Buitenlandse Zaken een boete van EUR 565.000. De AP heeft deze boete opgelegd omdat het systeem dat het ministerie gebruikte om visumaanvragen te verwerken onvoldoende was beveiligd. Daarnaast verschafte het ministerie onvoldoende informatie aan visumaanvragers over de verwerking van hun persoonsgegevens. Ook heeft de AP een last onder dwangsom opgelegd. Het ministerie diende de beveiliging van haar systemen op orde te krijgen en voldoende informatie aan visumaanvragers te verstrekken. Elke week dat hier niet aan zou worden voldaan zou het ministerie een dwangsom van EUR 50.000 voor de gebrekkige beveiliging en EUR 10.000 voor de gebrekkige informatie verbeuren.

Dat er meer remedies zijn dan alleen het opleggen van boetes is bekend. Wij zagen ook al diverse malen dat boetes worden opgelegd wegens het niet voldoen aan de verplichting onder de AVG om te zorgen voor passende beveiligingsmaatregelen bij de verwerking van persoonsgegevens en een adequate informatievoorziening aan betrokkenen.

Boete voor de Belastingdienst in verband met een zwarte lijst

Op 7 april 2022 is door de AP de hoogste boete tot nu toe (in Nederland) opgelegd. Dit is een boete van EUR 3,7 miljoen, opgelegd aan de Belastingdienst. De boete houdt verband met het op grote schaal jarenlang illegaal verwerken van persoonsgegevens op een zwarte lijst, namelijk de Fraude Signalering Voorziening (FSV). De boete werd opgelegd om diverse redenen:

  • De Belastingdienst had geen wettelijke grondslag voor de verwerking van de persoonsgegevens in de FSV;
  • De persoonsgegevens werden verwerkt voor doeleinden die niet verenigbaar waren met het doeleinde waarvoor de gegevens waren verzameld;
  • De persoonsgegevens die werden verwerkt in verschillende gevallen onjuist waren;
  • Meer persoonsgegevens werden verwerkt dan noodzakelijk;
  • De persoonsgegevens die de Belastingdienst verwerkte onvoldoende werden beveiligd; en
  • Omdat geen adequaat en tijdig advies is ingewonnen bij de Functionaris Gegevensbescherming m.b.t. de uitvoering van de FSV.

De ‘zwarte lijst’ zien wij in de rechtspraak ook wel terug. Er gelden specifieke vereisten om een zodanige lijst bij te kunnen houden en dat vergt een grondige analyse. De boete die hier is opgelegd ziet op het niet voldoen aan belangrijke basisprincipes van de AVG. Hiermee is ook nog eens benadrukt dat het zaak is om tijdig (voorafgaand aan een risicovolle verwerking) advies in te winnen van een FG, privacy officer en/of juridisch dienstverlener. 

Boete aan de korpschef van de politie Rotterdam voor niet toepassen gegevensbeschermingseffectbeoordeling

Aan het eind van het afgelopen jaar, op 17 november 2022, heeft de AP een boete opgelegd aan de korpschef van de politie Rotterdam. Dit omdat de politie Rotterdam auto’s met camera’s heeft ingezet om samenscholing in tijden van corona te bestrijden. Voor de inzet van deze auto’s heeft de politie voorafgaand aan de verwerking geen gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd, terwijl dit wel verplicht was omdat er sprake was van een hoog privacyrisico. Dit o.a. omdat gegevens werden verwerkt met behulp van een nieuwe technologische toepassing en de burgers waarschijnlijk niet zouden weten dat beelden zouden worden verzameld of hoe deze werden gebruikt. Verder werden er volgens de AP ook teveel niet-noodzakelijke beelden verwerkt.

Opvallend is dat de korpschef zelf als verwerkingsverantwoordelijke werd gekwalificeerd en de boete van EUR 50.000 kreeg. Deze boete werd opgelegd in het kader van specifieke wetgeving voor de politie inzake de verwerking van persoonsgegevens, maar een en ander is ook relevant in het kader van de regels die volgen uit de AVG. Hier zagen wij ook zijdelings weer de vraag voorbij komen hoe lang camerabeelden nu daadwerkelijk mogen worden bewaard, waarover bij elke inzet van camera’s goed moet worden nagedacht. Een DPIA is de aangewezen weg.

Boetes opgelegd door de Spaanse gegevensbeschermingsautoriteit

Tot slot is de AP in 2022 ook betrokken geweest bij twee boetes die zijn opgelegd door de Spaanse gegevensbeschermingsautoriteit, omdat er inbreuk gemaakt op de AVG bij de verwerking van persoonsgegevens afkomstig van Nederlandse betrokkenen. De eerste boete van EUR 30.000 werd opgelegd aan een Spaans hotel in verband met – daar is het onderwerp dan toch weer – het gebruik van een foto van het paspoort van hotelbezoekers om gasten te identificeren bij bestellingen. Gasten werden niet geïnformeerd over deze verwerking. Een Nederlandse gast diende hierover een klacht in bij de AP en die achtte de verwerking niet rechtmatig, o.a. vanwege een gebrek aan toestemming en noodzakelijkheid van de verwerking. Het gebruik van het paspoort was ook een te zwaar middel, gasten konden ook op een andere manier worden geïdentificeerd.

De tweede boete in dit kader werd opgelegd aan recruitmentbureau Michael Page. Wederom vanwege (o.a.) het onrechtmatig opvragen van een ID-bewijs bij een verzoek tot inzage in persoonsgegevens door betrokkenen. Ook hier diende een Nederlandse betrokkene een klacht in en dit heeft – ook hier wegens een gebrek aan noodzakelijkheid – geleid tot een boete van EUR 240.000.

Conclusie

In het afgelopen jaar heeft de AP een stuk minder boetes opgelegd dan in de jaren daarvoor (zie bijvoorbeeld ook ons blog over de boetes van de AP in de eerste 3 jaar onder de AVG). Wel zien we dat nog altijd aanzienlijke boetebedragen worden opgelegd en het zou kunnen dat de AP nog hogere boetes zal opleggen in de toekomst, zoals toegelicht in ons eerdere blog. Wie weet ook weer in een hoger tempo. Het blijft dus onverminderd belangrijk om te voldoen aan de AVG, om het risico op (hoge) boetes te vermijden.

Hulp nodig?

Heeft u vragen over het op de juiste manier inrichten van uw (huidige of geplande) verwerkingsactiviteiten? Hulp nodig bij het uitvoeren van een DPIA of uw verwerkingen weer eens onder de loep houden met onze Ploum Privacy Quick Scan? Neem gerust contact met ons op of mail naar privacy@ploum.nl.

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

{/exp:user:register}

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.