Sinds de AVG in 2018 van kracht is geworden heeft de Autoriteit Persoonsgegevens (AP) inmiddels ruim 3 miljoen euro aan boetes opgelegd. De boetes zijn opgelegd aan vijf bedrijven en organisaties die de AVG hebben overtreden. Tot voor kort was een boetebedrag van 2,3 miljoen euro bekend, want de rechter had bepaald dat één van de boetes buiten de publiciteit moest blijven. “Nu ons wordt gevraagd hoeveel boetes er zijn opgelegd, vinden wij dat we ook die vijfde zaak moeten noemen”, aldus een woordvoerder. Eerder berichtten we op deze site al over de toename in het aantal privacyklachten in 2019. Van de 27.800 binnengekomen klachten zijn er in 2019 ongeveer 20.700 afgehandeld, wat neerkomt op 67% van de klachten. In 2018 werd nog maar 56% afgehandeld. Er is sprake van een significante stijging van afgehandelde klachten, maar volgens Wolfsen zijn ‘klachten nog steeds langer in behandeling dan wij wenselijk vinden’. Het geringe percentage afgehandelde klachten, alsmede het lage aantal uitgeschreven boetes doen vermoeden dat de AP op dit moment niet veel meer is dan een tandeloos monster.
De boetes
De eerste boete die de AP uitdeelde was voor vervoersbedrijf Uber. Dit bedrijf kreeg in 2018 een boete van 600.000 euro opgelegd voor het overtreden van de meldplicht datalekken. In 2016 heeft bij Uber een datalek plaatsgevonden waarbij onbevoegden toegang kregen tot persoonsgegevens van zowel klanten als chauffeurs. Het Uber-concern had de AP en de betrokkenen binnen 72 uur na het ontdekken van het lek moeten informeren. Wereldwijd werden er circa 57 miljoen Uber-gebruikers getroffen, onder wie ongeveer 174.000 Nederlanders. De gelekte informatie betrof persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs. Vervolgens kreeg het HagaZiekenhuis in Den Haag een boete van 460.000 euro voor het onvoldoende beveiligen van persoonsgegevens. De boete werd opgelegd nadat bleek dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden gezien. Om de beveiliging van patiëntendossiers te verbeteren legde de AP het Hagaziekenhuis ook een dwangsom op. De beveiliging moest voor 2 oktober 2019 verbeterd zijn. Als die niet het geval was geweest had het ziekenhuis elke twee weken 100.000 euro moeten betalen, met een maximum van 300.000 euro. In maart van dit jaar werd de volgende boete van 525.000 euro opgelegd aan de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) voor het verkopen van persoonsgegevens. De KNLTB had onrechtmatig tegen betaling persoonsgegevens van een paar honderdduizend van zijn leden verstrekt aan een aantal sponsoren. Persoonsgegevens zoals naam, geslacht en adres werden doorverkocht, zodat sponsoren een selectie van de KNLTB-leden konden benaderen met tennisgerelateerde en andere aanbiedingen. Onlangs werd door de AP aangekondigd dat een vierde bedrijf een boete opgelegd heeft gekregen van 725.000 euro. In deze zaak bepaalde de rechter dat de naam van het bedrijf onbekend moest blijven, maar maakte de AP het boetebedrag en de reden voor de boete wel openbaar. Werknemers moesten bij dit bedrijf hun vingerafdrukken laten scannen voor aanwezigheids- en tijdsregistratie. De AP concludeerde dat het bedrijf geen vingerafdrukken had mogen verwerken, omdat het bedrijf zich niet kan beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens.
En nu geeft de AP dus aan nog een vijfde boete te hebben uitgeschreven aan een onbekend bedrijf. Bedrijven of organisaties kunnen de rechter vragen om geheimhouding van een opgelegde boete, bijvoorbeeld als het bekend worden ervan schade kan berokkenen aan het bedrijf. Volgens de woordvoerder lopen er nog meer boetezaken, maar kunnen die door hoger beroep van de beboete organisaties nog niet bekend gemaakt worden. Voorzitter van de AP Aleid Wolfsen geeft aan tevreden te zijn over het effect van de AVG en de handhaving hiervan, maar hij geeft tegelijkertijd aan ook mensen tekort te komen. De AP groeide van 70 voltijdsbanen in 2016 naar 190 voltijdsbanen in 2020.