Overtreedt een organisatie de privacywetgeving? Dan kan de Autoriteit Persoonsgegevens (AP) hiertegen optreden. De meest voorkomende sanctie? Een geldboete. In het afgelopen halfjaar werden 5 boetes opgelegd en openbaar gemaakt. Vooral de Belastingdienst kreeg het zwaar te verduren….

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of tot 4% van de wereldwijde jaaromzet. Het geld uit de boetes wordt geïnd door het Centraal Justitieel Incassobureau.

Nog niet alle boetes die de AP uitdeelde, zijn openbaar gemaakt. In het afgelopen halfjaar werden er 5 wel openbaar gemaakt. Deze zijn uitgedeeld aan:

  • Belastingdienst - 3,7 miljoen euro én 2,75 miljoen euro;

  • DPG Media – 525.000 euro;

  • Ministerie van Buitenlandse Zaken – 565.000 euro; en,

  • Transavia – 400.000 euro.

Hieronder een korte toelichting per organisatie.

Handig!

Onder elke casus hebben we een kopje ‘lessons learned’ opgenomen. Op die manier kunt u dergelijke fouten binnen uw organisatie hopelijk voorkomen.

Belastingdienst voor meer dan 6 miljoen euro beboet

In de afgelopen zes maanden kreeg de Belastingdienst maar liefst 2 boetes van de AP. Een paar weken geleden ontving de Belastingdienst een boete van 3,7 miljoen euro voor het jarenlang illegaal verwerken van persoonsgegevens in een eigen zwarte lijst.

Het betreft de Fraude Signalering Voorziening (FSV), een lijst waarop de Belastingdienst signalen van fraude bijhield.

Wat ging er mis?

Heel veel, maar 3 van de belangrijkste missers staan hieronder opgesomd.

  • Er bestond geen wettelijke basis (grondslag) voor het verwerken van de persoonsgegevens op de lijst. Zonder zo’n AVG-grondslag is het verwerken van persoonsgegevens verboden.

  • Persoonsgegevens klopten niet, waardoor mensen onterecht aangemerkt waren als mogelijke fraudeur.

  • De beveiliging van de lijst was niet goed geregeld.

Dit is overigens de hoogste boete die de AP ooit heeft opgelegd. Dit komt omdat de rechten van een grote groep mensen over een lange periode zijn geschonden. Met ongekende gevolgen voor sommige betrokkenen.

De tweede boete kreeg de Belastingdienst eind 2021.

Reden?

De Belastingdienst verwerkte jarenlang de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag op onrechtmatige en discriminerende wijze.

Dubbele nationaliteit speelt namelijk geen rol bij het beoordelen van een aanvraag voor kinderopvangtoeslag. Toch bewaarde en gebruikte de Belastingdienst deze gegevens.

Lessons learned

Wat kunt u leren van deze boetes?

  1. Verwerk persoonsgegevens enkel met een rechtmatige grondslag, zoals beschreven in de AVG.

  2. Zorg dat de persoonsgegevens die u verwerkt kloppen én dat de beveiliging op orde is.

  3. Verwerk alleen strikt noodzakelijke persoonsgegevens. Bewaar en verwerk geen onnodige persoonsgegevens.

DPG Media bestraft voor te veel persoonsgegevens opvragen

DPG Media ontving onlangs een boete van ruim een half miljoen euro. Tot voor kort schond zij namelijk de AVG.

Hoe?

Door te veel persoonsgegevens op te vragen van mensen die hun persoonsgegevens wilden laten verwijderen of inzage wilden in hun gegevens. Deze mensen moesten eerst hun identiteitsbewijs uploaden én werden er niet op gewezen dat zij bepaalde gegevens mochten afschermen (zoals het BSN-nummer).

Een te zwaar middel om iemand te identificeren, zo concludeerde de AP. Volgens de AP had DPG een betrokkene zoveel mogelijk primair aan de hand van persoonsgegevens die DPG al had verwerkt moeten identificeren. Denk aan een abonnee-/klantnummer in combinatie met een naam of e-mailadres.

Lessons learned

Belangrijk voor u om zich te realiseren:

  • Vraag nooit teveel persoonsgegevens op en probeer een kopie van het ID opvragen te voorkomen.

  • Is een kopie van het ID echt noodzakelijk? Zorg dan dat niet relevante gegevens worden afgeschermd én let erop dat de security rondom de verwerking waterdicht is.

  • Maak het wissen of inzien van persoonsgegevens niet onnodig ingewikkeld. Daarmee schendt u namelijk AVG-regels.

Ministerie van Buitenlandse Zaken heeft de beveiliging niet op orde

Vorige maand ontving het ministerie van Buitenlandse Zaken een boete van 565.000 euro. De visumaanvragen die het ministerie de afgelopen jaren heeft verwerkt, zijn allemaal onvoldoende beveiligd.

Problematisch, want het gaat bij dit type verwerking om gevoelige informatie als vingerafdrukken.

Doordat de beveiliging onvoldoende op orde was, bestond het risico dat onbevoegden zich toegang konden verlenen tot de data.

Lessons learned

Belangrijkste les uit deze casus is het belang van passende beveiliging bij het type persoonsgegevens dat u verwerkt.

Ingewikkelde materie, want wat is passend?

Daarom hebben we hierover eerder al de blog geschreven ‘Passende beveiliging volgens de AVG: wat houdt het nu écht in?

Slecht wachtwoord én succesvolle hackpoging leveren Transavia hoge boete op

De Autoriteit Persoonsgegevens heeft Transavia een hoge boete opgelegd.

Reden?

Slecht beveiligde persoonsgegevens, die in 2019 werden ingezien en gedownload door een hacker. Dankzij een wachtwoord in de categorie ‘welkom123’, heeft de hacker niet veel moeite hoeven doen...

Lessons learned

Net als bij de casus van het Ministerie van Buitenlandse Zaken geldt ook hier: zorg dat u de beveiliging op orde hebt.

Een complex wachtwoord dat met enige regelmaat opnieuw moet worden ingesteld, is een logische maatregel. Uit de casus van Transavia blijkt echter maar weer hoe makkelijk het mis kan gaan….

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.