Selectietrajecten zonder het uitvoeren van een AVG check komen nog regelmatig voor. Dat begrijpen we uit een rondvraag onder CFO’s, inkopers en softwareleveranciers. Dat kan je organisatie duur komen te staan. Zowel door reputatieschade als door opgelegde boetes.
Wat is het sanctiebeleid van de Autoriteit Persoonsgegevens? Welke boetes worden er uitgedeeld? En welke checks maken in elk geval deel uit van een AVG-proof selectietraject?
De AVG check begint al bij de selectie van bedrijfsapplicaties
De AVG stelt dat een organisatie continu moet voldoet aan de AVG-eisen. Ongeacht of er klachten worden gemeld. Indien vanuit een klachtenmelding of vanuit de eigen meldingsplicht blijkt dat een organisatie schuld heeft aan een overtreding van de AVG zal een sanctie volgen. Schuld is in elk geval aanwezig indien onvoldoende aandacht is gegeven en actie is ondernomen om de AVG na te leven. Dit is al het geval indien geen Data Protection Impact Analyse is uitgevoerd.
De selectie van een bedrijfsapplicatie raakt in de regel de AVG. Immers, de meeste soorten bedrijfsapplicaties verwerken gegevens die onder de bescherming van de AVG vallen. Daarbij komt dat een meerderheid van de applicaties gegevens in de Cloud opslaat. En ook dat is voor de AVG een belangrijk aandachtspunt. Daarom is het vanuit AVG-oogpunt te begrijpen dat het uitvoeren van een AVG-check voorafgaande aan de aanschaf of vervanging van een bedrijfsapplicatie een belangrijke indicatie is voor de schuldvraag bij overtredingen of datalekken. Zoals je hieronder kunt lezen, is al snel sprake van een overtreding van de AVG.
Sanctiebeleid Autoriteit Persoonsgegevens (AP): 4 categorieën overtredingen
De Autoriteit Persoonsgegevens is toezichthouder voor de AVG. Zij kan onderzoeken uitvoeren, klachten afhandelen, boetes opleggen en zelfs verwerkingsprocessen (lees: o.a. het gebruik van software) stopzetten. De EU vereist van de landelijke ingestelde toezichthouders dat zij hun boetebeleid (binnen de begrenzing van de EU-regels) vastleggen. De AP heeft dat begin 2019 gedaan en vier categorieën van overtredingen vastgesteld. Je kunt aan de hand van onderstaande tabel inschatten of jouw organisatie zich zorgen moet maken.
Categorie | Bandbreedte | Basisbedrag boete | Voorbeeld |
---|---|---|---|
1 | € 0 – € 200.000 | € 100.000 |
|
2 | € 120.000 – € 500.000 | € 310.000 |
|
3 | € 300.000 – € 750.000 | € 525.000 |
|
4 | € 450.000 – € 1.000.000 | € 725.000 |
|
Bron: Boetebeleidsregels, Autoriteit Persoonsgegevens
Sancties binnen Nederland en de EU
Na de opstartfase van de AVG in 2018 is in zowel Nederland als in andere EU-landen de handhaving op gang gekomen. Dit is onder andere af te lezen uit de onderstaande sancties (waaronder enkele door buitenlandse toezichthouders opgelegd):
Organisatie |
Boete |
---|---|
Booking.com | € 475.00: te laat melden datalek (31 maart 2021) |
OLVG | € 440.000: slechte beveiliging patiëntendossier (11 februari 2021) |
BKR | € 830.000: voor het rekenen van kosten voor inzage (6 juli 2020) |
KNLTB | € 525.000: voor verkoop van ledengegevens (3 maart 2020) |
Uber | € 600.000: Niet tijdig melden van een datalek. Omdat de gebeurtenis plaatsvond onder het oude wettelijke regime, de Wet bescherming persoonsgegevens (Wbp), heeft de AP een ‘beperkte’ boete opgelegd van 600.000 euro. |
CAIXABANK | € 6.000.000: Spaanse AP legt boete op vanwege het onrechtmatig verwerking (€ 4.000.000) en vanwege het niet informeren van betrokkenen over de verwerking (€ 2.000.000). De Spaanse sancties kennen dus een hoger plafond dan de Nederlandse. |
Belastingdienst | Er is een verwerkingsverbod opgelegd aan de Belastingdienst voor de verwerking van het BSN in het btw-identificatienummer van zelfstandigen. |
HAGA Ziekenhuis | € 460.000: De AP legt haar eerste AVG-boete op aan het HagaZiekenhuis vanwege het onvoldoende implementeren van beveiligingsmaatregelen bij medische gegevens. 85 medewerkers hebben onbevoegd het medisch dossier van een bekende Nederlander ingezien. Dit incident heeft het Haga Ziekenhuis als datalek gemeld. |
Pricewaterhouse Coopers | De Griekse autoriteit heeft PWC een boete van 150.000 euro opgelegd wegens het onrechtmatig verwerken van personeelsgegevens. |
Bron: EU
Uit de voorbeelden spreekt dat er voor een organisatie niet veel nodig is om het boetekleed aan te moeten trekken. Tel daarbij op dat de kans op datalekken en klachten op de verwerken van persoonlijke gegevens groot is. Het is dan ook belangrijk om een effectief AVG beleid te voeren. Of er zo snel als mogelijk voor te zorgen. Het doorlopen van een selectie- en implementatietraject zonder uitvoering van daarbij behorende AVG-checks zal in elk geval het idee oproepen dat sprake is van grove nalatigheid dan wel verwijtbare onkunde.
AVG checklist
Zoals eerder aangegeven is de aanwezigheid van een effectief AVG-beleid een basisvoorwaarde. Hiervoor hebben we eerder een stappenplan aangereikt.
Een belangrijk onderdeel hiervan is een checklist met minimaal te beoordelen of uit te voeren maatregelen. Deze omvat:
- Privacy-beleid
- Gegevensbeveiligingsbeleid
- Meldingsprocedure datalekken
- Verantwoordelijke functionaris
- Verwerkingsregister (met wat, waarom, risico’s)
- Privacy by design & default (voor verwerkingsprocessen)
- Periodieke Data Protection Impact Analysis
- Procedure voor Informeren van betrokken over verwerking
- Procedure voor verschaffing informatie (verschaffingsplicht)
- Verwerkingsovereenkomsten (opslag bij en verwerking door derden)
Het toetsen, beoordelen en vastleggen van te nemen maatregelen biedt je de mogelijkheid om gestructureerd en serieus invulling te geven aan de wettelijke verplichtingen.
Is jouw organisatie al AGV-proof?
Het AGV-proof worden is geen makkelijke opgave. Het vraagt om voldoende kennis en een brede betrokkenheid binnen de organisatie. Het belang is echter groot. Bescherming van persoonsgegevens en privacy is een actueel en beladen onderwerp. Zowel voor mensen binnen als buiten je organisatie. De maatschappelijke verantwoordelijkheid is net als de aandacht vanuit de (EU-)wetgever groot.
Zaak dus om dit goed geregeld te hebben. Twijfel je over de situatie binnen je eigen organisatie of heb je behoefte aan ondersteuning, neem dan gerust contact op met één van onze kennispartners.
Wim Vriend
Kennispartner