In de aanloop naar de Algemene Verordening Gegevensbescherming ("AVG") is heel Europa door privacy-specialisten bang gemaakt voor de boetes die potentieel enorm zouden zijn. Bedrijven, overheidsinstellingen en zelfs sportverenigingen zetten zich aan intensieve implementatietrajecten. Bij het 1-jarig jubileum van de AVG bliezen de onheilsprofeten minder hoog van de toren. De autoriteiten bleken terughoudend met het opleggen van boetes. Ondanks de lange voorbereidingsperiode werd organisaties de tijd gegund om zaken op orde te stellen. De boetebeleidsregels die de Nederlandse Autoriteit Persoonsgegevens ("AP") uitvaardigde, stelden ook enigszins gerust. Relativering was dus op zijn plaats.
Hoewel het nog steeds niet de verwachting is dat de AP uit de heup zal gaan schieten, blijkt sinds begin juli dat privacyregels wel degelijk serieus dienen te worden genomen. British Airways kreeg van de Britse privacy-waakhond ICO een boete opgelegd van maar liefst 183 miljoen Britse pond wegens een groot datalek die het gevolg was van slechte beveiliging. De AP legde het HAGA-ziekenhuis een boete van € 460.000,- op als gevolg van de "Barbie-rel".
British Airways
Op 8 juli bracht de ICO het nieuws naar buiten dat zij British Airways een boete heeft opgelegd van 183 miljoen Britse pond. Dit naar aanleiding van beveiligingsincident waarbij bezoekers naar een frauduleuze website werden geleid. Het incident heeft de persoonsgegevens van een half miljoen klanten getroffen. Uit onderzoek van de ICO is gebleken dat het lek is veroorzaakt door slechte beveiliging binnen het bedrijf.
Indien de AP dit incident zou hebben onderzocht, lijkt het dat zij op basis van haar boetebeleidsregels een boete van 'slechts' € 120.000,- tot € 500.000,- (met als basisboete € 310.000,) op had kunnen leggen, tenzij er sprake zou zijn van uitzonderlijke omstandigheden waardoor de boete niet als passend zou kunnen worden gezien. De overtreding valt immers binnen de tweede bandbreedte van artikel 2 van de boeterichtlijnen.
De kans is groot dat de grootte van British Airways heeft meegespeeld met de vaststelling van het boetebedrag. Echter, in het licht van de Nederlandse richtlijnen is de gegeven boete nog steeds een fors bedrag.
Marriott
Ook internationale hotelketen Marriott heeft een fikse boete ontvangen van de ICO. De ICO heeft een boete opgelegd van bijna 100 miljoen Britse pond - eveneens voor een beveiligingsincident. Het incident, welke vermoedelijk van 2014 tot 2018 heeft geduurd, heeft de persoonsgegevens van ruim 339 miljoen mensen geraakt.
Ook hier is de boete een stuk hoger dan wanneer de boete zou zijn uitgedeeld op basis van de boetebeleidsregels van de AP.
De Barbie-rel
Ook in Nederland worden langzaamaan boetes uitgedeeld. Op 16 juli 2019 publiceerde de AP dat zij vorige maand een boete van € 460.000,- aan het HagaZiekenhuis heeft opgelegd, omdat zij de dossiers van haar patiënten onvoldoende heeft beschermd. Al eerder bleek dat het ziekenhuis haar beveiliging niet op orde had, toen naar buiten kwam dat tientallen medewerkers onterecht inzage hadden in het patiëntendossier van reality-tvster Barbie. Het ziekenhuis moet er in elk geval voor zorgen dat:
- Er regelmatig gecontroleerd wordt wie welk dossier raadpleegt; en
- Er tenminste gebruik wordt gemaakt van twee-factor authenticatie.
Het HagaZiekenhuis heeft inmiddels laten weten tegen de boete in beroep te gaan.
Wat staat ons nog te wachten
Er zullen ongetwijfeld meer boetes volgen. Het is daarbij interessant om te zien wat landen om ons heen doen.
Zo is in België onlangs een boete opgelegd aan een natuurlijk persoon - een burgermeester - omdat hij persoonsgegevens zou hebben gebruikt voor verkiezingsdoeleinden, terwijl hij deze gegevens uit hoofde van zijn ambt had verkregen.
Ook in Duitsland en Oostenrijk kunnen natuurlijke personen boetes ontvangen voor het overtreden van privacywetgeving. Zo is het gebruik van dashcams op openbare wegen niet toegestaan. Het gebruik ervan heeft reeds geleid tot boetes.
Zo blijkt dus wel dat ondanks dat er 1 verordening is, de situatie per land erg uiteen kan lopen.
In de aanloop naar de Algemene Verordening Gegevensbescherming ("AVG") is heel Europa door privacy-specialisten bang gemaakt voor de boetes die potentieel enorm zouden zijn. Bedrijven, overheidsinstellingen en zelfs sportverenigingen zetten zich aan intensieve implementatietrajecten. Bij het 1-jarig jubileum van de AVG bliezen de onheilsprofeten minder hoog van de toren. De autoriteiten bleken terughoudend met het opleggen van boetes. Ondanks de lange voorbereidingsperiode werd organisaties de tijd gegund om zaken op orde te stellen. De boetebeleidsregels die de Nederlandse Autoriteit Persoonsgegevens ("AP") uitvaardigde, stelden ook enigszins gerust. Relativering was dus op zijn plaats.
Hoewel het nog steeds niet de verwachting is dat de AP uit de heup zal gaan schieten, blijkt sinds begin juli dat privacyregels wel degelijk serieus dienen te worden genomen. British Airways kreeg van de Britse privacy-waakhond ICO een boete opgelegd van maar liefst 183 miljoen Britse pond wegens een groot datalek die het gevolg was van slechte beveiliging. De AP legde het HAGA-ziekenhuis een boete van € 460.000,- op als gevolg van de "Barbie-rel".
British Airways
Op 8 juli bracht de ICO het nieuws naar buiten dat zij British Airways een boete heeft opgelegd van 183 miljoen Britse pond. Dit naar aanleiding van beveiligingsincident waarbij bezoekers naar een frauduleuze website werden geleid. Het incident heeft de persoonsgegevens van een half miljoen klanten getroffen. Uit onderzoek van de ICO is gebleken dat het lek is veroorzaakt door slechte beveiliging binnen het bedrijf.
Indien de AP dit incident zou hebben onderzocht, lijkt het dat zij op basis van haar boetebeleidsregels een boete van 'slechts' € 120.000,- tot € 500.000,- (met als basisboete € 310.000,) op had kunnen leggen, tenzij er sprake zou zijn van uitzonderlijke omstandigheden waardoor de boete niet als passend zou kunnen worden gezien. De overtreding valt immers binnen de tweede bandbreedte van artikel 2 van de boeterichtlijnen.
De kans is groot dat de grootte van British Airways heeft meegespeeld met de vaststelling van het boetebedrag. Echter, in het licht van de Nederlandse richtlijnen is de gegeven boete nog steeds een fors bedrag.
Marriott
Ook internationale hotelketen Marriott heeft een fikse boete ontvangen van de ICO. De ICO heeft een boete opgelegd van bijna 100 miljoen Britse pond - eveneens voor een beveiligingsincident. Het incident, welke vermoedelijk van 2014 tot 2018 heeft geduurd, heeft de persoonsgegevens van ruim 339 miljoen mensen geraakt.
Ook hier is de boete een stuk hoger dan wanneer de boete zou zijn uitgedeeld op basis van de boetebeleidsregels van de AP.
De Barbie-rel
Ook in Nederland worden langzaamaan boetes uitgedeeld. Op 16 juli 2019 publiceerde de AP dat zij vorige maand een boete van € 460.000,- aan het HagaZiekenhuis heeft opgelegd, omdat zij de dossiers van haar patiënten onvoldoende heeft beschermd. Al eerder bleek dat het ziekenhuis haar beveiliging niet op orde had, toen naar buiten kwam dat tientallen medewerkers onterecht inzage hadden in het patiëntendossier van reality-tvster Barbie. Het ziekenhuis moet er in elk geval voor zorgen dat:
- Er regelmatig gecontroleerd wordt wie welk dossier raadpleegt; en
- Er tenminste gebruik wordt gemaakt van twee-factor authenticatie.
Het HagaZiekenhuis heeft inmiddels laten weten tegen de boete in beroep te gaan.
Wat staat ons nog te wachten
Er zullen ongetwijfeld meer boetes volgen. Het is daarbij interessant om te zien wat landen om ons heen doen.
Zo is in België onlangs een boete opgelegd aan een natuurlijk persoon - een burgermeester - omdat hij persoonsgegevens zou hebben gebruikt voor verkiezingsdoeleinden, terwijl hij deze gegevens uit hoofde van zijn ambt had verkregen.
Ook in Duitsland en Oostenrijk kunnen natuurlijke personen boetes ontvangen voor het overtreden van privacywetgeving. Zo is het gebruik van dashcams op openbare wegen niet toegestaan. Het gebruik ervan heeft reeds geleid tot boetes.
Zo blijkt dus wel dat ondanks dat er 1 verordening is, de situatie per land erg uiteen kan lopen.