AVG valkuilen in de praktijk

Privacy is een onderwerp dat dagelijks het nieuws haalt, vaak door berichten over gevoelige datalekken, hacks of torenhoge boetes voor bedrijven. Voor ondernemers is het cruciaal om te weten hoe deze risico’s en valkuilen te vermijden zijn. In deze blog bespreken we verschillende actualiteiten omtrent de Algemene Verordening Gegevensbescherming (‘’AVG’’).

De DPIA

De Autoriteit Persoonsgegevens (‘AP’)  heeft de gemeente Eindhoven op haar vingers getikt in april 2024. De AP heeft in ieder geval haar toezicht op Eindhoven geïntensiveerd vanwege zorgen over privacy verplichtingen, zoals het niet tijdig melden van datalekken én het ontbreken van verplichte Data Privacy Impact Assessments (‘DPIA’s). Het intensieve toezicht werd ingesteld  omdat eerdere verbeterplannen van de gemeente onvoldoende bleken.

Cookies

Op 16 juli 2024 kreeg A.S. Watson Health & Beauty Continental Europe B.V. (het moederbedrijf van Kruidvat) een boete van €600.000,- van de AP. De reden was het gebruik van tracking cookies zonder geldige toestemming van websitebezoekers. De cookiebanner op kruidvat.nl had vooraf aangevinkte vakjes, wat volgens de AP in strijd was met de AVG, die een actieve handeling vereist. Opvallend is dat de boete pas na vier jaar werd opgelegd vanwege capaciteitsgebrek bij de AP. AS Watson heeft bezwaar gemaakt tegen deze boete. Wordt vervolgd!

Rechten van betrokkenen

Het is belangrijk dat uw organisatie op de juiste manier omgaat met rechten van betrokkenen. Zoals recentelijk bleek in een zaak tegen Twitter/X kan het niet voldoen aan een inzageverzoek een bedrijf erg duur komen te staan. In deze zaak was het voor de gebruiker niet duidelijk hoe zijn persoonsgegevens waren verwerkt. De rechter oordeelde dat hij recht had op inzage in de geautomatiseerde besluitvorming, zeker omdat er aanzienlijke gevolgen voor de gebruiker bestonden. Twitter werd daarom verplicht alsnog volledig aan het inzageverzoek te voldoen, op straffe van een dwangsom van €4.000,- per dag.

Schadevergoeding, boetes en sancties

De AP heeft wederom een boete opgelegd aan Uber. Deze keer een boete van 290 miljoen euro wegens het onrechtmatig doorgeven van persoonsgegevens van Europese taxichauffeurs naar de Verenigde Staten. Uber beschermde deze gegevens onvoldoende, hetgeen in strijd is met de AVG. Het ging om gevoelige informatie zoals locatie- en betaalgegevens, taxilicenties en soms zelfs medische en strafrechtelijke gegevens. Uber heeft deze overtreding inmiddels beëindigd. De boete volgt op klachten van Franse chauffeurs en is afgestemd met andere Europese toezichthouders. Uber heeft aangekondigd bezwaar te maken tegen de boete. Het is al de derde boete voor Uber in Europa.

Wilt u weten hoe uw organisatie zich kan behoeden voor deze valkuilen? The Legal Company organiseert op 10 oktober a.s. een ontbijtsessie: Actualiteiten AVG & privacyrecht waarin u wordt bijgepraat over de AVG en privacyrecht actualiteiten zodat u actie kan ondernemen om de organisatie compliant te houden! Meld u aan via info@thelegalcompany.nl of bel naar 020 345 0152.