Het is alweer drie jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. De toezichthouders van de AVG en de Europese- en nationale wetgevers zitten niet stil. Als bedrijf is het goed om op de hoogte te zijn van de juridische ontwikkelingen in 2021 in de handhaving van de AVG, zodat u daarop kunt anticiperen.

Meer budget voor AP voor handhaving

Vanwege een groeiend aantal privacyklachten en gemelde datalekken is er meer budget nodig voor de afhandeling en handhaving. Vanaf 2025 krijgt de Autoriteit Persoonsgegevens (AP) daarom structureel 8 miljoen euro meer budget. Dat volgt uit het regeerakkoord en de bijbehorende budgettaire bijlage. In 2022 zal het budget nog hetzelfde zijn als in 2021. Ondanks het tekort aan budget, zijn er in 2021 toch een elftal boetes gepubliceerd.

Overzicht boetebesluiten 2021

Hieronder een overzicht van een aantal van de boetes die de AP heeft uitgedeeld in 2021. Daarbij valt op dat steeds kleinere organisaties beboet worden.

Transavia

Bij Transavia kreeg een hacker toegang tot de systemen van Transavia en daarmee tot de persoonsgegevens van 25 miljoen mensen. Dit was vanwege het slecht beveiligen van deze persoonsgegevens door Transavia. De hacker downloadde de gegevens van ruim 83.000 mensen. De AP oordeelde dat Transavia geen passende maatregelen had getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen en ontving een boete van € 400.000,-.

Booking.com

Bij Booking.com hadden criminelen toegang tot de persoonsgegevens van zo’n 4000 klanten. Daarbij waren ook de creditcardgegevens van 283 mensen ingezien. Booking.com meldde dit datalek 22 dagen te laat (wettelijke termijn is 72 uur) en ontving daarom een boete van € 475.000,-.

PVV Overijssel

De PVV Overijssel heeft in een e-mailbericht over een achterbanbijeenkomst 101 geadresseerden aangeduid als ‘vrienden van de PVV’. Deze e-mailadressen waren zichtbaar voor alle genodigden. Een politieke opvatting van die 101 personen werd op deze manier gedeeld. Dat is een meldplichtig datalek en daarom werd een boete opgelegd van € 7.500,-. In principe is deze boete € 525.000,-, maar door de beperkte financiële middelen van de PVV is de boete gematigd.

Gemeente Enschede

De gemeente Enschede maakte gebruik van wifitracking. Op die manier wilde zij de drukte in de binnenstad meten, door middel van meetkastjes werden de wifisignalen opgepakt en geregistreerd met een code. Daardoor was het tevens mogelijk om mensen in de binnenstad te volgen. Door de AP werd geoordeeld dat er geen noodzaak was om deze mensen te volgen. De privacy van de burgers was niet goed gewaarborgd en de gemeente Enschede ontving daarom € 600.000,- boete van de AP.

TikTok

Bij het installeren en gebruik van de app TikTok werd informatie over gegevensverwerking verstrekt in het Engels. Deze informatie is daarom niet goed te begrijpen voor kinderen. TikTok had de privacyverklaring ook in het Nederlands moeten aanbieden. Het vereiste hierbij is namelijk dat het voor de betrokkene duidelijk moet zijn wat er met zijn/haar persoonsgegevens gebeurt. Aan dit vereiste werd niet voldaan door TikTok en werd hen een boete van € 750.000,- opgelegd.

Wat is een datalek?

Op het moment dat er een incident rondom persoonsgegevens is, moet dit verder worden gekwalificeerd om te kunnen bepalen wat de verplichte vervolgacties zijn.

Een incident wordt gekwalificeerd als: ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Er is niet alleen sprake van een datalek bij een inbraak in een databestand (zoals bij hacken). Ook het kwijtraken van een USB-stick, een gestolen laptop of een vergeten laptop in de trein kunnen datalekken veroorzaken (maar niet persé).

Stappenplan datalek

Wanneer een ondernemer erachter komt dat er sprake is van een incident rondom persoonsgegevens, is het van groot belang om de volgende stappen te nemen:

1. Kwalificeren of het incident een datalek is of een bagatel, (zo nee dan registeren in incidentenregister en ervan leren als organisatie) zo ja dan;
2. Kwalificeren of het datalek gemeld moet worden bij de AP, en zo ja dan de volgende stappen nemen;
3. Bij AP meldplicht het meldingsformulier van de AP websitegebruiken en zorgen dit binnen 72 uur gebeurt en mocht dit niet lukken, een verklaring erbij geven omtrent de vertraging van de melding;
4. Kwalificeren of het datalek óók gemeld moet worden bij de betrokken personen wiens gegevens zijn betrokken (dit is bijv. niet nodig als er maatregelen zijn getroffen waardoor de persoonsgegevens onbegrijpelijk blijven voor onbevoegden zoals versleuteling) en zo ja;
5. De betrokkene(n) op de hoogte te stellen van de eventuele inbreuk op zijn of haar rechten en vrijheden;
6. In alle gevallen als verwerkingsverantwoordelijke alle incidenten documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen, ongeacht of het incident een datalek is, dat moet worden gemeld aan de AP en/of betrokkenen.

Boeterisico’s

Bij het niet tijdig of onjuist melden kan de AP een boete opleggen, oplopend tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet (per overtreding). De AP houdt bij het opleggen van boetes rekening met onder andere de aard, de ernst, de mate van verwijtbaarheid, nalatigheid en de duur van de inbreuk.

Conclusie

Bovenstaande geeft aan dat het voor ondernemers belangrijk is om te weten dat het voorkomen, maar ook het adequaat kwalificeren en afhandelen van datalekken intern goed en snel moeten worden opgepakt. Binnen de organisatie moet ervoor gezorgd worden dat de beveiliging op orde is en dat er een intern privacybeleid met o.a. een datalekprotocol is. Daar hoort bij dat de medewerkers goed op de hoogte worden gebracht van het bestaan van dit beleid en daarover zijn geïnstrueerd. Deze maatregelen en processen moeten bovendien periodiek worden beoordeeld op de geschiktheid ervan.

Heeft u nog géén intern privacybeleid met een datalek protocol, dan is het géén overbodige luxe om dat te regelen. U bent bij de privacyjuristen van The Legal Company aan het juiste adres. Mail ons nu voor het regelen van die documentatie of als u een vraag heeft over een datalek.

Niets is zo veranderlijk als wet- en regelgeving. Graag wijzen wij u er op dat onze blogs mogelijk niet meer aansluiten op de huidige wet- en regelgeving en dus mogelijk verouderd zijn. Heeft u vragen of een probleem dat betrekking heeft op deze blog of u wenst rechtsbijstand, neem u dan contact met ons op.