Nog amper boetes onder AVG, maar blijft dat ook zo?
Sinds de Algemene verordening gegevensbescherming (AVG) van kracht is, heeft de Autoriteit Persoonsgegevens (AP) pas één boete uitgedeeld. Dat staat in haar jaarverslag over 2018. De AP heeft echter voorgenomen in 2019 strenger te zijn.
De Autoriteit Persoonsgegevens houdt in Nederland toezicht op de AVG, de Europese privacywet die sinds 25 mei 2018 van toepassing is. Onder de AVG (tools) kunnen organisaties veel hogere boetes krijgen voor privacyovertredingen. Organisaties gingen vorig jaar (mede) daarom actief aan de slag om hun privacybeleid in overeenstemming met de AVG te brengen. De AP richtte zich in 2018 met name op voorlichting en advisering. Dat komt ook naar voren uit het jaarverslag (pdf) van de instantie. De handhaving van de AVG met zware middelen was nog beperkt.
Boete en last onder dwangsom voor privacyovertredingen
In het jaarverslag staat dat de Autoriteit Persoonsgegevens één boete heeft opgelegd in 2018. Deze boete (€ 600.000) was voor taxidienst Uber, die zich niet goed aan de regels voor het melden van een datalek had gehouden. Opvallend is dat gister in het nieuws kwam dat ook zorgverzekeraar Menzis een boete heeft moeten betalen in 2018 (€ 50.000). Werknemers hadden toegang gekregen tot medische dossiers, terwijl zij daar niet toe bevoegd waren. Het gaat hier echter waarschijnlijk niet om een boete, maar last onder dwangsom. In het jaarverslag staat namelijk dat er een zogeheten invorderingsbesluit van € 50.000 is genomen over een nog niet bij naam genoemde organisatie. Ook de Nationale Politie kreeg met zo’n invordering te maken (€ 40.000).
AP richt zich in 2019 meer op handhaving privacyregels
Als een organisatie daadwerkelijk een bedrag moet ophoesten voor een privacyovertreding, heeft zij het bont gemaakt. Doorgaans zal een organisatie de kans krijgen om een overtreding te herstellen. In het jaarverslag geeft de AP wel aan steviger op handhaving in te gaan zetten, omdat organisaties inmiddels bekender met de nieuwe privacywet zijn. De vraag is of de instantie daarvoor voldoende capaciteit zal hebben. Als relatief kleine toezichthouder zal de AP zich richten op de sectoren en soorten verwerkingen met de grootste risico’s. De AP benadrukt daarnaast heel blij te zijn met de hulp van de 8.000 functionarissen voor de gegevensbescherming die zich in 2018 bij de autoriteit hebben aangemeld. Onlangs heeft de AP het boetebeleid onder de AVG uitgewerkt en gepubliceerd.