
De belangrijkste sancties van de AP zijn de (bestuurlijke) ‘boete’ en de ‘last onder dwangsom’. De AP heeft sinds de invoering van de AVG gebruik gemaakt van zowel de boete als de last onder dwangsom. Hieronder volgt een weergave van de boetes die de AP tot nu toe heeft opgelegd en openbaar heeft gemaakt:
Boete BKR voor kosten bij inzage:
Inzage in persoonsgegevens over kredietregistraties dient kosteloos en eenvoudig te zijn. Stichting BKR wierp te hoge drempels op voor inzage van de persoonsgegevens. De AP heeft op 30 juli 2019 een boete opgelegd aan BKR van 830.000,- euro.
BKR is in beroep gegaan bij de rechter. Een definitief oordeel volgt nog.
Boete bedrijf voor vingerafdrukken personeel:
Werknemers hebben hun vingerafdrukken moeten laten scannen voor aanwezigheids- en tijdsregistratie. Deze verwerking van de bijzondere persoonsgegevens was onrechtmatig, omdat er geen beroep kon worden gedaan op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. De AP heeft op 4 december 2019 een boete opgelegd aan de organisatie van 725.000,- euro.
De organisatie is in bezwaar gegaan tegen het besluit van de AP. Een definitief oordeel volgt nog.
Boete KNLTB voor verkoop ledengegevens:
De Koninklijke Nederlandse Lawn Tennisbond (KNLTB) heeft in 2018 onrechtmatig tegen betaling persoonsgegevens van een paar honderdduizend leden verstrekt aan twee sponsoren. De KNLTB vindt dat zij een gerechtvaardigd belang – zoals bedoeld in artikel 6, lid 1 onder f AVG – hebben. De AP oordeelt dat er geen sprake is van gerechtvaardigd belang en dat de KNLTB dus geen rechtmatige grondslag heeft om de persoonsgegevens te verkopen aan sponsoren. De AP heeft op 20 december 2019 een boete opgelegd aan de KNLTB van 525.000,- euro.
De KNLTB is in bezwaar gegaan tegen het besluit van de AP. Een definitief oordeel volgt nog.
Boete HagaZiekenhuis voor slechte beveiliging patiëntendossiers:
Het HagaZiekenhuis heeft de interne beveiliging van patiëntendossiers niet op orde: er zijn op twee onderdelen niet voldoende beveiligingsmaatregelen genomen. De relatie tussen een zorgverlener en een patiënt dient volstrekt vertrouwelijk te zijn. Zelfs binnen een ziekenhuis. Tientallen medewerkers van het HagaZiekenhuis hebben onrechtmatig het medisch dossier van een bekende Nederlander ingezien. De AP heeft op 18 juni 2019 een boete opgelegd aan het HagaZiekenhuis van 460.000,- euro. Daarnaast heeft de AP een last onder dwangsom opgelegd op de voortdurende overtreding (lees: niet voldoen aan een afdoende beveiligingsstandaard). De voortdurende overtreding dient binnen vijftien weken beëindigd te zijn. Zo niet, dan volgt iedere twee weken na afloop van de termijn een dwangsom van 100.000,- euro tot een maximumbedrag van in totaal 300.000,- euro.
Het HagaZiekenhuis is in bezwaar gegaan tegen het besluit van de AP. Op 15 januari 2020 heeft de AP geconcludeerd dat het HagaZiekenhuis de nodige beveiligingsmaatregelen heeft genomen, waardoor de last onder dwangsom verdwijnt. De boete van 460.000,- euro blijft staan. Tegen het besluit van de AP staan nog rechtsmiddelen open. Een definitief oordeel volgt nog.
Boete Uber voor te laat melden datalek:
Wereldwijd werden ruim 57 miljoen Uber-gebruikers getroffen doordat onbevoegden toegang tot hun persoonsgegevens kregen. Uber B.V. en Uber Technologies, Inc (UTI) hebben dit datalek niet tijdig binnen 72 uur na het ontdekken van het lek aan de AP gemeld. De AP heeft op 6 november 2018 een boete opgelegd aan Uber van 600.000,- euro.
Uber heeft geen gebruik gemaakt van de mogelijkheid om in bezwaar te gaan. Hiermee is het besluit van de AP een definitief oordeel.
Naast de boetes die zijn opgelegd, heeft de AP bij diverse organisaties een last onder dwangsom opgelegd, omdat zij de AVG overtreden. De dwangsom heeft als doel om de overtredingen van de AVG voor een bepaald termijn te laten stoppen. Indien dat niet het geval is, dan dient de organisatie de dwangsom te betalen.
Auteur: Nicky van Tongeren