Let op

Wij ondersteunen geen Internet Explorer. Gebruik alstublieft een andere compatible browser voor de beste gebruikerservaring.

Waar handhaaft de AP zoal op en waar deelt zij boetes voor uit?

Voor de komende jaren staat dat in een door de AP opgestelde Focus 2020-2023 bijlage. Kort gezegd zal de AP de komende jaren vooral aandacht gaan besteden aan (grootschalige) datahandel en het omgaan met de digitale overheid, Artificiële Intelligentie en algoritmes.
De afgelopen tijd heb je in de media waarschijnlijk al veel vaker dan voor mei 2018 zaken over Privacy voorbij zien komen. Daarbij valt ook op dat het aantal klachten van mensen over inbreuk op hun Privacy toeneemt. Ruim 15.000 mensen hebben het eerste half jaar van 2019 een klacht ingediend bij de AP. Zij krijgen bijvoorbeeld ondanks verzoek daartoe geen inzage in hun persoonsgegevens of hun gegevens worden ondanks een verzoek daartoe niet verwijderd. Dit speelt zowel bij grote zakelijke dienstverleners zoals energieleveranciers, als in de detailhandel.
Dat betekent dat je als ondernemer dus goed moet weten welke gegevens je van personen verwerkt en hoe je met zo’n verzoek om inzage in persoonsgegevens die je verwerkt, of de verwijdering daarvan als dat wordt verzocht, omgaat. En niet alleen jij, maar ook je medewerkers moeten weten wie zo’n verzoek afhandelt binnen jouw bedrijf.

Wat voor boetes legt de AP op als niet aan de eisen van de AVG wordt voldaan?

Recent heeft de AP aan VGZ en Menzis een ‘last onder dwangsom’ opgelegd, dat wil zeggen dat de dwangsom moet worden betaald als binnen een bepaalde periode niet alsnog aan de eisen van de AVG wordt voldaan. Die last onder dwangsom werd opgelegd omdat zowel VGZ als Menzis onzorgvuldig met medische gegevens van hun klanten waren omgegaan. Het autorisatiebeleid was niet op orde, zodat bijvoorbeeld ook marketingmedewerkers onterecht toegang hadden tot gezondheids-gegevens van verzekerden. Omdat Menzis niet op tijd had gezorgd dat haar systeem werd aangepast om die ongeautoriseerde toegang tot persoonsgegevens verder te voorkomen heeft de AP bij Menzis een dwangsom van 50.000 euro geïncasseerd.

Het HAGA-Ziekenhuis in Den Haag heeft bijvoorbeeld een boete van 460.000 euro opgelegd gekregen omdat ongeveer alle ziekenhuismedewerkers, ook van afdelingen die daarmee niets te maken hadden, toegang hadden tot de medische gegevens van soap-ster Samantha de Jong (beter bekend als Barbie). Dat gebeurde in 2018. In 2019 raakte het HAGA Ziekenhuis opnieuw in opspraak. Een medewerker van het ziekenhuis gebruikte de achterzijde van een A4-tje met medische gegevens van patiënten als boodschappenlijstje en liet dat vervolgens in een winkelwagentje in de supermarkt liggen.  De medewerker is inmiddels ontslagen.

Het loont dus om te zorgen dat je privacybeleid op orde is. Weet welke persoonsgegevens van wie (klanten, medewerkers, bezoekers van je website) je verwerkt, doe dat zorgvuldig (niet meer gegevens dan nodig, hou bij wat je verwerkt in een register), sluit overeenkomsten met verwerkers als je persoonsgegevens in jouw opdracht door een ander laat verwerken, zorg dat je beveiliging en autorisatiebeleid op orde is en zorg voor een datalekprotocol.

Heb je hier hulp bij nodig, of wil je dat JAN© meekijkt en oplossingen aanreikt,

neem dan contact op met Fleur van Tol (088 2204238 of fleurvantol@jan.nl).