Autoriteit Persoonsgegevens ondernam vorig jaar 1180 keer actie tegen bedrijven

De Autoriteit Persoonsgegevens heeft in 2019 1180 keer actie ondernomen richting een organisatie met een datalek. De privacytoezichthouder kreeg in dat jaar 27.000 meldingen over datalekken. Ook startte de toezichthouder 110 keer een onderzoek.

Als de Nederlandse privacytoezichthouder het heeft over 'een actie ondernemen' bedoelt de AP ook zaken zoals nabellen van het bedrijf voor verdere informatie, of een brief sturen met verdere uitleg over de privacyregels. Vaak is dat voldoende voor een bedrijf om zich aan de privacywet te houden, schrijft de toezichthouder in zijn jaarverslag.

De AP kreeg in 2019 bijna 27.000 datalekmeldingen binnen. Dat is een stijging van 29 procent ten opzichte van het jaar ervoor. De AP besloot in 1180 gevallen verder actie te ondernemen. Ook behandelde de AP 70 klachten over datalekken die niet gemeld werden.

De AP startte vorig jaar in totaal 110 officiële onderzoeken. In het merendeel daarvan, 103 keer, ging het om een mogelijke overtreding zoals de niet-gemelde datalekken of andere AVG-overtredingen. In zeven gevallen bekeek de AP of een hele sector voldeed aan eisen. Als voorbeeld noemt de AP een onderzoek naar hoe politieke partijen omgaan met persoonsgegevens door aan microtargeting te doen. Veel van de onderzoeken lopen nog steeds.

De AP deelde in 2019 vier AVG-boetes uit. Die waren samen goed voor 2.540.000 euro. Het ging om een boete voor het Haga Ziekenhuis waar medewerkers onterecht bij medische dossiers konden, en voor de tennisbond Knltb. Twee boetes zijn nog niet openbaar gemaakt. De bedrijven hebben de bedragen overigens nog niet betaald omdat er nog bezwaarprocedures lopen. Het boetebedrag gaat niet naar de AP zelf, maar naar de Nederlandse staatskas.

De AP zegt dat de onderzoeken en boetes vooral betrekking hebben op de aandachtsgebieden die het eerder als prioriteit heeft gesteld. Dat zijn datahandel, dataverzameling bij de overheid, en kunstmatige intelligentie. Ook het komende jaar verwacht de toezichthouder daar extra aandacht aan te geven.

De toezichthouder waarschuwt in het jaarverslag opnieuw dat het te weinig medewerkers heeft om zijn taken uit te voeren. De AP luidt de noodklok over onderbezetting al jaren. Door het gebrek aan budget kunnen niet alle klachten worden afgehandeld. Volgend jaar wil de AP groeien naar bijna twee keer zoveel werknemers.

Door Tijs Hofmans

Nieuwscoördinator

01-07-2020 • 16:44

27

Lees meer

Reacties (27)

Sorteer op:

Weergave:

Het is belangrijk dat het AP kan meegroeien met de huidige manier waarop wij met zijn allen omgaan met onze data. Wij hebben dagelijks vertrouwen in 10-100den bedrijven dat onze gegevens veilig zijn.

Het AP heeft aan al jaren onderbezet te zijn en een tekort te hebben aan medewerkers. Ik mag hopen dat we met zijn allen bereid zijn om de waakhond van onze privacy genoeg geld willen geven om ook daadwerkelijk effectief te zijn. We hebben gezien dat de acties die het AP kan nemen en dat deze acties impact gigantische impact kunnen hebben voor een bedrijf. Na mijn mening staat deze impact, zij het gigantisch voor een bedrijf(zoals de tennisbond), niet in het verlengde van de impact voor iedere individu waarbij de privacy geschonden word.

Het is goed om te lezen dat het AP alsnog daadkrachtig op treed, ondanks dat er een structureel medewerkers tekort heerst.
Ik mag hopen dat we met zijn allen bereid zijn om de waakhond van onze privacy genoeg geld willen geven om ook daadwerkelijk effectief te zijn.
Burgers wel... maar het bedrijfsleven is er iets minder enthousiast over. Daar wordt de AP al snel als een vervelende bemoeial gezien die het werk moeilijk maakt. Ik kan me niet anders voorstellen dat er vanuit die hoek wordt gelobbyed om uitbreiding van de AP tegen te gaan.
Ik denk dat het ooit wel omslaat als bedrijven zien dat ze hun concurrenten kunnen naaien door zelf alles goed te doen en dan te gaan klagen bij de AP.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 16:42]

De politiek zal ook niet staan te springen gezien de bezuinigingen op andere controle autoriteiten van de afgelopen 10 jaar.
De politiek zal ook niet staan te springen gezien de bezuinigingen op andere controle autoriteiten van de afgelopen 10 jaar.
Eigenlijk wil de politiek zelf niks. De politiek vertegenwoordigd belangen in de maatschappij.
Soms zijn dat de belangen van "het volk", soms zijn dat de belangen van "het bedrijfsleven".
Politici kunnen van alles willen, zonder maar steun krijgen ze niks gedaan.

Of die steun altijd op eerlijke manier wordt verkegen of dat het misschien enorm uit balans is door de vele lobbyisten is een ander verhaal.

We hebben de afgelopen jaren rechtse kabinetten gehad en die laten zich over het algemeen meer sturen door het bedijfsleven. Dus wat dat betreft heb je wel gelijk dat we in een periode zit waarin toezicht op bedrijven wordt teruggeschroef (en burgers steeds strenger worden gecontroleerd, maar dat is wederom een ander verhaal).
Het is bijzonder dat het bedrijfsleven de instelling heeft dat de privacy en gegevens van hun klanten er wettelijk niet toe doen.

Ik snap dat er heel veel geld verdient kan worden in het grijze gebied net buiten de wetgeving en dat er dus ook flink gelobbyed word.
Dat is denk ik iets te kort door de bocht.
Ik ben in de overtuiging (misschien naïef) dat het merendeel van de bedrijven gewoon hun werk willen doen. Al 'die regeltjes' zijn natuurlijk wel heel veel gedoe voor bedrijven waar ze eigenlijk helemaal niet mee bezig willen zijn, maar komen er gewoon bij.

De loodgieter, scheepsbouwer, fastfoodpizzatoko, grafisch vormgever enz. enz. moeten zich aan heel veel privacyregels houden, terwijl zij gewoon wil doen waar ze goed in zijn. Niet alle bedrijven die persoonsgegevens verwerken, willen er iets anders mee doen, dan domweg een factuurtje en een kerstkaart kunnen sturen.

Begrijp me niet verkeerd. Ik vind het goed dat die regels er zijn. Helaas zijn ze noodzakelijk omdat er (veel?) bedrijven en overheden zijn die zich blijkbaar 'niet netjes/degelijk' kunnen gedragen als het gaat om privacygerelateerde zaken, maar het maakt het voor de welwillende bedrijven wel lastig.
Er zullen best veel bedrijven zijn die zich gewoon aan de ongeschreven regels zouden houden zonder dat er een wet zou zijn. Maar helaas zijn er gewoon te veel mensen en bedrijven die verkeerd willen doen. Daarom hebben we helaas wetten nodig waar meestal de onschuldige mensen ook de dupe van zijn. En dat is niet alleen met dingen zoals dit maar met alle dingen.

Ik denk dat sommige dingen ook beter aangepakt kunnen worden waardoor voor de mensen dingen makkelijker zou kunnen worden op dit vlak. De dingen waar ik aan denk:

1: de voorwaarden moeten altijd makkelijk te vinden zijn, ook na acceptatie. Dit kan voor websites bijvoorbeeld verplicht altijd op een standaard lokatie te vinden. Bijvoorbeeld door gebruik maken van de standaard subdomein voorwaarden.tweakers.net of www.tweakers.net/voorwaarden.

2: compleet bovenaan de voorwaarden melden dat er gegevens verzameld wordt en of gelijk uitleggen of een goede verwijzing naar waar je het kan vinden. Dan heb je dus geen last dat je halverwege de voorwaarden in slaap gevallen ben proberen te zoeken naar of er gegevens verzameld wordt.
Wat ik al zei. Ik vind het goed dat de regels er zijn, noodzakelijk zelfs. Ik reageerde meer op hoe er werd gesuggereerd dat 'het bedrijfsleven' als doel lijkt te hebben om op een kwaadaardige manier maling te hebben aan onze privacy.

Uiteraard zijn er 'valse bedrijven' maar mijn gevoel zegt dat het overgrote merendeel geen foute bedoelingen heeft.
Ook zonder foute bedoelingen kan het nog steeds fout gaan, waar een ander er last van heeft.
Hetzij omdat men niet ziet hoe het fout kan gaan vanuit het gezichtpunt van een ander,
hetzij omdat het gewoon geen aandacht krijgt. (het staat gewoon niet op de eigen radar).

Met name het laatste punt is een rijke bron van informatie over derden waar sommige bedrijven graag misbruik van maken.
FB verzameld veel meer informatie dan wat er expliciet op hun (A)social Servers gestald wordt. juist over de rug van hun gebruikers. (die alleen niet door hebben hoever dat gaat).
De AP deelde in 2019 vier AVG-boetes uit. Die waren samen goed voor 2.540.000 euro.
Dat lijkt me vast niet voldoende om die 324fte van te betalen. Als je zoveel personeel nodig hebt dan mag er ook wel iets meer financiële vergoeding uit voort komen.
Dat lijkt me vast niet voldoende om die 324fte van te betalen. Als je zoveel personeel nodig hebt dan mag er ook wel iets meer financiële vergoeding uit voort komen.
Zo werkt het niet, boetes gaan altijd naar de schatkist, niet naar de instantie de boete heeft geind.
Dat zou maar zorgen voor een hoop onterechte boetes van clubjes die meer geld willen.
Je zou ook niet willen dat als er een keer een jaar geen boetes worden geind zo'n tent de deuren moet sluiten. Dan gaan alle overtreders extra hard tegenstribbelen in de hoop dat ze de zaak kunnen uitstellen tot het budget voor vervolging op is.
AuteurTijsZonderH Nieuwscoördinator @CAPSLOCK20001 juli 2020 17:01
In Spanje gebeurt dit overigens wel, daar krijgt de toezichthouder het geld wel.
Gebeurt dit al lang genoeg om te vergelijken of dit een beter resultaat oplevert dan de rest van Europa? (Als in, minder overtredingen cq meer inzet bedrijven om boetes te voorkomen)
In Spanje is sinds intreding AVG minder dan 500k aan boetes uitgedeeld. Lijkt dus nog mee te vallen. Vind de hoogte van de boetes nog redelijk mild. Zeker in vergelijking met Duitsland.

Bron https://www.dailybits.be/...pr-boetes-rechtszaken/#ES
Als dat je instelling is lijkt het me handiger de AP gewoon op te doeken, dan zijn er geen kosten en is het dus 100% gedekt.... |:(
Ik zie de correlatie niet tussen de 324fte en de uiteindelijke boete bedragen.
De primaire taak van het AP is niet het opleggen van boetes maar toezicht houden op de naleving van de regels voor bescherming van persoonsgegevens.

De 'financiële vergoeding' is niet een daadwerkelijke vergoeding. Het is geen maatstaf voor de effectiviteit van het AP
Boetes (of verbeurde dwangsommen) gaan niet naar de AP toe maar komen toe aan de Staat. Dus meer of minder boetes innen maakt niet (direct) iets uit voor de hoeveelheid geld de AP beschikbaar heeft.
27.000 datalekmeldingen
Wat een aantallen en ik weet dat ik zelf minder dan 1% van de gevallen die ik zie heb gemeld en ik denk dat ik daarmee ver boven het gemiddelde zit. In werkelijkheid zal het aantal gevallen dus wel een paar ordes van grote hoger liggen.

Ik kan helaas niet zeggen dat het me verbaast, maar het blijft een beetje schrikken.

Van de andere kant, om het even in context te plaatsen: de politie schrijft per dag ongeveer evenveel bekeuringen uit als het aantal meldingen dat het AP in een heel jaar binnen krijgt.
Het is wel zo dat het domein waarop bekeuren betrekking heeft, dagelijks gedeeld wordt door 18 miljoen mensen die qua bewegingen natuurlijk heel erg anders bewegen dan een statisch programma/server/bedrijf.

Daarnaast heeft de politie 63778 fte, waarbij het AP momenteel op 180 fte zit. Gigantisch verschil en eigenlijks niet in contexten te vergelijken
Het is wel zo dat het domein waarop bekeuren betrekking heeft, dagelijks gedeeld wordt door 18 miljoen mensen die qua bewegingen natuurlijk heel erg anders bewegen dan een statisch programma/server/bedrijf.

Daarnaast heeft de politie 63778 fte, waarbij het AP momenteel op 180 fte zit. Gigantisch verschil en eigenlijks niet in contexten te vergelijken
Je hebt gelijk hoor, het is een heel andere orde van grote. Ik probeer niet te zeggen dat de AP lui is ofzo, integendeel. Ik kwam met de vergelijking omdat het lekken van persoonsgegevens ongeveer de nieuwe verkeersovertreding is. We hebben er allemaal dagelijks mee te maken. Als we het zelf niet doen zien wel iemand anders z'n auto 1cm over de lijn parkeren. De meeste overtredeningen zijn piepklein en die worden niet gemeld of vervolgd.

Tegenwoordig zitten die miljoenen Nederlanders niet alleen iedere dag in de auto, maar ook iedere dag op internet en heel wat uren meer dan ze in de auto zitten. Ik zie internet dus nog wel eens een grotere bron van overtredingen worden dan het verkeer. Maar goed, de politie doet natuurlijk ook internetzaken en de AP gaat alleen over persoonsgegevens.
Edit: cijfers zijn heel wat anders dan ik denk na lezen bron, artikel is weer lekker volledig en voorzien van context.

[Reactie gewijzigd door Cio op 23 juli 2024 16:42]

Het is natuurlijk niet zo dat 27000x een melding is gedaan met voldoende aanleiding om een onderzoek te starten. Ik kan me daarna ook nog voorstellen dat voordat je als medewerker ook daadwerkelijk een bedrijf gaat benaderen omdat ze de wet overtreden, je eerst een uitgebreid onderzoek naar het lek start. Het is niet 'melding->telefoon pakken om contact te zoeken'
Daar zit een behoorlijk stuk onderzoek tussen waarbij data vergaard word en dit naast een wettelijke maatstaf gelegd word.
Edit: cijfers zijn heel wat anders dan ik denk na lezen bron, artikel is weer lekker volledig en voorzien van context.

[Reactie gewijzigd door Cio op 23 juli 2024 16:42]

Veel fouten zijn ook geen belletje "dit mag niet" waard en hoeven ook niet gecontroleerd te worden. Bijvoorbeeld als door een persoonlijke fout een enkele email met gevoelige informatie naar de verkeerde persoon wordt gestuurd en een bedrijf daar melding van maakt. Het bedrijf dat de melding maakt doet die melding omdat ze weten dat het niet mag maar een fout maken kan altijd.
1180 keer contact zoeken n.a.v. 27000 meldingen met 324 fte?
Die getallen zijn natuurlijk zeer incompleet. Als er over 300 bedrijven 80 meldingen zijn gemaakt per bedrijf zit je al op 24000. Uiteraard zal dit in de praktijk nergens op slaan, maar je kan ook niet zeggen of het een goede score is of niet.

Ik kan me zo voorstellen dat als ze 10 keer dezelfde melding krijgen, dat ze dan niet 10 keer gaan bellen met dat bedrijf :)
Edit: cijfers zijn heel wat anders dan ik denk na lezen bron, artikel is weer lekker volledig en voorzien van context.

[Reactie gewijzigd door Cio op 23 juli 2024 16:42]

Na het lezen van de bron zal ik het werk van Tijs overnemen |:( en de cijfers duiden met wat citaten:
Organisaties die een ernstig datalek hebben, moeten dit melden bij de AP. In 2019 is het aantal datalekmeldingen bij de AP, [...] gestegen tot bijna 27.000 meldingen. Wij hebben in 2019 ruim 8.600 meldingen beoordeeld [...] Daarnaast behandelden wij klachten over niet-gemelde datalekken. Dit resulteerde in 70 interventies richting organisaties.
Kortom, dit artikel gaat over meldingen van organisaties zelf. De cijfers van de klachten, ofwel mensen die zelf klagen over het gebruik/lekken van hun gegevens, zijn wat minder informatief.
De AP heeft in 2019 in totaal 27.854 klachten ontvangen [...] De AP handelde in 2019 20.700 klachten af, zowel uit 2019 als nog uit 2018.

Op dit item kan niet meer gereageerd worden.