Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Twee jaar AVG

Het tweede jaar, met de eerste boetes

Eindelijk boetes

Wolfsen heeft al meerdere malen gezegd dat boetes ‘er nu echt aan komen’. Al twee jaar voordat de AVG in werking trad en Wolfsen net aan het roer stond was dat hét ding dat de AVG zou veranderen ten opzichte van de toen bestaande Wet Bescherming Persoonsgegevens. Met de AVG kreeg de waakhond eindelijk tanden, voorspelde Wolfsen. Een jaar na de inwerkingtreding was er nog geen enkele boete uitgeschreven. Inmiddels is dat anders. De lijst met wapenfeiten is kort, maar krachtig.

Haga Ziekenhuis: slechte toegang tot patiëntdossiers
Het Haagse Haga Ziekenhuis kreeg in juli van vorig jaar de eerste AVG-boete opgelegd. Het ziekenhuis moest 460.000 euro betalen nadat de toegangsbeveiliging van patiëntendossiers niet voldoende bleek te zijn. Zo werden de toegangslogs niet regelmatig bekeken, en zat er geen tweestapsverificatie op de toegang.

Het ziekenhuis ging later in beroep. Dat deed het niet tegen de boete op zich, maar tegen de hoogte ervan.

Kntlb beboet voor direct marketing
In maart van dit jaar gaf de AP een boete van 525.000 euro aan de Koninklijke Nederlandse Lawn Tennisbond (Knltb). Die had gegevens van leden verkocht aan sponsoren, die de data vervolgens gebruikten voor direct marketing.

Onbekend bedrijf verzamelt vingerafdrukken
De hoogste boete tot nu toe was voor rekening van een niet nader genoemd bedrijf dat de vingerafdrukken van medewerkers verzamelde. De naam van het bedrijf is niet bekend; het had aan de rechter gevraagd anoniem te blijven. Het bedrijf stelde dat werknemers niet verplicht waren hun vingerafdruk af te staan, maar zij zeiden zelf dat er zo'n grote druk op hen werd gelegd dat het daar feitelijk wel op neerkwam.

Wolfsen noemt ook nog een boete bij Uber en een last onder dwangsom bij zorgverzekeraars als AVG-wapenfeiten, maar dat klopt niet helemaal. Zowel de Uber-boete als de voorwaardelijke boete voor de zorgverzekeraars vond plaats voor overtredingen onder de Wet Bescherming Persoonsgegevens, de voorloper van de AVG. Wel werd die last onder dwangsom in het afgelopen jaar verbeurd.

Te streng, of niet streng genoeg

Lang luidde de kritiek op de Autoriteit Persoonsgegevens dat hij niet streng genoeg optrad. Het was een waakhond zonder tanden, hij zou veel blaffen maar niet bijten. Maar inmiddels lijkt de AP juist de andere kant op te zijn gegaan. Sommige uitspraken en boetes van de toezichthouder blijken juist gebaseerd op een erg strenge interpretatie van de wet. Neem de beruchte boete van de Knltb. Die is met 525.000 euro de op een na hoogste die in Nederland werd uitgedeeld, voor een feit waarvan juristen dachten dat het wel mocht.

De boetes geven invulling aan termen die lange tijd niet duidelijk warenDe Knltb verkocht de gegevens van leden door voor direct marketing. Onder de AVG is direct marketing een ‘gerechtvaardigd belang’ en één van zes geldige redenen om gegevens te verwerken. De Knltb beriep zich op die grondslag, maar de AP was het daar niet mee eens. Ook in het geval van het Haga Ziekenhuis leek de AP in eerste instantie meedogenloos. Het ziekenhuis was al gewaarschuwd dat het 'beter moest loggen' en voerde dat ook als verandering door. Het deed dat blijkbaar niet goed genoeg, want het liep nog steeds tegen een boete aan.

'Terechte boetes'

Wolfsen weerspreekt dat de AP te streng optrad. “Bij de Knltb ging het helemaal niet om direct marketing, maar om datahandel. De gegevens werden doorverkocht.” Hij wil niet te veel ingaan op alle specifieke gevallen, maar ook het Haga Ziekenhuis ging volgens hem duidelijk over de streep. “Soms heb je een verschil over normen, of je bij wijze van spreken 20 of 22 keer iets moet loggen. Daar zijn we normaal gesproken best mild over. Maar het Haga Ziekenhuis acteerde zo evident onder de norm, dat was gewoon niet goed.”

Ook bij de recordboete van het vingerafdrukscannende bedrijf liep het proces anders dan normaal. Waar Wolfsen vorig jaar nog zei dat de AP bedrijven meestal eerst een brief zou sturen, zou bellen of op een andere manier zou waarschuwen, is dat bij dit bedrijf niet gebeurd. In het boetebesluit staat hoe de AP onaangekondigd binnenviel bij het bedrijf en direct een boete uitdeelde. Is de tijd van waarschuwen voorbij? Wolfsen denkt van niet. “Dit bedrijf ging fors over de schreef. Wat ze deden gebeurde op zo'n grote schaal en ging ook nog eens over biometrie. Als dat bij een waarschuwing was gebleven, had niemand dat serieus genomen.”

Aandachtsgebieden

De boetes tot nu vallen in de aandachtsgebieden van de APDe boetes van de AP vallen stuk voor stuk binnen het voorgestelde beleid van de waakhond. In november vorig jaar kondigde de AP aan meer focus te gaan geven aan een aantal ‘aandachtsgebieden’: zorggegevens, datahandel, data bij de overheid, en kunstmatige intelligentie. In die eerste twee categorieën zijn nu flinke boetes gevallen: die van het Haga Ziekenhuis, en bij zorgverzekeraars. Wolfsen kijkt tevreden terug op die boetes. Vorig jaar, toen hij aangaf dat de boetes eraan kwamen, zei hij dat ze rechtvaardig zouden zijn. Boetes waarvan mensen volgens Wolfsen zouden zeggen: ‘Het is goed dat de AP daartegen optreedt’. Dat is volgens hem waargemaakt. “We hebben gehandeld in lijn met wat we toen zeiden dat we zouden doen. Alles wat we doen gaat volgens de prioriteiten die we hebben gesteld.”

Nadia Benaissa van Bits of Freedom denkt ook dat de AP met zijn aandachtsgebieden op de goede weg zit. “Het is goed dat ze zich er bezighouden met duidelijke focusgebieden”, zegt ze. Bovendien zijn gezondheidsgegevens en overheidshandelen ook wel onderwerpen die belangrijk genoeg zijn om aan te pakken, denkt Benaissa.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True