Autoriteit Persoonsgegevens legt focus op handhaving AVG

Autoriteit Persoonsgegevens legt focus op handhaving AVG

Laatst bijgewerkt: 2 juli 2020
Leestijd: 3 minuten, 48 seconden

De Algemene Verordening Gegevensbescherming (AVG) bestaat nu iets meer dan twee jaar. In het eerste jaar legde de Autoriteit Persoonsgegevens de nadruk op voorlichting. Het tweede jaar legde de privacywaakhond vier boetes op, opgeteld goed voor 2,5 miljoen euro. Vanaf nu gaat de AP de Europese privacywetgeving nog strenger handhaven.

Dat schrijft de toezichthouder in zijn jaarverslag.

Over de AVG

In mei 2018 trad de AVG in werking. Deze Europese wetgeving, die na jaren van onderhandelen tot stand kwam, werd in het leven geroepen om de privacy van Europese burgers te beschermen. De verordening beschrijft onder meer wat persoonsgegevens zijn en op welke grondslag bedrijven deze data mogen verzamelen. De privacywet stelt nadrukkelijk dat gebruikers toestemming moeten geven om persoonsgegevens te verzamelen en dat ze recht hebben op inzage, wijziging of verwijdering. Verder moeten organisaties aan een strenge (digitale) beveiliging voldoen alvorens ze persoonsgegevens mogen verwerken en moeten ze aannemelijk maken dat deze ‘inbreuk op onze privacy’ gerechtvaardigd is.

Klachten en datalekmeldingen

Iedere lidstaat in Europa heeft een instantie die toeziet op de naleving van de AVG. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Daar heeft het de handen vol aan. Afgelopen jaar ontving de AP 27.854 klachten. De meeste klachten (29 procent) gingen over privacyschendingen, zoals het recht op inzage en het recht op verwijdering. Verder gingen veel klachten over ongevraagde reclame (15 procent) en over organisaties die persoonsgegevens doorgeven aan andere organisaties terwijl mensen dit niet weten of willen.

Het aantal meldingen van een datalek steeg met 29 procent ten opzichte van het jaar daarvoor. In totaal ging het om 27.095 datalekmeldingen. De AP ontving in 2019 een kwart meer meldingen naar aanleiding van hacking, phishing of malware-incidenten dan in 2018. Vooral grotere organisaties die persoonsgegevens van veel mensen verwerken, zijn een geliefd doelwit voor hackers. De meeste meldingen kwamen uit de financiële dienstverlening (30 procent) en de zorgsector (28 procent).

Interventies en onderzoeken

In 2019 pleegde de AP 2.082 interventies. Een interventie is een licht handhavingsmiddel dat de toezichthouder inzet om bedrijven die zich niet aan de AVG-regels houden op het rechte pad te zetten. Dan kun je denken aan het informeren van een bedrijf over een privacyklacht, in gesprek treden of een brief versturen waarin de AP tekst en uitleg geeft over een overtreding. Op deze manier handelde de belangenorganisatie 1.151 datalekmeldingen en 866 klachten af.

In 110 gevallen startte de AP een onderzoek. Dat is fors meer dan in 2018: toen voerde de toezichthouder slechts 20 onderzoeken uit. Afgelopen jaar rondde de AP 56 onderzoeken af. In 24 gevallen constateerde de AP dat er sprake was van een overtreding. De onderzoeken gingen voornamelijk over mogelijke overtredingen, zoals het niet melden van een datalek.

Boetes en corrigerende maatregelen

Het aantal boetes kwam uit op vier, samen goed voor 2,5 miljoen euro. Het HagaZiekenhuis in Den Haag kreeg een boete van 460.000 euro, omdat medewerkers onterecht inzage hadden in medische dossiers. De Koninklijke Nederlandse Lawn Tennisbond (KNLTB) moet een boete van 525.000 euro betalen, omdat het zonder toestemming de persoonsgegevens van meer dan 300.000 leden had verkocht aan sponsoren. Begin mei werd een bedrijf door de AP op de vingers getikt , omdat het vingerafdrukken van medewerkers opsloeg. Daarvoor kreeg het bedrijf een boete van 725.000 euro. De boetes zijn nog niet betaald, omdat de bezwaarprocedures nog lopen.

Vorig jaar legde de AP zeven keer een corrigerende maatregel op. Drie keer ging het om een berisping, twee keer om een dwangsom en twee keer om een enkelvoudige last.

Voorlichting

Naast controleren gaf de AP afgelopen jaar ook voorlichting. Voor het midden- en kleinbedrijf (MKB) voerde de toezichthouder de campagne ‘Wat betekent privacy voor jou(w bedrijf)?’. Om de aandacht van jongeren te trekken lanceerde de AP de game ‘Ben jij je telefoon de baas?’. Meer dan 180.000 jongeren speelden het spel.

Verder verstrekte de belangenorganisatie 105 keer een advies aan organisaties. Dat ging voornamelijk over onderwerpen als kredietregistratie, preventieve schuldhulpverlening en samenwerkingsverbanden.

Extra budget en personeel

Stevig toezicht is volgens Aleid Wolfsen, bestuursvoorzitter van de AP, hard nodig. “Mensen kunnen zelf veel doen om hun privacy te beschermen. Maar uiteindelijk kunnen ze het niet alleen. Daarom hebben ze de AP nodig als stevige toezichthouder”, aldus Wolfsen. Door het gebrek aan budget en personeel kan de AP niet alles afhandelen en lopen wachttijden op.

Momenteel verricht het ministerie van Justitie en Veiligheid een onderzoek naar het budget van de toezichthouder. “Wij hopen van harte dat de uitkomst hiervan onze positie -en dus die van alle burgers in Nederland- grondig zal versterken”, zo zegt Wolfsen over het onderzoek. Eerder deze week schreef staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Richard Knop aan de Tweede Kamer dat de AP komend jaar zijn personeelsbestand bijna wil verdubbelen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen