Jaarverslag 2018
2018 was voor de AP een hectisch jaar, zo mag uit het jaarverslag gerust worden opgemaakt. Niet alleen werd daarin de AVG van toepassing, ook nam de AP veel nieuwe medewerkers aan en werd een nieuwe organisatiestructuur opgetuigd en geïmplementeerd.
De AP geeft aan dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen eerder te zoeken naar het beëindigen van de overtreding dan naar het sanctioneren daarvan.
Enkele in het oog springende cijfers over 2018:
- De AP ontving ruim 11.000 klachten en bijna 21.000 datalekmeldingen.
- 720 klachten en 298 datalekmeldingen werden afgehandeld door middel van een interventie, zoals een brief of gesprek waarin de AP uitleg gaf over de privacyregels.
- De AP rondde 16 onderzoeken af en startte 17 handhavingstrajecten. Deze hebben geleid tot sancties voor onder meer Uber, de Belastingdienst en het UWV.* Aan Uber werd een boete opgelegd van EUR 600.000 voor het te laat melden van een datalek. UWV kreeg een last onder dwangsom opgelegd omdat zij de toegangsbeveiliging van het werkgeversportaal niet had uitgerust met meerfactorauthenticatie. De Nationale Politie kreeg een last onder dwangsom opgelegd voor de gebrekkige beveiliging van een IT-systeem. Een dwangsom van EUR 48.000 werd ingevorderd bij InsingerGilissen Bankiers, wegens het niet voldoen aan een inzageverzoek. Tot slot werd de Belastingdienst verboden om met ingang van 1 januari 2020 nog langer het BSN te gebruiken in het btw-nummer.
- Verschillende audits werden uitgevoerd, in zowel de publieke als de private sector, zoals of een FG was aangemeld, of een verwerkingsregister was aangelegd en of een privacybeleid was opgesteld.
Vergelijking met voorgaande jaren
Als we deze cijfers vergelijken met die van voorgaande jaren dan levert dat onderstaand beeld op. Het aantal datalekmeldingen is sinds de introductie van deze verplichting in 2016 explosief gestegen. Handhaving en sanctionering van overtredingen (waaronder het opleggen van boetes) nemen vooralsnog mondjesmaat toe.
2014 | 2015 | 2016 | 2017 | 2018 | |
Datalekmelding | – | – | 5.700 | 10.009 | 20.881 |
Handhavingstraject | 13 | 17 | 20 | 20 | 17 |
Boete | 0 | 0 | 0 | 0 | 1 |
Incasso/invordering | 0 | 0 | 0 | 1 | 2 |
Elders in Europa
Hoe stellen de toezichthouders elders in Europa zich op? In verschillende lidstaten zijn inmiddels de eerste boetes opgelegd voor overtredingen van de AVG. Hieronder treft u een bloemlezing aan:
- De Poolse toezichthouder legde in maart 2019 een boete van EUR 220.000 op aan een Pools bedrijf wegens schending van de informatieplicht. Het bedrijf had een omvangrijke database aangelegd met persoonsgegevens welke het bedrijf uit publieke bronnen had verzameld. Echter zonder betrokkenen daarover te informeren.
- De Franse toezichthouder legde in januari 2019 een boete van EUR 50.000.000 op aan Google wegens een gebrek aan transparantie, schending van de informatieplicht en het niet-rechtsgeldig
verkrijgen van toestemming. - De toezichthouder van Malta legde in februari 2019 een boete van EUR 5.000 op aan het Maltese Kadaster, omdat het Kadaster een online portaal niet goed had beveiligd.
- De Duitse toezichthouder (meer specifiek die van Baden-Württemberg) legde in september 2018 een boete van EUR 20.000 op aan een Duits sociaal netwerk. Het sociaal netwerk had melding gemaakt van een datalek waarbij wachtwoorden en e-mailadressen van gebruikers waren gelekt. Uit vervolgonderzoek van de toezichthouder bleek dat wachtwoorden niet versleuteld waren opgeslagen, waarmee inbreuk was gemaakt op de verplichting passende beveiligingsmaatregelen te treffen.
- De Oostenrijkse toezichthouder legde in september 2018 een boete van EUR 5.280 op aan een wedkantoor dat gebruik maakte van een video surveillance systeem. De toezichthouder oordeelde dat geen rechtsgrond aanwezig was en dat de opnamen te lang werden bewaard.
Wat brengt 2019?
In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verschuiven van voorlichting naar handhaving. In 2019 zal steviger worden ingezet op handhaving. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de (mogelijke) overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens.
*De overtredingen dateren vaak uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.
Vragen?
Heeft u vragen over de AVG of aanverwante wet- en regelgeving, neem dan contact op met Jeroen van Helden ([email protected] of 071-5815310).