Boetes binnen de AVG: wie heeft moeten betalen?
31 juli 2020 | Door: Dennis Out
De AVG bestaat inmiddels alweer ruim twee jaar. In het begin werden mogelijke boetes genoemd van 10 miljoen euro of 2% van de wereldwijde omzet (mocht dit hoger zijn). Maar hoeveel boetes zijn er nu daadwerkelijk uitgedeeld?
Boetebeleid
Er bestond veel onduidelijkheid over de mogelijke hoogte van een boete bij een overtreding van de AVG. Daarom zijn op 14 maart 2019 beleidsregels gepubliceerd over de hoogte van een boete bij diverse overtredingen. Hoewel de maximale boetes blijven bestaan, geven de boetebandbreedtes een lager bedrag aan. Er wordt onderscheid gemaakt in overtredingen met boetes tot het maximale bedrag, boetes tot € 900.000, boetes tot € 830.000 en boetes tot maximaal € 83.000.
Opgelegde boetes
Vanaf 2018 controleert de Autoriteit Persoonsgegevens (AP) diverse ondernemingen, nadat er meldingen zijn binnengekomen. In Nederland zijn veel bedrijven al aangesproken op het niet naleven van de AVG. In totaal zijn er ongeveer tien boetes opgelegd. Hier een aantal voorbeelden.
Een bekend voorbeeld is het dossier van Samantha de Jong, beter bekend als Barbie. In het ziekenhuis waar zij was opgenomen bleek dat medewerkers in haar dossier hebben gekeken, zonder dat deze bij de zorg van haar waren betrokken. Hieruit blijkt volgens de AP dat de beveiliging van gegevens niet op orde is. Zij legt in juli 2019 een boete van € 460.000 op.
Op 3 maart 2020 komt de tennisbond in opspraak. Deze blijkt persoonsgegevens te verkopen aan sponsoren. De bond ziet niet in dat dit niet mag, waarop de AP een boete van € 520.000 oplegt.
Dan is een commerciële onderneming aan de beurt. Binnen deze onderneming wordt in- en uitgeklokt middels vingerafdrukken. Doordat vingerafdrukken bijzondere persoonsgegevens zijn, is het niet toegestaan deze te verwerken, tenzij daar in de wet een uitzondering voor is. De organisatie had hiervoor specifiek (schriftelijk) toestemming moeten vragen aan haar medewerkers. Aangezien dit niet is gedaan legt de AP een boete van € 725.000 op.
Laatste voorbeeld is BKR. Bij het opvragen van BKR-gegevens werden vergoedingen gevraagd. Omdat personen altijd gratis toegang mogen hebben tot de gegevens, legt de AP een boete van € 830.000 op.
Verloop
Waar boetes eerst bij grote niet-commerciële ondernemingen werden gegeven, komen nu ook een sportbond en een commercieel bedrijf aan de beurt. Het is niet uit te sluiten dat ook binnen het mkb steeds meer boetes uitgedeeld gaan worden. Ook voor jouw onderneming is het daarom van belang de AVG strikt na te leven. Los van de boetes is het van belang goed om te gaan met persoonsgegevens die jouw onderneming worden toevertrouwd door bijvoorbeeld klanten en medewerkers. Bij een datalek levert de reputatieschade vaak meer schade op dan de boete zelf.
Wil je laten beoordelen of je onderneming aan de AVG voldoet of wil je worden geholpen de AVG te implementeren? Neem dan contact op met onze IT-auditors.