Europa    Voorbeelden privacy 


Overtreding en boete

Datum laatste wijziging: 17 juli 2019  |  Trefwoorden: Privacy, Overtreding, Boete

Inhoud

  1. Stappenplan privacywet
  2. Microsoft verwerkt gegevens Windowsgebruikers in strijd met wet
  3. Privacy van werknemers niet veilig bij UWV
  4. Privacy bij ziekte blijft problematisch
  5. Kamer van Koophandel overtreedt mogelijk de wet met datadelen
  6. Zelfstandigen krijgen niet meteen boete bij overtreding privacyregels
  7. Autoriteit Persoonsgegevens start controles bij overheid
  8. Vijf maatregelen om AVG-boetes te voorkomen
  9. Gemeenten verzamelden illegaal vingerafdrukken
  10. Politie krijgt boete van de Autoriteit Persoonsgegevens
  11. Ziekenhuizen en zorgverzekeraars voldoen aan privacywet
  12. Politie en belasting in de fout bij verzamelen gegevens
  13. Big Data het probleem
  14. Innovatiefonds krijgt last onder dwangsom
  15. Eerste half jaar 2018 AVG levert al 7000 klachten
  16. AFM legt boete op van € 50.000
  17. Ongevraagde tracking-cookies frequent geplaatst
  18. Boetebeleid aangepast in 2019
  19. AFM legt boete op van € 100.000
  20. Megaboete voor Haga Ziekenhuis
  21. Gebruik trackingsoftware door DUO niet toegestaan

Stappenplan privacywet

De introductie van de Algemene Verordening Gegevensbescherming (AVG) kan tot forse* boetes leiden. De nieuwe privacywetgeving verdient de aandacht om mogelijke consequenties te voorkomen. PwC-expert Yvette van Gemerden geeft een stappenplan:
  1. Creëer awareness
  2. Maak een plan van aanpak
  3. Bepaal de huidige situatie
  4. Identificeer de noodzakelijke maatregelen
  5. Ga aan de slag
(Bron en invulling: CM Web, 21 aug. 2017)

* Overtredingen kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Microsoft verwerkt gegevens Windowsgebruikers in strijd met wet

Microsoft verwerkt via Windows 10 in strijd met de wet gegevens van mensen die dit besturingssysteem op hun computer hebben geďnstalleerd. Dit concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek van Windows 10 Home en Pro. Microsoft informeert gebruikers niet duidelijk over welke gegevens zij voor welke doelen gebruikt. Ook kunnen mensen door de werkwijze van Microsoft geen rechtsgeldige toestemming geven voor de verwerking van hun gegevens. Het bedrijf vertelt niet dat het bij de standaardinstellingen voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via de browser Edge.

Microsoft heeft aangegeven de overtredingen te willen beëindigen. Als dit niet gebeurt, kan de AP besluiten Microsoft een sanctie op te leggen. (Bron: Autoriteit Persoonsgegevens, 13 okt. 2017)

Privacy van werknemers niet veilig bij UWV

De AP constateert meerdere problemen met de verwerking van de data. Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Omdat het hier gaat om gevoelige gegevens van werknemers is het UWV als aanbieder en beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door meer factorauthenticatie toe te passen.

De registratie van ziekmeldingen gaat niet volgens de regels en tenslotte constateert AP dat het UWV gevoelige persoonsgegevens laat verwerken door medewerkers die daarvoor niet bevoegd zijn. Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een Ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. (Bron: PW, 14 nov. 2017

Privacy bij ziekte blijft problematisch

Uit onwetendheid of gemakzucht worden privacyregels geschonden en wordt medische informatie ongeoorloofd gevraagd, opgeslagen en gedeeld. Privacy bij ziekte blijft een lastig onderwerp.

De leidinggevende mag niet vragen wat de medewerker mankeert of wat de oorzaak daarvan is. Alleen een bedrijfsarts, of een professional die onder verantwoordelijkheid van de bedrijfsarts werkt, mag dergelijke vragen stellen. (Bron: PW, 24 nov. 2017)

Red.: Praten met iemand die een ziekte heeft en hem/haar niet mogen vragen wat hij/zij mankeert is tegennatuurlijk. Sterker, de persoon die iets mankeert kan het als onbeleefd of ongeďnteresseerdheid opvatten als deze vragen niet worden gesteld. Wij denken dat de privacy in deze tot in lengte van jaren geschonden zal blijven.

Kamer van Koophandel overtreedt mogelijk de wet met datadelen

De Kamer van Koophandel overtreedt mogelijk de wet door adverteerders inzage te bieden in het handelsregister. Dat zegt de Autoriteit Persoonsgegevens tegen de NOS. De KvK is voor 40 tot 50% van haar inkomsten afhankelijk van het verkopen van gegevens van ondernemers aan bedrijven.

Via de website meldt de KvK kennis te hebben genomen van de opmerkingen en in gesprek te zijn met de Autoriteit persoonsgegevens. (Bron: MT, 18 apr. 2018)

Inmiddels heeft de KvK besloten per 1 juli 2019 met het product Adressenbestand Online te stoppen, zie de brief van de KvK aan de AP.

Zelfstandigen krijgen niet meteen boete bij overtreding privacyregels

Zelfstandigen hoeven niet bang te zijn meteen een boete te krijgen als ze vrijdag 25 mei 2018 nog niet voldoen aan de nieuwe Europese privacyregels. Dat zegt Frank Alfrink, directeur van ZZP Nederland. "Maar het is wel belangrijk dat ze eraan werken. Maak je geen zorgen, maar maak wel af waar je mee bezig bent'', aldus Alfrink.

Het is lastig voor een ZZP'er om het werk voor de AVG voor elkaar te krijgen. Alfrink: ''Je bent daar wel gauw een uurtje of dertig, veertig mee bezig. Maar je hebt ook je gewone werk, na afloop moet je thuis eten, je kinderen hebben een proefwerk gehad, de kleine moet naar bed, en daarna moet het in de verloren uurtjes worden geregeld. Dus het kost je zo twee weken.''

Mensen beseffen ook niet hoe complex het is. ''Je moet ook overeenkomsten hebben met iedereen die informatie voor jou verwerkt. Veel ZZP'ers denken: maar dat doe ik allemaal zelf. Ja, en je Dropbox dan? En wat als je samenwerkt met de Sociale Verzekeringsbank of het UWV? Wij hebben zelf ook een lijstje gemaakt, wij komen tot 92 organisaties waarvan wij als stichting een overeenkomst moeten hebben.'' (Bron: NU.nl, 20 mei 2018)

Autoriteit Persoonsgegevens start controles bij overheid

De Autoriteit Persoonsgegevens (AP) heeft van ruim 400 overheidsorganisaties gecontroleerd of zij een functionaris voor de gegevensbescherming (FG) hebben aangemeld.

Uit deze controle blijkt dat een kleine 4 procent mogelijk nog geen functionaris heeft aangemeld. De AP heeft deze organisaties aangeschreven. Zij moeten voor 11 juni 2018 laten weten wie hun FG is. Als zij dit nalaten kan de AP een sanctie opleggen. (Bron: SalarisNet, 4 jun. 2018)

Vijf maatregelen om AVG-boetes te voorkomen

De Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking trad, kent betrokkenen uitgebreide privacy-rechten toe. Zo hebben ze het recht om een klacht in te dienen bij de AP. Binnen een maand maakten maar liefst 600 burgers gebruik van deze mogelijkheid. Een groot deel van de klachten ging over het niet inwilligen van een verzoek tot verwijdering van persoonsgegevens. Ook klagen mensen dat ze de eigen persoonsgegevens niet mogen inzien.

Geadviseerd wordt waar organisaties op moeten letten, kort samengevat:
  1. Governance
  2. Kennis van de AVG
  3. Aanstelling functionaris voor gegevensbescherming
  4. Techniek
  5. Communicatie
(Bron en uitleg, ManagersOnLine, 11 jul. 2018)

Gemeenten verzamelden illegaal vingerafdrukken

Werkbedrijf Voorne Putten Werkt heeft vier jaar lang ten onrechte vingerafdrukken van uitkeringsgerechtigden afgenomen en opgeslagen.

De vingerafdrukken werden verzameld om te registreren welke uitkeringsgerechtigden aanwezig waren bij werkbedrijf Voorne Putten Werkt, waar mensen met een bijstandsuitkering uit de gemeenten Brielle, Hellevoetsluis, Nissewaard en Westvoorne voor behoud van uitkering door de gemeenten te werk worden gesteld. Uitkeringsgerechtigden die weigerden een vingerafdruk af te geven, zouden zijn bedreigd met kortingen op hun uitkering.

Een en ander werd gemeld aan de Autoriteit Persoonsgegevens, die vervolgens de gemeente Nissewaard met opgeheven vinger op de vingers tikte. (Bron: Binnenlandsbestuur, 18 jul. 2018)

Politie krijgt boete van de Autoriteit Persoonsgegevens

De AP onderzocht hoe de Nationale Politie gegevens verwerkte bij het gebruik van het nationaal Schengeninformatiesysteem van de tweede generatie (N.SIS II). Voor de vijf problemen die ze aantroffen werd de Nationale Politie in eerste instantie een last onder dwangsom opgelegd van 200.000 euro. De vijfde noodzakelijke maatregel was de regelmatige en proactieve controle op de logbestanden. Omdat dit niet binnen zes maanden is geďmplementeerd, moet de politie een vijfde van 200.000 euro betalen, 40.000 euro dus. (Bron: BNR, 20 sep. 2018)

Ziekenhuizen en zorgverzekeraars voldoen aan privacywet

Alle gecontroleerde ziekenhuizen en zorgverzekeraars hebben een functionaris voor de gegevensbescherming (FG) aangesteld en voldoen nu aan de verplichting daartoe van de Europese privacywetgeving. Dit is de opbrengst van een controle door de Autoriteit Persoonsgegevens (AP) bij 91 ziekenhuizen en 33 zorgverzekeraars. (Bron: Skipr, 10 okt. 2018)

Politie en belasting in de fout bij verzamelen gegevens

De politie gaat in de fout bij het verzamelen van gevoelige gegevens. En ook bij de Belastingdienst zijn er twijfels over het bewaren van persoonsgegevens. Er zijn wel regels opgesteld, maar het zou voor de opsporingsambtenaren onduidelijk zijn hoe ze die moeten toepassen.

Dat meldt de NOS op basis van documenten die zijn opgevraagd via de wet openbaar bestuur. Dat de regels onduidelijk zijn voor opsporingsambtenaren, is een kwalijke zaak zegt Menno Weij, van SOLV advocaten. Maar het is ook makkelijk te voorkomen. (Bron: BNR, 12 okt. 2018)

Big Data het probleem

De toegang tot persoonsgegevens is bij de Belastingdienst te groot. In het kader van fraudebestrijding worden daar allerlei data van belastingplichtigen aan elkaar gekoppeld. Maar omdat de fiscus niet bijhoudt welke gegevens door medewerkers worden opgevraagd, kan deze niet garanderen dat gevoelige persoonsgegevens veilig zijn. Dit blijkt uit een brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens die in handen is van Trouw.

Betere bescherming van gegevens is volgens Uijlenbroek “technisch niet mogelijk”. Ook bij de toegang die politie en justitie hebben tot de ip-adressen en telefoonnummers van klanten van alle Nederlandse telecom- en internetproviders gaat van alles mis. Regels zijn onduidelijk, informatie wordt te lang bewaard en er is te weinig controle op wie er toegang tot heeft. (Bron: NRC, 12 okt. 2018)

Innovatiefonds krijgt last onder dwangsom

De Autoriteit Financiële Markten (AFM) heeft op 27 september 2018 een last onder dwangsom* opgelegd aan de heer Ruben Wolf, bestuurder van Nederlands Innovatiefonds B.V. en Nederlands Innovatiefonds Bond I B.V. (samen het Nederlands Innovatiefonds). Wolf moet meer en juiste informatie verstrekken aan beleggers die hebben geďnvesteerd in obligatieleningen van het Nederlands Innovatiefonds.

Als de heer Wolf dit niet binnen de gestelde termijn doet, moet hij € 5.000 betalen voor iedere dag dat de informatie niet wordt verstrekt, tot een maximum van € 50.000. De AFM heeft beleggers al eerder gewaarschuwd voor de aanbiedingen van het Nederlands Innovatiefonds. (Bron: AFM, 16 okt. 2018)

* Met 'een last onder dwangsom' wordt een onderneming of een persoon opgedragen (gelast) een gedraging te doen of te laten. Als binnen de gestelde termijn niet aan de opdracht is voldaan, dan moet er een geldsom worden betaald.

Eerste half jaar 2018 AVG levert al 7000 klachten

Zich aan de AVG houden is lang niet zo makkelijk, zelfs de Belastingdienst had het zwaar. Zij handelden in strijd met de AVG door BSN-nummers te verwerken in het btw-identificatienummer van ZZP’ers. Naar verwachting zullen zij pas in mei 2019 voldoen aan de AVG.

Naar aanleiding van de motie die aangevraagd is om de nieuwe privacywet te evalueren, reageert minister van Justitie en Veiligheid: “Een dergelijke evaluatie van de AVG zal waarschijnlijk in 2019 plaatsvinden.” Op dit moment is de AP nog druk bezig om alle klachten met betrekking tot de AVG te behandelen. (Bron: MKB-Belangen, 30 nov. 2018)

AFM legt boete op van € 50.000

De Autoriteit Financiële Markten (AFM) heeft op 28 december 2018 een bestuurlijke boete van € 50.000 opgelegd aan de heer K. de Jong van voormalig vermogensbeheerder De Waerdt Vermogensbeheer B.V. (DWV) in Roermond. De boete is opgelegd omdat DWV van oktober 2014 tot mei 2016 geen integere uitoefening van haar bedrijf heeft gewaarborgd en De Jong daarvoor mede verantwoordelijk was.

De AFM vindt in dit geval een boete van € 50.000 passend. Voor de overtreding geldt een basisbedrag van € 2.000.000. De ernst van de overtreding en de mate van verwijtbaarheid geven geen aanleiding voor een verlaging of een verhoging van het basisbedrag. Wel is de boete op grond van evenredigheid en draagkracht verlaagd tot € 50.000.
Het besluit van de AFM kan door belanghebbende(n) ter toetsing aan de rechter worden voorgelegd. (Bron: AFM, 9 jan. 2019)

Redactie: Het openlijk noemen van namen, zelfs als zij schuldig zijn bevonden, achten wij een vorm van schending van de privacy-regels. AFM kan wat dit betreft een voorbeeld nemen aan de rechterlijke uitspraken (jurisprudentie) die altijd geanonimiseerd zijn.

Ongevraagde tracking-cookies frequent geplaatst

Uit onderzoek door de NOS is gebleken dat duizenden veelbezochte websites ongevraagd tracking cookies* op computers van bezoekers plaatsen. Daarmee is onder andere het surfgedrag van bezoekers te volgen en kunnen interesseprofielen worden opgebouwd. Sommige websites plaatsen honderden cookies, zonder dat bezoekers om toestemming wordt gevraagd.

Het zijn onder andere populaire websites van winkels, media, scholen en verzekeraars die via tracking cookies het surfgedrag van bezoekers in kaart brengen. Zelfs zorginstellingen doen er aan mee, aldus de NOS. Meestal gaat het om het analyseren van interesses, zodat passende advertenties aangeboden kunnen worden. De Autoriteit Persoonsgegevens geeft aan op korte termijn een onderzoek te zullen starten naar deze praktijken, omdat mogelijk de wetgeving wordt overtreden. Het is namelijk verboden om zonder toestemming tracking cookies op iemands computer of telefoon te plaatsen. Maar in de praktijk gebeurt dat dus wel. Bij sommige websites worden al bij het eerste bezoek tientallen of zelfs honderden volg-cookies op de computer van de bezoeker geďnstalleerd. (Bron: Beveiligingnieuws, 1 mrt. 2019)

* Tracking-cookie: het verzamelen van informatie over websurfers (Bron: Wikipedia).  

Boetebeleid aangepast in 2019

De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving.

De nieuwe boetebeleidsregels geven inzicht in de manier waarop de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

AFM legt boete op van € 100.000

De AFM heeft in 2019 een boete van 100.000 euro opgelegd aan H.J. Holtschoppen, voormalig vermogensbeheerder van De Waerdt Vermogensbeheer in Roermond. De boete is opgelegd omdat De Waerdt van oktober 2014 tot december 2017 geen integere uitoefening van haar bedrijf heeft gewaarborgd en Holtschoppen daarvoor mede verantwoordelijk was.

Megaboete voor Haga Ziekenhuis

De eerste boete van de Autoriteit Persoonsgegevens is een feit. Het Haga Ziekenhuis in Den Haag kreeg in juli 2019 de boete van € 460.000 omdat tientallen niet-bevoegde medewerkers het patiëntendossier van de bekende Nederlander Samantha de Jong, beter bekend als Barbie, vrijelijk konden inzien.

Het Haga Ziekenhuis gaat in beroep. 

Gebruik trackingsoftware door DUO niet toegestaan 

De Dienst Uitvoering Onderwijs (Duo) heeft zogenoemde trackingsoftware gebruikt in e-mails die aan studenten persoonlijk waren gericht. Dat is in strijd met de Algemene verordening gegevensbescherming (AVG).

Duo zou de informatie die zo wordt verzameld in een rechtszaak kunnen gebruiken als bewijs dat een student een belangrijk bericht inderdaad heeft ontvangen. De dienst erkent de tracking-software te hebben gebruikt, om zo ‘bij iedere wijziging in de persoonlijke situatie van een student vanaf de aanleiding van de wijziging tot en met het afleveren van het formele bericht het wijzigingsproces aantoonbaar te maken’ en de dienstverlening te verbeteren.

Na vragen van de Volkskrant (2019) is Duo in gesprek gegaan met de Autoriteit Persoonsgegevens (AP), toezichthouder. Voorlopig is DUO gestopt met trackingsoftware (data herleidbaar naar persoonsgegevens) in persoonlijke e-mails.  

Gerelateerde artikelen en/of partner bijdragen:
Gerelateerd nieuws en/of opinies:


 Europa    Voorbeelden privacy