Op 4 april 2019 publiceerde de Autoriteit Persoonsgegevens (AP) haar jaarverslag, waarin zij terugblikte op 2018 en de plannen voor 2019 toelicht.
Terugblik 2018
Volgens de AP was 2018 een mijlpaal voor de wetgeving omtrent bescherming van persoonsgegevens. Op 25 mei 2018 werd namelijk de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (hierna: de “AVG”), van toepassing.
Voorlichting en uitleg
Verder geeft de AP aan dat het jaar 2018 met name in het teken heeft gestaan van het geven van voorlichting en uitleg over de werking van de AVG en niet direct op het handhaven door middel van het opleggen van boetes of andere sancties. Zo heeft de AP bijvoorbeeld door middel van publicaties op haar website uitleg gegeven aan onderwerpen zoals wifitracking, direct marketing en grootschalige gegevensverwerking in de zorg.
Onderzoeken en sancties
Toch heeft de AP in 2018 op het gebied van handhaving niet stilgezeten. Naar eigen zeggen heeft de AP zestien onderzoeken afgerond en zeventien handhavingstrajecten gestart. Deze onderzoeken en trajecten hebben geleid tot sancties voor onder meer Uber. Zij kreeg een boete van € 600.000,- voor het overtreden van de meldplicht datalekken. Daarnaast werd aan de Belastingdienst een verbod op het verwerken van het Burgerservicenummer in het btw-identificatienummer van zelfstandigen opgelegd. Ook zorgverzekeraar Menzis ontsprong de dans niet: zij moest een dwangsom betalen van € 50.000,- omdat zij verzaakt had passende beveiligingsmaatregelen voor haar systemen te nemen. Medewerkers van Menzis hadden toegang tot medische gegevens terwijl dit voor de uitoefening van hun functie niet noodzakelijk was.
Klachtbehandeling
In 2018 heeft de AP ruim 11.000 klachten ontvangen over schendingen van de bescherming van persoonsgegevens. Naast voorlichtingen en uitleg over de AVG heeft de AP dan ook gefocust op een zo effectief en efficiënt mogelijke behandeling van de klachten. Hierbij heeft de AP zich gericht op het beëindigen van mogelijke overtredingen door organisaties zelf.
Voornemens 2019
In 2019 wil de AP de inzet van preventieve, correctieve en repressieve instrumenten in evenwicht brengen. Dit betekent dat ze zich, naast het geven van voorlichting, meer zal gaan inzetten op onderzoek en handhaving, zoals het opleggen van boetes. Om deze boodschap kracht bij te zetten heeft de AP op 14 maart jl. haar boetebeleid vernieuwd. De boetebeleidsregels geven inzicht in de manier waarop de AP de hoogte van zo’n boete berekent.
Toelichting boetebeleidsregels
In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen. Daarbij heeft de AP rekening gehouden met de zwaarte van de norm, het doel dat de norm dient en de belangen die deze beoogt te beschermen. Elke categorie heeft een startbedrag, de basisboete. De boete kan ook buiten de bandbreedte vallen, indien de omstandigheden daar aanleiding toe geven. We lichten dit toe met een voorbeeld.
Stel je meldt als organisatie een datalek niet, dan valt deze overtreding in de boetebandbreedte van de AVG, categorie III. Deze is door de AP vastgesteld tussen de € 300.000,- en € 750.000,-, met als hoogte van de basisboete € 525.000,-. Deze basisboete kan vervolgens verhoogd of verlaagd worden naar gelang de specifieke situatie (o.a. de mate van verwijtbaarheid en de financiële draagkracht van de onderneming zullen hierbij een rol spelen).
Aandachtspunten 2019
Heldere taal van de privacy toezichthouder. Naast onderwerpen die de AP met bovengemiddelde belangstelling volgt (zoals datalekken die niet zijn gemeld) zullen ook klachten in de toekomst vaker leiden tot onderzoek en sancties van de AP, aldus Aleid Wolfsen, voorzitter van de AP.