Expert blog: Was de AVG-stress terecht?

Expert blog: Was de AVG-stress terecht?

Privacy update: de eerste AVG-boetes zijn uitgedeeld!

Per 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) in alle lidstaten van de Europese Unie. Was de AVG-stress terecht?

Expert blog door Marloes Sluis

Voor velen is “AVG-stress” een herkenbaar begrip. Sommige organisaties hebben de benodigde aanpassingen ten aanzien van persoonsgegevens onderschat en zijn te laat begonnen met de voorbereidingen voor de nieuwe privacywetgeving. De stress wordt onder andere veroorzaakt doordat de Autoriteit Persoonsgegevens (AP) op grond van de AVG een serieuze boetebevoegdheid heeft. De AP kan boetes tot 20 miljoen euro opleggen aan organisaties die niet aan de regels van de AVG voldoen. Inmiddels zijn we ongeveer een half jaar verder sinds de toepasbaarheid van de AVG. Heeft de AP al organisaties op de vingers getikt, met andere woorden: was (en is) de AVG-stress terecht?

Autoriteit Persoonsgegevens

Het antwoord op de vraag of de AP ook daadwerkelijk gebruikmaakt van haar bevoegdheden luidt bevestigend. Op 30 oktober 2018 heeft de AP een persbericht naar buiten gebracht dat zij het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom heeft opgelegd van 150.000 euro per maand met een maximum van 900.000 euro. Het UWV heeft het beveiligingsniveau van het werkgeversportaal niet op orde. Op dit portaal kunnen werkgevers en arbodiensten in een verzuimsysteem ziekteverzuimgegevens van werknemers invoeren en bekijken. Aan de beveiliging van gezondheidsgegevens die online worden verwerkt gelden extra hoge eisen. Zo mag de verwerking van gezondheidsgegevens via internet alleen door middel van meerfactorauthenticatie. Hierbij moet de gebruiker zich minimaal op twee manieren authentiseren voordat toegang wordt verleend tot een computer of applicatie. Het UWV is als aanbieder en beheerder van het verzuimsysteem verplicht om de meerfactorauthenticatie toe te passen, maar schiet hierin tekort.

Een dwangsom van 150.000 euro per maand met een maximum van 900.000 euro, betreft een maatregel die de meeste organisaties niet in de koude kleren gaat zitten. Een nuance moet echter worden aangebracht. Het UWV krijgt een jaar de tijd om het beveiligingsniveau van het werkgeversportaal op orde te brengen, voordat de dwangsom wordt verbeurd.

Het toezicht in andere Europese landen

Niet alleen de Nederlandse toezichthouder tikt organisaties op de vingers. Uit een recent nieuwsbericht blijkt dat ook de Portugese Autoriteit Persoonsgegevens, de CNPD, gebruik heeft gemaakt van haar boetebevoegdheid op grond van de AVG. Het Centro Hospitalar Barreiro Montijo ziekenhuis (nabij Lissabon) zou dusdanig onzorgvuldig zijn omgegaan met patiëntengegevens dat de CNPD een boete van 400.000 euro heeft opgelegd. Dit is dus wel een bedrag dat direct betaald moet worden. Volgens de CNPD komt de beveiliging van de patiëntengegevens in het systeem niet eens in de buurt van de vereisten van de AVG.

In de voornoemde gevallen worden de AVG-regels ten aanzien van gezondheidsgegevens geschonden. De Nederlandse AP lijkt zich tot op heden te focussen op de overheid en de zorg. Om de omvang van onderzoeken en de hoogte van boetes en dwangsommen in te kunnen schatten, is het niet alleen belangrijk om de besluiten van de Nederlandse AP in de gaten te houden, maar ook te kijken naar besluiten van andere Europese toezichthouders.

Uit diverse onderzoeken blijkt dat veel organisaties nog niet voldoen aan de AVG. Is er bij al deze organisaties reden tot paniek? Nee. Moeten zij direct aan de slag met het AVG-proof maken van hun organisatie? Absoluut, beter laat dan nooit! Heeft u vragen over het privacyrecht? Dan kunt u contact met Marloes opnemen.


Marloes Sluis

Marloes Sluis is juridisch medewerker bij Holla Advocaten waar zij deel uit maakt van het Intellectuele eigendom & ICT-team. Haar interesse voor het intellectuele eigendom is gewekt tijdens haar master en heeft zich vertaald in haar afstudeerscriptie met betrekking tot het auteursrecht. Het rechtsgebied spreekt haar aan, omdat zij de bescherming van creativiteit hoog in het vaandel heeft staan.


Regelmatig nodigen we experts uit om als gastblogger actuele ontwikkelingen uit de markt te bespreken.
error: Content is protected !!