Op 25 mei 2018 werd het privacylandschap grondig gewijzigd. Europa had eerder al gekozen voor duidelijke, uniforme en strenge privacyregels en vanaf die dag is de AVG in Nederland in voege getreden. Wie persoonsgegevens verwerkt, moet strenge regels volgen of riskeert hoge boetes. De regels gelden bovendien niet alleen voor wie een website heeft, want in vrijwel iedere onderneming worden er nu eenmaal persoonsgegevens verwerkt. Denk maar aan bijvoorbeeld een kladboekje met namen en telefoonnummers. Hoe dan ook doe je de verwerking maar beter goed. Dat bewijzen ook deze vijf praktijkvoorbeelden van eigen bodem.
Grenzen opleggen aan het recht op inzage – € 830.000
Onder de nieuwe AVG hebben ondernemingen niet alleen verplichtingen, maar hebben mensen ook rechten wanneer hun persoonsgegevens worden verwerkt. Een van die rechten is het recht op inzage. Men mag zien welke persoonsgegevens jij zoal van hen verzameld hebt.
Stichting Bureau Krediet Registratie (BKR), het verzamelpunt van alle kredietgegevens in Nederland, liet mensen inderdaad toe om hun persoonsgegevens in te zien. Het legde echter ook allerlei drempels op. Zo kon men maar één keer per jaar kosteloos de persoonsgegevens inzien. Het inzien van de persoonsgegevens moet echter eenvoudig en met redelijke tussenpozen mogelijk zijn, zegt de Autoriteit Persoonsgegevens nu. Daarom kreeg BKR een bestuurlijke boete van 830.000 euro opgelegd.
Onrechtmatig verwerken van vingerafdrukken werknemers – € 725.000
Vorig jaar hadden we het nog over de problematiek van biometrische authenticatie op de werkvloer en recent liep er dan ook een werkgever tegen de lamp. Het gaat nu eenmaal om bijzondere persoonsgegevens en die mag door de werkgever eigenlijk alleen worden verwerkt in het kader van beveiligingsdoeleinden. Dat komt omdat een werknemer nooit een vrije toestemming kan geven en altijd onder druk staat door de werkgever.
De werkgever, wiens naam door de Autoriteit Persoonsgegevens werd geanonimiseerd, liet werknemers echter hun vingerafdruk plaatsen in het kader van aanwezigheids- en tijdsregistratie. Werknemers gaven aan dat ze dit als aan verplichting ervoeren. Een boete van 725.000 euro was het gevolg.
Onrechtmatig verkopen van persoonsgegevens – € 525.000
Persoonsgegevens mogen enkel onder strikte voorwaarden aan anderen worden overgedragen. Meestal is het dan ook verboden om persoonsgegevens te verkopen zonder de toestemming van de betrokkenen te hebben. Dat was nochtans wel wat de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) had gedaan. Zij hadden de persoonsgegevens van meer dan 300.000 leden aan sponsors verkocht die de leden vervolgens telefonisch of per post benaderden. In ruil betaalden de sponsors een vast jaarbedrag, stelden ze waardebonnen ter beschikking en boden ze korting aan op webshopartikelen. De KNLTB kreeg een boete van 525.000 euro opgelegd.
Onvoldoende beveiligen van medische persoonsgegevens – € 50.000
Eind 2019 greep de Autoriteit Persoonsgegevens in bij zorgverzekeraar Menzis. Uit onderzoek bleek dat Menzis onzorgvuldig omging met de medische persoonsgegevens van klanten. Marketingmedewerkers hadden bijvoorbeeld toegang tot gezondheidsgegevens van verzekerden terwijl dat niet zou mogen. Er kon niet bewezen worden dat de marketingmedewerkers de gegevens ook effectief hadden gebruikt voor marketingacties en daarom werd er geen boete opgelegd. Wel werd er een dwangsom opgelegd en moest Menzis zo snel mogelijk technische maatregelen treffen. Omdat dat onvoldoende snel gebeurde werd uiteindelijk een dwangsom van € 50.000 ingevorderd.
Verwerkingsverbod voor de minister van Financiën
Voor zelfstandigen is het bekendste voorbeeld van hoe de Autoriteit Persoonsgegevens kan optreden misschien nog wel de actie tegen de minister van Financiën. Het btw-identificatienummer van zelfstandigen bevatte al langer hun BSN-nummer. Het btw-identificatienummer, en zo ook het BSN-nummer, moest altijd al op de website van de onderneming staan. Hierdoor waren zij gevoelig voor privacyfraude. Daarom legde de Autoriteit Persoonsgegevens per 1 januari 2020 een verwerkingsverbod op aan de minister van Financiën en daarom hebben zelfstandigen sindsdien een ander btw-identificatienummer. Ook ondernemingen kunnen zo’n verwerkingsverbod krijgen opgelegd.
MKBrecht.nl staat je bij
De privacywetgeving is ongelofelijk complex en het is niet onlogisch dat kleine ondernemingen maar moeilijk hun weg vinden in de vele strenge regels. Zelfs grote ondernemingen, overheidsorganisaties en ziekenhuizen zijn er soms gloeiend bij. Ga er daarom niet zelf mee aan de slag maar maak gebruik van ons AVG-pakket. Wij zorgen ervoor dat je website AVG-proof is. Meer advies nodig? Ook dan staan we voor je klaar.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44