De AVG-regels zijn streng, maar onze privacy is ons dan ook heel dierbaar. Om onze privacy en persoonsgegevens maximaal te beschermen, heeft de Autoriteit Persoonsgegevens het recht om flinke boetes op te leggen. We beweren overigens niet dat alle overtredingen kwaadwillig zijn, maar zelfs de meest filantropische stichtingen kunnen boetes krijgen. Onderstaande voorbeelden bewijzen dat het belangrijk is om je privacyzaakjes goed op orde te hebben.
Vingerafdruk vragen aan werknemers: € 725.000
In een eerste zaak besliste een werkgever – de naam van de werkgever wordt door de Autoriteit Persoonsgegevens netjes geanonimiseerd – om voor de aanwezigheids- en tijdregistratie met vingerafdrukken te werken. Hierdoor is frauderen niet mogelijk en hoeft er niet met pasjes gerommeld te worden.
Het klinkt leuk en handig, maar een vingerafdruk is een bijzonder persoonsgegeven dat niet zomaar, zonder uitdrukkelijke en vrije toestemming, mag worden gebruikt. Bovendien is de toestemming van werknemers zelden vrij omdat zij nu eenmaal onder het gezag staan van hun werkgever. En dus gaan ze al eens akkoord met zaken die ze eigenlijk niet willen. De Autoriteit Persoonsgegevens greep daarom streng in en legde een boete op van niet minder dan 725.000 euro.
Recht op inzage beperken: € 830.000
Een andere zaak ging over het zogenaamde recht op inzage. Het recht op inzage houdt in dat personen van wie de persoonsgegevens worden verwerkt, ook het een en ander mogen inkijken. Ze mogen zelfs een kopie vragen om even te kijken of de gegevens wel juist zijn en ze kunnen altijd om een aanpassing verzoeken.
In deze zaak wierp Stichting Bureau Krediet Registratie echter allerlei drempels op, waardoor het recht op inzage werd bemoeilijkt. Men kon bijvoorbeeld slechts eens per jaar kosteloos van dit inzagerecht gebruikmaken. Dat vond de Autoriteit Persoonsgegevens niet kunnen en daarom kreeg de stichting een boete van 830.000 euro voor de kiezen.
Zorgverzekeraar beveiligt persoonsgegevens onvoldoende: € 50.000
Bij deze derde zaak werden persoonsgegevens door zorgverzekeraar Menzis wel op een juiste manier verzameld, maar werden de persoonsgegevens vervolgens onvoldoende goed beveiligd. Zo hadden medewerkers die de gegevens helemaal niet nodig hadden toch gewoon toegang tot de databank. Er kon echter niet worden aangetoond dat deze medewerkers ook misbruik hadden gemaakt van deze mogelijkheid en dus bleef de sanctie “beperkt”. Uiteindelijk kreeg de zorgverzekeraar een boete van 50.000 euro omdat het een aantal beveiligingsmaatregelen onvoldoende snel had doorgevoerd.
Onrechtmatig persoonsgegevens verkopen: € 525.000
Dat je maar beter zorgvuldig met persoonsgegevens omgaat, kan ook de KNLTB (Koninklijke Nederlandse Lawn Tennisbond) bevestigen. De KNLTB had in het kader van een lucratieve deal de persoonsgegevens van enkele honderdduizenden leden aan sponsors overgemaakt. De KNLTB sloeg de bal echter flink mis, want ze hadden de leden nooit om hun toestemming gevraagd. Uiteindelijk moesten ze niet alleen passen voor de lucratieve deal, maar ook nog eens een flinke boete van 525.000 euro betalen.
Datalek niet tijdig gemeld: € 600.000
Ten slotte kreeg ook Uber een hoge boete opgelegd. Er was toen sprake van een datalek waarbij wereldwijd mailadressen en telefoonnummers van chauffeurs en klanten werden gestolen. Ongeveer 174.000 Nederlanders zijn door het datalek getroffen. Uber had dit datalek niet tijdig gemeld. Zo’n melding moet echter ten laatste 72 uur na de ontdekking gebeuren. Daarom kreeg Uber een boete van 600.000 euro opgelegd.
Kortom
Webshops krijgen sowieso te maken met persoonsgegevens en hebben maar beter hun zaakjes op orde. Klanten en bezoekers hebben het recht om geïnformeerd te worden en willen dat er correct met hun persoonlijke gegevens wordt omgegaan. Wie het niet goed doet, schendt niet alleen het vertrouwen van z’n klanten maar kan ook flinke boetes krijgen. Zie voor meer informatie ook de AVG/GDPR-pagina van WebwinkelKeur en hun gratis privacy policy generator waar je een dekkend privacy beleid mee kunt genereren.
Dit blogbericht is geschreven door een juridische blogger van MKBrecht.nl
Reacties