De Autoriteit Persoonsgegevens (AP) heeft het HagaZiekenhuis in Den Haag een boete van 460.000 euro opgelegd wegens schending vam de Algemene Verordening Gegevensbescherming (AVG). Het is de eerste boete die sinds de invoering van de wet op 25 mei 2018 in Nederland is opgelegd.
De boete kan nog met maximaal 300.000 euro verhoogd worden.
Het Haagse ziekenhuis kwam eerder dit jaar in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.
Het HagaZiekenhuis krijgt tot 2 oktober om de interne beveiliging te verbeteren. Lukt dat niet, dan moet het ziekenhuis elke twee weken nog eens 100.000 euro betalen, tot een maximum van 300.000 euro.
De boete die de Nederlandse AP nu heeft opgelegd is vergelijkbaar met de boete die de Portugese Autoriteit Persoonsgegevens vorig jaar op heeft gelegd aan het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon. Dit ziekenhuis kreeg een boete van 400.000 euro wegens onzorgvuldig omgaan met patiëntengegevens.
Het ziekenhuis heeft inmiddels stappen gezet om herhaling te voorkomen. Personeel wordt getraind om gedrag van collega’s, patiënten en bezoekers die de privacy in gevaar brengen te herkennen.
De AP bevestigt dat dit de eerste keer is dat een Nederlandse instantie een boete krijgt onder de AVG, die sinds mei vorig jaar in werking is.
De boete die in november werd uitgedeeld voor een zaak rond taxistartup Uber werd nog afgehandeld onder de oude Nederlandse privacyregels. “Dit is de eerste volledige AVG zaak”, bevestigt een woordvoerder.
De Autoriteit Persoonsgegevens van Roemenië heeft op 27 juni 2019 op basis van de Europese privacywet een boete van 130.000 euro opgelegd aan de UniCredit Bank.
De UniCredit Bank is beboet omdat in 2018 door een datalek de gegevens van meer dan 337.000 personen onrechtmatig aan derden werden doorgegeven.
UniCredit is een Italiaanse bank met activiteiten in 17 landen. Het bedrijf telde eind 2016 ongeveer 120.000 voltijdsmedewerkers verdeeld over 6200 kantoren.
De belangrijkste markt is Italië en verder is het bedrijf goed vertegenwoordigd in West- en Oost-Europa. De bank had eind 2016 een balanstotaal van 860 miljard euro.
De commerciele omroep RTL heeft bij de Autoriteit Persoonsgegevens (AP) melding gedaan van een omvangrijk datalek. Hackers hebben ingebroken bij 32.000 accounts van RTL-diensten als Videoland, Buienradar en RTL Nieuws.
De mailadressen en wachtwoorden die de cybercriminelen gebruikten zijn buitgemaakt bij hacks in het verleden, onder andere bij LinkedIn, Dropbox en eBay.
RTL heeft alle getroffen accounts geblokkeerd totdat gebruikers hun wachtwoord aanpassen. Er zijn volgens de omroep geen betalingsgegevens gestolen.
Alhoewel de inloggegevens eerder elders zijn buitgemaakt gaat RTL echter zelf niet vrijuit. RTL had onvoldoende beschermingsmaatregelen getroffen waardoor de hackers geautomatiseerd in bulk combinaties van wachtwoorden en mailadressen konden invoeren bij Videoland, Buienradar en RTL Nieuws.
Zo kregen de cybercriminelen toegang tot de volledige naam, het e-mailadres, woonadres en de woonplaats.
In het kader van de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties technische en organisatorische maatregelen treffen om diensten en sites te beveiligen tegen cybercrime. Als er geprobeerd wordt om in bulk in te loggen op een site is dat verdacht en moet zo’n site automatisch die inlogpogingen blokkeren. Dat is blijkbaar bij RTL niet gebeurd.
Veel mensen gebruiken voor verschillende diensten dezelfde inloggegevens. Als een zo’n dienst gekraakt wordt hebben cybercriminelen meteen toegang tot meerdere diensten en sites. Bij security awareness trainingen wordt iedereen daarom geadviseerd om zo snel mogelijk nieuwe alle wachtwoorden te wijzigen. Gebruik voor alle diensten en sites een seperaat wachtwoord.
Wachtwoord aanpassen
Op de website Have I Been Pwnd kun je controleren of wachtwoorden van je online accounts zijn uitgelekt. Is dat het geval? Dan is het belangrijk om dat wachtwoord overal aan te passen. Het is verstandig om voor verschillende online diensten andere wachtwoorden gebruiken.
De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de manier waarop de verwerkingsregisters van dertig grote organisaties uit tien private sectoren worden bijgehouden. Hoe wordt er bijvoorbeeld omgegaan met bewaartermijnen? Op basis van dat onderzoek geeft de AP nu 5 concrete aanwijzingen. Blijkbaar was dat nodig.
Het oneindig bewaren van persoonsgegevens zonder enige motivering mag volgens de AVG niet. Daarom beveelt de Autoriteit Persoonsgegevens in de aanwijzingen nu specifiek aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.
“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft”, zegt voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens.
Vijf concrete aanbevelingen
Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:
Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
PrivacyZone helpt bij het opzetten van een verwerkingsregister
Heeft jouw organisatie, jouw bedrijf, al een verwerkingsregister ingericht? Twijfel je of dat op de juiste manier is gebeurd? Neem geen risico. PrivacyZone kan professionele begeleiding bieden. Samen met onze partners kunnen we iedere organisatie op maat bedienen. Neem contact met ons op: 06-31995740.
Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.
Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.
“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.
Interpretatie AVG
Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”
In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.
In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.
De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.
De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.
De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “ Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.
De staatscommissaris voor gegevensbescherming (TLfDI) in de Duitse deelstaat Thüringen, Dr. Lutz Hasse, zegt dat naambordjes in flats wel degelijk onder de AVG vallen. Daarmee weerspreekt hij zijn collega in Beieren die de hele discussie en ophef over de naambordjes en de AVG “onzin” noemde.
Volgens de Beierse toezichthouder hebben de naambordjes niets van doen met een geautomatiseerd proces en vallen ze daarom niet onder de AVG. Punt. Einde discussie zou je dan denken.
Maar de toezichthouder in Thüringen zegt dat overeenkomstig artikel 2, lid 1, de wet ook van toepassing is op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestandssysteem zijn of worden opgeslagen.
Waar draait deze kwestie om? In Duitse en Oostenrijkse media ontstond de afgelopen week veel ophef over het besluit van een woningcorporatie in Wenen om ruim 200.000 naambordjes in portieken van flats en appartementen te verwijderen vanwege de AVG. Op social media werd al snel over de idioterie van de Europese privacywet geschreven.
. “De vraag is of de naambordjes onderdeel zijn van een bestand”, zegt Dr. Lutz Hasse. En volgens hem is dat zeer waarschijnlijk het geval als de bordjes door de verhuurder worden geplaatst.
Die moet dan immers een planning maken voor het plaatsen, opdracht geven voor het maken van de bordjes en namenlijsten maken voor de huismeester die de bordjes moet plaatsen.
Kortom, de bordjes zijn volgens dr. Lutz wel onderdeel van een bestand.
Moeten alle naambordjes dan toch verwijderd worden?
Dr. Lutz: “Nee, nee, nee!”
Mooi, toch niets aan de hand, denk je dan. Inderdaad ophef om niets. De toezichthouder in Beieren heeft gelijk. Maar helaas… Dr. Lutz zorgt er vervolgens voor dat de naambordjes toch nog voor administratieve AVG-rompslomp kunnen gaan zorgen.
Er moet wel toestemming gevraagd worden
“Plaatsing van de naambordjes is toegestaan indien de betrokkene daarmee heeft ingestemd, instemt met het oog op de toekomst of indien er een andere rechtsgrondslag is (artikel 6, lid 1, AVG)”, zegt dr. Lutz meteen na zijn driewerf nee.
Kortom: volgens de toezichthouder van Thüringen moeten verhuurders al hun huurders nog schriftelijk om toestemming vragen voor de naambordjes.
Hoe kunnen verhuurders aan de AVG voldoen?
Er zijn volgens dr. Lutz onder andere de volgende mogelijkheden om namen op belplaten en brievenbussen op een wettelijk verantwoorde wijze te publiceren:
“De DS-GVO (Duitse afkorting voor de AVG) zorgt voor informatieve zelfbeschikking en biedt ook passende oplossingen voor de Klingelschilder-zaak”, zegt Dr. Lutz Hasse. Hij besluit zijn uitleg opmerkelijk vrolijk met: “en ik ben blij dat de AVG bestaat!”
De verschillen in interpretatie van dezelfde Europese wet door verschillende toezichthouders bewerkstelligt dat waar de Beierse Autoriteit Persoonsgegevens juist voor vreest. Er ontstaat negatieve publiciteit en ophef. Er is veel onduidelijkheid. Daardoor onzekerheid. En daardoor kunnen tegenstanders de Europese privacywet eenvoudig in een kwaad daglicht plaatsen.
Teveel interpretaties mogelijk met de AVG
Er zijn teveel interpretaties mogelijk. Iedere nationale toezichthouder wil zijn eigen stempel drukken. In ieder land spelen andere invalshoeken.
In sommige landen, zoals Duitsland en Frankrijk zijn er naast een nationale Autoriteit Persoonsgegevens ook nog verschillende regionale toezichthouders. In Duitsland zijn er in totaal 18 toezichthouders. Iedere deelstaat heeft een eigen toezichthouder en een eigen site. Dat is vragen om problemen en kritiek.