Forse boete overtreding privacywet. 48.000 Euro voor weigeren inzicht persoonsgegevens van 1 klant

De Autoriteit Persoonsgegevens heeft een bedrag van 48.000 euro geïnd van de vermogensbeheerder Theodoor Gilissen voor het overtreden van privacyregelgeving.

Theodoor Gilissen weigerde een van zijn klanten inzicht te geven in zijn persoonsgegevens. De klant wilde in 2016 weten welke gegevens de bank van hem had, waar ze vandaan kwamen en met wie de gegevens zijn gedeeld. Door die informatie niet te delen, overtrad de private bank de Wet Bescherming Persoonsgegevens (WPB). Dit was de voorloper van de AVG.

De Autoriteit Persoonsgegevens gaf Theodoor Gilissen na een onderzoek twee maanden de tijd om de gegevens alsnog te verstrekken.

12.000 Euro boete per week

Na die periode zou de bank een boete van 12.000 euro moeten betalen voor elke week dat de klant zijn gegevens niet te zien kreeg, met een maximum van 60.000 Euro.

Uiteindelijk kwam Theodoor Gilissen na vier weken over de brug.

Boetes kunnen nog hoger worden

Hoewel de boete die is opgelegd op basis van de oude privacywet WBP voor het benadelen van 1 klant in dit geval al fors lijkt zouden de boetes onder de nieuwe privacywet AVG nog eens fors hoger kunnen worden.

De Autoriteit Persoonsgegevens had in 2016 het boetemaximum net verdubbeld van 450.000 euro tot 900.000 euro.

Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG), of kortweg privacyverordening, van kracht. Op grond van deze verordening kunnen de volgende boetes worden opgelegd:

  1. een boete van maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer procedureel van aard zijn (artikel 83 lid 4 AVG);
  2. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor schending van de verplichtingen die veelal meer materieel / inhoudelijk van aard zijn of de privacy van de betrokkenen directer raken (artikel 83 lid 5 AVG)
  3. een boete van maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet voor het niet opvolgen van een bevel van een toezichthouder (artikel 83 lid 6 AVG);
  4. een in het nationale recht bepaalde sanctie op het schenden van een artikel waarop de verordening zelf geen sanctie stelt (artikel 84 lid 1 AVG).

Geen drempel voor hoogte boete

In de privacyverordening zijn geen formele drempels opgenomen voor het opleggen van een boete. Wel bepaalt artikel 83 lid 2 AVG, kort gezegd, dat bij het opleggen van een boete rekening moet worden gehouden met alle omstandigheden van het geval.

Theodoor Gilissen is nu InsingerGilissen

Theodoor Gilissen is sinds zijn fusie met de private bank Insinger de Beaufort in 2017 actief onder de naam InsingerGilissen.

De uitspraak van de Autoriteit Persoonsgevens schept duidelijkheid over de boetes die in de praktijk uitgedeeld kunnen worden bij op zich “kleine” overtredingen van de AVG. Hier betrof het een klacht van slechts één klant van de bank.

Iedereen heeft privacyrechten

De privacywet geeft iedereen privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt.

Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Reputatieschade

Meteen wordt ook duidelijk hoe schadelijk een boete voor de reputatie van een organisatie kan zijn.

De vermogensverstrekker had voordien een uitstekende naam. Theodoor Gilissen won in 2014 de Gouden Stier in de categorie ‘Vermogensbeheerder’. Net als in 2013 beoordeelde een onafhankelijke vakjury het door de private bank ingediende beleggingsvoorstel als beste.

Meer actueel awareness nieuws