De AVG bestaat inmiddels 3 jaar. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft in die tijd slechts 12 boetes openbaar gemaakt. Door de onderbezetting (185 FTE) focuste de AP zich in eerste instanties vooral op grote overtreders, zoals Uber en Booking.com. Maar langzaamaan groeit de AP (naar 470 FTE in 2025) en richt zij haar vizier ook op ‘kleinere’ bedrijven, zoals onlangs het onderhoudsbedrijf CP&A met 160 werknemers. De AP gaf dit bedrijf afgelopen maand (mei 2021) een boete van € 15.000,- euro. Hieronder leest u waarom en krijgt u advies hoe u dergelijke boetes – in een arbeidsintensieve sector als de schoonmaak – kunt voorkomen.
Dit artikel is geschreven door Hella Vercammen, directeur van Clean Totaal vakpartner The Legal Company
Wat ging er fout bij CP&A?
CP&A, een bedrijf met circa 160 werknemers, kampte met een zieke werknemer. Via een online verzuimregistratie werd er gevraagd naar de exacte reden van het ziekteverlof. Tot overmaat van ramp werden de gezondheidsgegevens van zieke werknemers ook geregistreerd (verwerkt). Hoe goed bedoeld ook, het vragen naar medische klachten, symptomen of naar de aard of oorzaak van de ziekte, is niet toegestaan volgens de wet. Daarbij is het verwerken van deze bijzondere persoonsgegevens verboden op grond van art. 9 lid 1 van de AVG.
Nadat de AP bekend was geworden met de overtreding heeft zij de CP&A telefonisch benaderd en heeft zij CP&A verzocht om de overtreding zo snel mogelijk te stoppen. CP&A heeft de registratie meteen verwijderd en deed ook alsnog een (rijkelijk late) datalekmelding.
CP&A kreeg niet alleen een boete voor het verwerken van de gezondheidsgegevens. Een deel van de boete ziet op de overtreding van artikel 32 van de AVG (beveiliging van de verwerking). De AP oordeelde dat CP&A de gegevens onvoldoende heeft beschermd. Het Google-Drive bestand waarin de gegevens werden bewaard was namelijk zichtbaar voor iedereen met het juiste webadres. Geen wachtwoord, of nadere authenticatie was vereist om toegang te verkrijgen. Elke onbevoegden kon in theorie dus bij deze bijzondere persoonsgegevens.
Hoe vermijd je een AVG boete?
Het spreekt voor zich dat bedrijven voorzichtig moeten omgaan met persoonsgegevens. Dat geldt nog meer als het gaat om gevoelige persoonsgegevens, zoals iemands ras, godsdienst of gezondheid (bijzondere persoonsgegevens). Een foto kan al iemands etnische achtergrond prijs geven en is dus in die zin al gevoelig materiaal. Houdt u zich dan ook aan onderstaande tips, want de sancties zijn niet mild (boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet).
Tip 1: Verwerk geen gegevens (van uw werknemers) die niet noodzakelijk zijn om te verwerken.
Tip 2: Is er toch een reden om persoonsgegevens op te slaan, bijvoorbeeld voor de salarisadministratie, zorg er dan voor dat deze persoonsgegevens goed zijn beveiligd volgens de laatste stand van de techniek (mits passend voor uw bedrijf). Dit bijvoorbeeld met gebruik van een wachtwoord, of beter nog: 2 factor authenticatie.
Tip 3: Is er onverhoopt toch een beveiligingsincident waarbij persoonsgegevens betrokken zijn waar u verantwoordelijk voor bent, laat dit incident dan zo snel mogelijk evalueren door een privacy jurist. Deze oordeelt op basis van de feiten of dit een datalek betreft en of dat gemeld moet worden bij de AP en/of de betrokkenen. Zo ja, meld dit dan zo snel mogelijk, via een datalek melding formulier bij de AP. De melding moet in ieder geval binnen 72 uur na ontdekking van het lek gedaan worden. Wanneer u dat niet doet bent u (hoogstwaarschijnlijk) in overtreding. Geen geldige excuses voor een te late melding zijn: vakantie, ziekte, drukte of ‘het was weekend’.
Tip 4: Heeft u een datalek melding gedaan? Dan is het gebleken dat het zin heeft om direct na de aanschrijving van de AP alvast aan de slag te gaan om schadebeperkende handelingen te verrichten. Denk aan het verwijderen van de persoonsgegevens of het beter beveiligen van de gegevens. Deze werkzaamheden hebben tijdens een eventuele bezwaarfase invloed op de (hoogte van de) vaststelling van de uiteindelijke boete.
Vragen of advies?
De privacy juristen van The Legal Company zijn gespecialiseerd in het privacyrecht en kijken op dagelijkse basis naar: het interne privacy beleid, privacyverklaringen, verwerkers-/verwerkingsovereenkomsten, registers, datalekken, privacy impact assessments, etc. Wilt u 100% zeker zijn dat u voldoet aan de AVG? Heeft u vragen over het voorgaande, advies of ondersteuning nodig? Neem dan contact met ons op door te mailen naar info@thelegalcompany.nl, te bellen naar 020-3450152 of ons contactformulier in te vullen. We bellen of mailen u dan binnen 24 uur terug.
