Met dit blog beogen wij een overzichtelijk overzicht te geven van door de AP gepubliceerde opgelegde boetes en lasten onder dwangsom. Dit overzicht vangt aan de invoering van de AVG op 25 mei 2018. Hierdoor worden enkele boetes nog opgelegd vanwege overtredingen van de voorganger van de AVG, de Wet bescherming persoonsgegevens (hierna: “Wbp”).
Met dit overzicht proberen wij zo volledig en actueel mogelijk te zijn. Het overzicht wordt zodoende telkens bijgewerkt. Het huidige overzicht is bijgewerkt tot 3 februari 2024. Mocht u een boete of last onder dwangsom missen, vernemen wij dat uiteraard graag.
Organisatie | Datum publicatie | Overtreden Artikelen | Reden | Hoogte boete of last onder dwangsom | Boete in een openbare procedure aangevochten? |
---|---|---|---|---|---|
Theodoor Gilissen Bankiers N.V. | 09-08-2018 | Artikel 35 lid 2 Wbp. | Schending inzagerecht; geen overzicht en aanvullende informatie verstrekt over verwerking van persoonsgegevens. | Last onder dwangsom van €12.000 voor iedere week dat de last niet (geheel) is uitgevoerd. Maximum: €60.000,00. | - |
01-11-2018 |
Artikel 13 Wbp.
|
Geen passende beveiligingsmaatregelen getroffen; werknemersportaal niet beveiligd met meerfactorauthenticatie. |
Last onder dwangsom van €150.000 voor iedere maand dat de last niet (geheel) is uitgevoerd. Maximum: €900.000,00. |
- |
|
29-11-2018 |
Artikel 34a Wbp. |
Datalek niet melden terwijl dit vereist was. |
€600.000,00. |
- |
|
21-12-2018 |
Artikel 4 lid 3 en art. 35 lid 2 Wbp Jo. art. 58 lid 2 sub d AVG.
|
Geen passende beveiligingsmaatregelen voor politiegegevens, door logbestanden niet regelmatig en proactief te controleren. |
Last onder dwangsom van €50.000 met een vermeerdering van iedere twee weken €20.000. Maximum: €320.000,00. |
- |
|
21-12-2018 |
Artikel 4 lid 3 en art. 35 lid 2 Wbp Jo. art. 58 lid 2 sub d AVG. |
Geen passende beveiligingsmaatregelen genomen binnen in dwangsombesluit opgenomen termijn (zie hiervoor). |
Dwangsom verbeurd van €40.000,00. |
- |
|
16-07-2019 |
Artikel 32 lid 1 AVG.
|
Onvoldoende passende maatregelen genomen voor interne beveiliging van patiëntendossiers, vanwege ontbreken meerfactorauthenticatie en controle op logbestanden. |
€460.000,00.
Dwangsom van €100.000 voor iedere twee weken dat zij niet (geheel) aan de last voldoen. Maximum: €300.000,00. |
- |
|
04-11-2019 |
Artikel 13 Wbp.
|
Onvoldoende passende technologische maatregelen om te beletten dat marketingmedewerkers toegang hebben tot medische dossiers. |
Last onder dwangsom van €50.000,00 verbeurd. |
- |
|
|
04-11-2019 |
Artikel 13 Wbp.
|
Onvoldoende passende technologische maatregelen om te beletten dat werknemers vrije toegang hebben tot bijzondere persoonsgegevens. |
Last onder dwangsom van €50.000 voor iedere week dat last niet (geheel) is uitgevoerd. Maximum: €250.000,00. |
Dit nieuwe besluit is genomen naar aanleiding van de tussenuitspraak van de Rechtbank Midden-Nederland van 7 juli 2017. Hierin oordeelt de rechtbank dat zorgverzekeraars weliswaar niet hoeven te werken aan de hand van een door de AP goedgekeurde gedragscode, de AP toch aan de hand van het verzoek van eiseres nader onderzoek had moeten doen om te kijken of de persoonsgegevens in overeenstemming met de Wbp en EVRM verwerkt worden door de zorgverzekeraars. Deze last onder dwangsom vormt een invulling van het nadere onderzoek. |
03-03-2020 |
Artikel 5 lid 1, aanhef en onder a Jo. artikel 6 lid 1 AVG.
|
Verstrekken van bestand met persoonsgegevens aan sponsoren voor marketingactiviteiten. |
€525.000,00.
|
Zie hiervoor de tussenuitspraak van Rechtbank Amsterdam van 22 september 2022.
Hierin is een prejudiciële vraag gesteld over de invulling van de term ‘gerechtvaardigd belang’ ex art. 6 lid 1 sub f AVG. Meer specifiek ligt onder andere de vraag voor of een zuiver commercieel belang bij het verstrekken van persoonsgegevens tegen betaling, is aan te merken als een dergelijk belang. |
|
30-04-2020 |
Artikel 9 lid 1 AVG.
|
Klokken van uren door middel van vingerafdrukken van werknemers. |
€725.000,00. |
Tegen het boetebesluit heeft het bedrijf bezwaar gemaakt. De AP heeft daarom een besluit op bezwaar genomen.
Hierin is de boete gematigd tot €50.000,-. Dit komt onder andere door de Coronacrisis waardoor het bedrijf in financieel weer is geraakt. Dat er wel een boete opgelegd wordt, heeft ermee te maken dat het uit bepaalde gedragingen afleiden van toestemming niet voldoet aan de door de AVG-wetgever aan toestemming gestelde eisen. |
|
06-07-2020 |
Artikel 12 lid 5 AVG.
|
Geen mogelijkheid tot kosteloze en op elektronische wijze inzage van persoonsgegevens. |
€830.000,00. |
- |
|
VoetbalTV |
16-07-2020 |
Overtreding artikel 6 lid 1 sub f AVG.
|
Het ontbreken van een gerechtvaardigd belang bij het verwerken van persoonsgegevens van (minderjarige) sporters, terwijl gerechtvaardigd belang als verwerkingsgrondslag gehanteerd werd. |
€575.000,00. |
Zie hiervoor de uitspraak van Rechtbank Midden-Nederland van 23 november 2020.
Hierin is bepaald dat een commercieel belang niet zonder meer betekent dat er geen gerechtvaardigd belang kan zijn. De AP heeft ten onrechte niet alle door VoetbalTV aangevoerde belangen betrokken bij de beoordeling. De boete is daarom onterecht opgelegd en hoeft door VoetbalTV niet betaald te worden. |
11-02-2021 |
Artikel 32 lid 1 AVG.
|
Onvoldoende passende maatregelen genomen voor interne beveiliging van patiëntendossiers, vanwege ontbreken meerfactorauthenticatie en controle op logbestanden. |
€440.000,00. |
- |
|
31-03-2021 |
Artikel 33 lid 1 AVG.
|
Te laat melden van een datalek. |
€475.000,00. |
- |
|
29-04-2021 |
Artikel 5 lid 1 Jo. artikel 6 lid 1 AVG.
|
Zonder grondslag verwerken van persoonsgegevens van mensen die gebruik maken van Wifi in de binnenstad van Enschede. |
€600.000,00. |
Zie hiervoor rechtbank Overijssel van 2 februari 2024.
Rechtbank oordeelt (kort gezegd) dat AP in het boetebesluit te veel aannames gedaan heeft en dat het scenario op potentieel misbruik te vergezocht is. AP heeft niet goed uitgezocht of de identiteit van de passanten te achterhalen was. Dat het technisch mogelijk kan zijn, vindt de rechtbank niet genoeg. |
|
11-05-2021 |
Artikel 33 lid 1 AVG.
|
Nalaten melden van een datalek. |
€7.500,00. |
- |
|
12-05-2021 |
Artikel 27 lid 1 en lid 3 AVG.
|
Geen schriftelijke aanwijzing van een vertegenwoordiger in de Europese Unie. |
€525.000,00.
Dwangsom van €20.000 voor iedere twee weken dat zij niet (geheel) aan de last voldoen. Maximum: €120.000,00. |
- |
|
19-05-2021 |
Artikel 9 lid 1 AVG en artikel 32 lid 1 AVG.
|
Verwerken van gezondheidsgegevens van werknemers en onvoldoende passende beveiligingsmaatregelen genomen. |
€15.000,00. |
- |
|
10-06-2021 |
Artikel 32 lid 1 AVG.
|
Geen passende technische en organisatorische maatregelen door afwezigheid van TLS-certificaat. |
€12.000,00. |
- |
|
07-07-2021 |
Artikel 13 Wpg Jo. artikel 32 lid 1 en 2 AVG.
|
Onvoldoende treffen van beveiligingsmaatregelen, waardoor persoonsgegevens van werkzoekenden bij onbevoegde ontvangers terecht konden komen. |
€450.000.00. |
- |
|
22-07-2021 |
Artikel 12 lid 1 AVG.
|
Aan Nederlandse gebruikers, waaronder kinderen, het privacybeleid enkel in het Engels ter beschikking stellen. |
€750.000,00. |
- |
|
12-11-2021 |
Artikel 32 lid 1 en lid 2 AVG. |
Geen passende maatregelen treffen n om een op het risico afgestemd beveiligingsniveau te waarborgen, waardoor systeem gehackt kon worden. |
€400.000,00. |
- |
|
07-12-2021 |
Artikel 5 lid 1 sub a Jo. artikel 6 lid 1 sub e AVG en artikel 6 Jo. artikel 8 Wpg.
|
Toeslagenaffaire |
€2.750.000,00. |
- |
|
24-02-2022 |
Artikel 12 lid 2 AVG. |
Belemmering van recht van inzage en gegevenswissing, door voor verwerking van het verzoek om identiteitsbewijs te vragen. |
€525.000,00. |
Zie hiervoor de uitspraak van Rechtbank Amsterdam van 10 augustus 2023.
De rechtbank oordeelt in deze uitspraak dat de AP niet zonder meer tot de oplegging van deze boete kunnen komen. Er is aan de zijde van DPG geen sprake van ernstig verwijtbaar handelen, waardoor er sprake is van niet meer dan een kleine inbreuk op de AVG. Bij het opleggen van de boete heeft de AP niet genoeg gekeken naar de omstandigheden van het geval, waardoor zij niet tot het opleggen van deze boete had kunnen komen. Zij dient hier nader onderzoek te verrichten. |
|
06-04-2022 |
Overtreding artikel 13 lid 1 sub e Jo. artikel 32 lid 1 AVG.
|
Onvoldoende beveiliging van visumaanvragen en ontbreken van een procedure voor het melden van beveiligingsincidenten. |
€565.000,00.
Dwangsom voor het in orde maken van beveiliging en informatievoorziening van respectievelijk €50.000 per twee weken en €10.000 per week dat dit niet (geheel) het geval is. |
- |
|
12-04-2022 |
Artikel 5, 6, 32 en 35 AVG.
|
Door verwerken van persoonsgegevens in FSV handelt zij in strijd met beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. Daarnaast heeft zij onvoldoende passende beveiligingsmaatregelen genomen, door tekortkoming in de toegangsbeveiliging en in de controle op logging. |
€3.700.000,00. |
- |
|
21-12-2022 |
Artikel 4c lid 1 Wet Politiegegevens.
|
Korpschef heeft nagelaten om voor het maken van camerabeelden met mobiele camera auto’s een DPIA (gegevensbeschermingseffectbeoordeling) te doen, terwijl deze verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen inhield. |
€50.000,00. |
- |
|
13-04-2023 |
Artikel 32 lid 1 en 2 AVG.
|
Onvoldoende passende maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen bij telefonisch contact met AOW-verzekerden door gebrekkige identiteitscontrole. |
€150.000,00. |
- | |
17-11-2023 |
Artikel 5, 6 en 14 AVG |
Het College bewaarde de stortgegevens van bewoners langer dan noodzakelijk. Bovendien heeft het College de betrokkenen hierover niet goed geïnformeerd. Zij wisten niet welke persoonsgegevens werden verwerkt, voor welk doel dit werd gedaan of wat de grondslag hiervan was. |
€30.000,00. |
- | |
18-12-2023 |
Artikel 35 AVG |
ICS heeft nagelaten een zgn. gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren, terwijl met de invoering van het identificatie- en verificatieproces sprake is van een verwerking van persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. |
€ 150.000,00 |
- | |
31-01-2024 |
Artikel 12 en 13 AVG |
Uber heeft diverse overtredingen van de AVG begaan met betrekking tot transparantie. Het betreft (onder andere) het uitsluitend in het Engels beschikbaar stellen van guidance notes, het niet goed bereikbaar zijn van formuleren waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen en onvoldoende specifieke informatie over bewaartermijnen en doorgifte van persoonsgegevens in de privacyverklaring. |
€ 10.000.000,00 |