Overzicht opgelegde boetes en lasten onder dwangsom door Autoriteit Persoonsgegevens

8 november 2023, laatst geüpdatet 11 september 2024
NULL
Sven Wakker
Sven Wakker
Advocaat - Senior
In dit artikel
De Autoriteit Persoonsgegevens (hierna: “AP”) is op grond van de AVG belast met het toezicht op de naleving van de AVG in Nederland. De AP is bevoegd om verschillende sancties op te leggen, waaronder een boete of een last onder dwangsom.

Met dit blog beogen wij een overzichtelijk overzicht te geven van door de AP gepubliceerde opgelegde boetes en lasten onder dwangsom. Dit overzicht vangt aan de invoering van de AVG op 25 mei 2018. Hierdoor worden enkele boetes nog opgelegd vanwege overtredingen van de voorganger van de AVG, de Wet bescherming persoonsgegevens (hierna: “Wbp”).

Met dit overzicht proberen wij zo volledig en actueel mogelijk te zijn. Het overzicht wordt zodoende telkens bijgewerkt. Het huidige overzicht is bijgewerkt tot 3 februari 2024. Mocht u een boete of last onder dwangsom missen, vernemen wij dat uiteraard graag.

Organisatie Datum publicatie Overtreden Artikelen Reden Hoogte boete of last onder dwangsom Boete in een openbare procedure aangevochten?
Theodoor Gilissen Bankiers N.V. 09-08-2018 Artikel 35 lid 2 Wbp. Schending inzagerecht; geen overzicht en aanvullende informatie verstrekt over verwerking van persoonsgegevens. Last onder dwangsom van €12.000 voor iedere week dat de last niet (geheel) is uitgevoerd. Maximum: €60.000,00. -

UWV

01-11-2018

Artikel 13 Wbp.

Geen passende beveiligingsmaatregelen getroffen; werknemersportaal niet beveiligd met meerfactorauthenticatie.

Last onder dwangsom van €150.000 voor iedere maand dat de last niet (geheel) is uitgevoerd.

Maximum: €900.000,00.

-

Uber

29-11-2018

Artikel 34a Wbp.

Datalek niet melden terwijl dit vereist was.

€600.000,00.

-

Nationale Politie

21-12-2018

Artikel 4 lid 3 en art. 35 lid 2 Wbp Jo. art. 58 lid 2 sub d AVG.

Geen passende beveiligingsmaatregelen voor politiegegevens, door logbestanden niet regelmatig en proactief te controleren.

Last onder dwangsom van €50.000 met een vermeerdering van iedere twee weken €20.000.

Maximum: €320.000,00.

-

Nationale Politie

21-12-2018

Artikel 4 lid 3 en art. 35 lid 2 Wbp Jo. art. 58 lid 2 sub d AVG.

Geen passende beveiligingsmaatregelen genomen binnen in dwangsombesluit opgenomen termijn (zie hiervoor).

Dwangsom verbeurd van €40.000,00.

-

HagaZiekenhuis

16-07-2019

Artikel 32 lid 1 AVG.

Onvoldoende passende maatregelen genomen voor interne beveiliging van patiëntendossiers, vanwege ontbreken meerfactorauthenticatie en controle op logbestanden.

€460.000,00.

Dwangsom van €100.000 voor iedere twee weken dat zij niet (geheel) aan de last voldoen.

Maximum: €300.000,00.

-

Menzis

04-11-2019

Artikel 13 Wbp.

Onvoldoende passende technologische maatregelen om te beletten dat marketingmedewerkers toegang hebben tot medische dossiers.

Last onder dwangsom van €50.000,00 verbeurd.

-

VGZ

04-11-2019

Artikel 13 Wbp.

Onvoldoende passende technologische maatregelen om te beletten dat werknemers vrije toegang hebben tot bijzondere persoonsgegevens.

Last onder dwangsom van €50.000 voor iedere week dat last niet (geheel) is uitgevoerd.

Maximum: €250.000,00.

Dit nieuwe besluit is genomen naar aanleiding van de tussenuitspraak van de Rechtbank Midden-Nederland van 7 juli 2017. Hierin oordeelt de rechtbank dat zorgverzekeraars weliswaar niet hoeven te werken aan de hand van een door de AP goedgekeurde gedragscode, de AP toch aan de hand van het verzoek van eiseres nader onderzoek had moeten doen om te kijken of de persoonsgegevens in overeenstemming met de Wbp en EVRM verwerkt worden door de zorgverzekeraars. Deze last onder dwangsom vormt een invulling van het nadere onderzoek.

KNLTB

03-03-2020

Artikel 5 lid 1, aanhef en onder a Jo. artikel 6 lid 1 AVG.

Verstrekken van bestand met persoonsgegevens aan sponsoren voor marketingactiviteiten.

€525.000,00.

Zie hiervoor de tussenuitspraak van Rechtbank Amsterdam van 22 september 2022.

Hierin is een prejudiciële vraag gesteld over de invulling van de term ‘gerechtvaardigd belang’ ex art. 6 lid 1 sub f AVG. Meer specifiek ligt onder andere de vraag voor of een zuiver commercieel belang bij het verstrekken van persoonsgegevens tegen betaling, is aan te merken als een dergelijk belang.

Onbekende onderneming

30-04-2020

Artikel 9 lid 1 AVG.

Klokken van uren door middel van vingerafdrukken van werknemers.

€725.000,00.

Tegen het boetebesluit heeft het bedrijf bezwaar gemaakt. De AP heeft daarom een besluit op bezwaar genomen.

Hierin is de boete gematigd tot €50.000,-. Dit komt onder andere door de Coronacrisis waardoor het bedrijf in financieel weer is geraakt. Dat er wel een boete opgelegd wordt, heeft ermee te maken dat het uit bepaalde gedragingen afleiden van toestemming niet voldoet aan de door de AVG-wetgever aan toestemming gestelde eisen.

BKR

06-07-2020

Artikel 12 lid 5 AVG.

Geen mogelijkheid tot kosteloze en op elektronische wijze inzage van persoonsgegevens.

€830.000,00.

-

VoetbalTV

16-07-2020

Overtreding artikel 6 lid 1 sub f AVG.

Het ontbreken van een gerechtvaardigd belang bij het verwerken van persoonsgegevens van (minderjarige) sporters, terwijl gerechtvaardigd belang als verwerkingsgrondslag gehanteerd werd.

€575.000,00.

Zie hiervoor de uitspraak van Rechtbank Midden-Nederland van 23 november 2020.

Hierin is bepaald dat een commercieel belang niet zonder meer betekent dat er geen gerechtvaardigd belang kan zijn. De AP heeft ten onrechte niet alle door VoetbalTV aangevoerde belangen betrokken bij de beoordeling. De boete is daarom onterecht opgelegd en hoeft door VoetbalTV niet betaald te worden.

OLVG

11-02-2021

Artikel 32 lid 1 AVG.

Onvoldoende passende maatregelen genomen voor interne beveiliging van patiëntendossiers, vanwege ontbreken meerfactorauthenticatie en controle op logbestanden.

€440.000,00.

-

Booking.com

31-03-2021

Artikel 33 lid 1 AVG.

Te laat melden van een datalek.

€475.000,00.

-

Gemeente Enschede

29-04-2021

Artikel 5 lid 1 Jo. artikel 6 lid 1 AVG.

Zonder grondslag verwerken van persoonsgegevens van mensen die gebruik maken van Wifi in de binnenstad van Enschede.

€600.000,00.

Zie hiervoor rechtbank Overijssel van 2 februari 2024.

Rechtbank oordeelt (kort gezegd) dat AP in het boetebesluit te veel aannames gedaan heeft en dat het scenario op potentieel misbruik te vergezocht is. AP heeft niet goed uitgezocht of de identiteit van de passanten te achterhalen was. Dat het technisch mogelijk kan zijn, vindt de rechtbank niet genoeg.

PVV Overijssel

11-05-2021

Artikel 33 lid 1 AVG.

Nalaten melden van een datalek.

€7.500,00.

-

Locatefamily.com

12-05-2021

Artikel 27 lid 1 en lid 3 AVG.

Geen schriftelijke aanwijzing van een vertegenwoordiger in de Europese Unie.

€525.000,00.

Dwangsom van €20.000 voor iedere twee weken dat zij niet (geheel) aan de last voldoen.

Maximum: €120.000,00.

-

CP&A

19-05-2021

Artikel 9 lid 1 AVG en artikel 32 lid 1 AVG.

Verwerken van gezondheidsgegevens van werknemers en onvoldoende passende beveiligingsmaatregelen genomen.

€15.000,00.

-

Orthodontiepraktijk

10-06-2021

Artikel 32 lid 1 AVG.

Geen passende technische en organisatorische maatregelen door afwezigheid van TLS-certificaat.

€12.000,00.

-

UWV

07-07-2021

Artikel 13 Wpg Jo. artikel 32 lid 1 en 2 AVG.

Onvoldoende treffen van beveiligingsmaatregelen, waardoor persoonsgegevens van werkzoekenden bij onbevoegde ontvangers terecht konden komen.

€450.000.00.

-

TikTok

22-07-2021

Artikel 12 lid 1 AVG.

Aan Nederlandse gebruikers, waaronder kinderen, het privacybeleid enkel in het Engels ter beschikking stellen.

€750.000,00.

-

Transavia

12-11-2021

Artikel 32 lid 1 en lid 2 AVG.

Geen passende maatregelen treffen n om een op het risico afgestemd beveiligingsniveau te waarborgen, waardoor systeem gehackt kon worden.

€400.000,00.

-

Belastingdienst

07-12-2021

Artikel 5 lid 1 sub a Jo. artikel 6 lid 1 sub e AVG en artikel 6 Jo. artikel 8 Wpg.

Toeslagenaffaire

€2.750.000,00.

-

DPG Media (Sanoma)

24-02-2022

Artikel 12 lid 2 AVG.

Belemmering van recht van inzage en gegevenswissing, door voor verwerking van het verzoek om identiteitsbewijs te vragen.

€525.000,00.

Zie hiervoor de uitspraak van Rechtbank Amsterdam van 10 augustus 2023.

De rechtbank oordeelt in deze uitspraak dat de AP niet zonder meer tot de oplegging van deze boete kunnen komen. Er is aan de zijde van DPG geen sprake van ernstig verwijtbaar handelen, waardoor er sprake is van niet meer dan een kleine inbreuk op de AVG. Bij het opleggen van de boete heeft de AP niet genoeg gekeken naar de omstandigheden van het geval, waardoor zij niet tot het opleggen van deze boete had kunnen komen. Zij dient hier nader onderzoek te verrichten.

Ministerie van Buitenlandse Zaken

06-04-2022

Overtreding artikel 13 lid 1 sub e Jo. artikel 32 lid 1 AVG.

Onvoldoende beveiliging van visumaanvragen en ontbreken van een procedure voor het melden van beveiligingsincidenten.

€565.000,00.

Dwangsom voor het in orde maken van beveiliging en informatievoorziening van respectievelijk €50.000 per twee weken en €10.000 per week dat dit niet (geheel) het geval is.

-

Belastingdienst

12-04-2022

Artikel 5, 6, 32 en 35 AVG.

Door verwerken van persoonsgegevens in FSV handelt zij in strijd met beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. Daarnaast heeft zij onvoldoende passende beveiligingsmaatregelen genomen, door tekortkoming in de toegangsbeveiliging en in de controle op logging.

€3.700.000,00.

-

Politie Rotterdam

21-12-2022

Artikel 4c lid 1 Wet Politiegegevens.

Korpschef heeft nagelaten om voor het maken van camerabeelden met mobiele camera auto’s een DPIA (gegevensbeschermingseffectbeoordeling) te doen, terwijl deze verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen inhield.

€50.000,00.

-

Sociale Verzekeringsbank

13-04-2023

Artikel 32 lid 1 en 2 AVG.

Onvoldoende passende maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen bij telefonisch contact met AOW-verzekerden door gebrekkige identiteitscontrole.

€150.000,00.

-

Gemeente Voorschoten

17-11-2023

Artikel 5, 6 en 14 AVG

Het College bewaarde de stortgegevens van bewoners langer dan noodzakelijk. Bovendien heeft het College de betrokkenen hierover niet goed geïnformeerd. Zij wisten niet welke persoonsgegevens werden verwerkt, voor welk doel dit werd gedaan of wat de grondslag hiervan was.

€30.000,00.

-

International Card Services (ICS)

18-12-2023

Artikel 35 AVG

ICS heeft nagelaten een zgn. gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren, terwijl met de invoering van het identificatie- en verificatieproces sprake is van een verwerking van persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

€ 150.000,00

-

Uber

31-01-2024

Artikel 12 en 13 AVG

Uber heeft diverse overtredingen van de AVG begaan met betrekking tot transparantie. Het betreft (onder andere) het uitsluitend in het Engels beschikbaar stellen van guidance notes, het niet goed bereikbaar zijn van formuleren waarmee chauffeurs hun recht op inzage en gegevensoverdraagbaarheid kunnen uitoefenen en onvoldoende specifieke informatie over bewaartermijnen en doorgifte van persoonsgegevens in de privacyverklaring.

€ 10.000.000,00