Vijf jaar AVG, hoezee!

Top 5:  boetes en datalekken

Sinds de invoering van de AVG zijn verschillende boetes uitgedeeld die nog maar eens het belang van compliance onderstrepen. U krijgt van ons een top 5 van Nederlandse en Europese boetes en we staan stil bij opmerkelijke datalekken uit het verleden.

Top 5 AVG boetes NL

In Nederland deelde de Autoriteit Persoonsgegevens (AP) 21 boetes uit voor overtredingen van de AVG. Hieronder de top 5 hoogste AVG boetes:

1. Boete Belastingdienst €3,7 miljoen (2022)
   Dit is uiteraard naar aanleiding van de toeslagenaffaire. De Belastingdienst verwerkte illegaal persoonsgegevens in de Fraude Signalering Voorziening (FSV). De belastingdienst had geen AVG grondslag om de lijst bij te houden, de gegevens waren niet juist, slecht beveiligd en werden te lang bewaard.

2. Boete Belastingdienst €2,75 miljoen (2021)
   Deze boete is opgelegd aan de Belastingdienst omdat zij onrechtmatig de nationaliteit van aanvragers van kinderopvangtoeslag verwerkte om georganiseerde fraude te bestrijden. Dit werd gedaan terwijl deze gegevens hiervoor niet noodzakelijk waren, dat mag niet. Er was geen grondslag om deze gegevens te verwerken.

3. Boete UWV €900.000 (2019)
   Dit was eigenlijk geen boete maar een last onder dwangsom van €150.000 per maand met een maximum van €900.000 omdat de beveiliging van het werkgeversportaal niet voldeed. De verwerking van gezondheidsgegevens via internet mag alleen met behulp van (minimaal) meerfactorauthenticatie. Het werkgeversportaal had dit niet. Dit is inmiddels wel geïmplementeerd binnen de (gestelde en verlengde) termijn. De last onder dwangsom is niet betaald.

4. Boete BKR €830.000 (2020)
   Het BKR vroeg na invoering van de AVG een vergoeding voor het digitaal opvragen van persoonsgegevens. Ook konden mensen maar 1 keer per jaar (per post) zonder kosten hun gegevens inzien. Die inzage moet volgens de AVG kosteloos, gemakkelijk en mag ook niet beperkt worden tot één keer per jaar. En dus kreeg BKR een boete.

5. Boete TikTok €750.000 (2020)
   Tiktok kreeg een boete omdat zij de privacy van jongere kinderen schendt. De app bood de privacyverklaring alleen in het Engels aan en voldeed daarmee niet aan de AV verplichting om gebruikers te voorzien van duidelijke en begrijpelijke informatie over de verwerking van hun persoonsgegevens door de app. Overigens werd TikTok verdacht van nog meer privacy schendingen maar deze zijn onderzocht door de Ierse toezichthouder.

Top 5 AVG boetes EU

De Nederlandse top 5 AVG boetes is natuurlijk interessant. Maar Europa breed worden er fikse en impactvolle boetes uitgedeeld. Hier wordt duidelijk de ‘grootste vervuiler’ aangepakt, er ontbreekt dan ook wat diversiteit in de top 5.

1. Ierland – boete Meta €1,2 miljard (2023)
   In de maand van het jubileum van de AVG legt de Ierse privacy toezichthouder Meta een recordboete van €1,2 miljard op. De boete wordt uitgedeeld omdat Meta gegevens van Europese gebruikers verwerkt in de VS zonder dat hiervoor adequate waarborgen zijn getroffen. Het ongeldig verklaren van het Privacy Shield ligt hieraan ten grondslag.
   
2. Luxemburg – boete Amazon €746 miljoen (2021)
   De Luxemburgse privacy autoriteit (CNDP) beboette Amazon voor het overtreden van de AVG. De motivatie is niet bekend omdat het publiceren van de beslissing tegen de lokale wetgeving is. Amazon heeft beroep aangetekend en liet in een eerdere reactie op de boete weten dat er geen sprake is van een datalek noch onrechtmatige openbaarmaking van persoonsgegevens aan derden.
3. Ierland – boete Meta €405 miljoen (2022)
   Deze boete werd opgelegd aan Instagram voor de wijze waarop ze persoonsgegevens van kinderen verwerkt. Zo werden e-mailadressen en telefoonnummers van minderjarige gebruikers onvoldoende afgeschermd.
4. Ierland – boete Meta €395 miljoen (2023)
   De Ierse privacy toezichthouder DPC heeft Facebook, Instagram en WhatsApp boetes opgelegd van respectievelijk 210, 180 en 5,5 miljoen euro. De toezichthouder concludeert dat de organisaties de AVG overtreden door gebruikers te dwingen in te stemmen met gepersonaliseerde advertenties en het verbeteren van dienstverlening in de algemene voorwaarden, terwijl dit niet noodzakelijk is voor de dienstverlening. ‘Uitvoering van de overeenkomst’ is dus geen juiste rechtsgrondslag voor het verwerken van die persoonsgegevens.
5. Ierland – boete Meta €265 miljoen (2022)
   Een boete die werd opgelegd vanwege een datalek bij Facebook. De data van 533 miljoen Facebook gebruikers omvatte telefoonnummers, Facebook-ID’s, namen, locaties, geboortedata en e-mailadressen. De data kon door niet optimale beveiliging gescraped worden van het platform en werd te koop aangeboden op het dark web.

Top 5 Datalekken

Een echte top 5 meest impactvolle datalekken is nogal moeilijk samen te stellen. Want soms is er losgeld betaald, soms gaat het om veel gegevens, soms juist om weinig maar gevoelige gegevens. Soms is de oorzaak een bug, soms een hack of een onbetrouwbare medewerker. Vandaar een zeer subjectieve en gevarieerde top 5 datalekken.

1. GGD GHOR  – medische informatie
   Het was de coronacrisis en medewerkers van de GGD verhandelden privégegevens uit de IT systemen. Gegevens werden gestolen uit het systeem waar de testen geadministreerd werden en uit het systeem dat werd ingezet voor bron- en contactonderzoek. De daders zijn gearresteerd. Betrokkenen zijn door de GGD gecompenseerd.

2. Blauw research en Nebu – klantinformatie
   Dit is het meest recente grote datalek. Klantgegevens van 139 organisaties zijn gecompromitteerd. Onder hen aansprekende namen zoals Heineken, ProRail, CZ, de Vrienden van Amstel Live en de Rijksdienst voor Ondernemend. Zij maken gebruik van Blauw voor klanttevredenheidsonderzoek. En het datalek vond plaats bij de softwareleverancier van Blauw, genaamd Nebu. Vanwege het feit dat Nebu niet heel toeschietelijk was met het delen van informatie over het lek aan Blauw en andere betrokken onderzoeksbureaus startte en won Blauw een kortgeding. Nebu moet nu de gevraagde informatie verschaffen.

3. Homerun – sollicitanten
   Homerun is een recruitment platform dat door veel adverteerders wordt gebruikt. Het platform werd in 2020 gehackt. De hacker kon zich toegang verschaffen tot de gegevens vanwege een kwetsbaarheid in de software. Hiervoor was een update beschikbaar, maar die had Homerun nog niet geïnstalleerd. Cv’s en motivaties zijn gecompromitteerd. Homerun heeft losgeld betaald aan de hacker.

4. RDC – autobezitters
   Naar verluid zijn er bij deze hack herleidbare gegevens van zo’n 7,3 miljoen Nederlandse autobezitters betrokken. RDC heeft een platform waarmee garages en dealers hun klanten kunnen registreren en hiermee kunnen communiceren. Dit systeem CaRemail is gehackt. RDC is ‘slechts’ verwerker en dus dienen de dealers en garagehouders hun klanten zelf te infomeren. Data die is buitgemaakt gaat om contactgegevens, geboortedatum en voertuigdata.

5. Forum voor Democratie – lidmaatschap van een politieke partij
   Door een lek in de app  van Forum voor Democratie wordt de hele ledenadministratie gelekt. Hierin staan gegevens van ruim 90.000 leden en oud-leden, zoals naam, woonadressen, telefoon- en rekeningnummers.

De afgelopen 5 jaar hebben wij veel verschillende organisaties mogen helpen op het gebied van de AVG, van loterijen, goede doelen, energiemaatschappijen en uitgeverijen tot aan retail, cosmetica en overheid instanties. Allemaal organisaties die ondersteuning nodig hadden bij de implementatie van of controle op naleving van de privacywetgeving.

Heeft u een AVG gerelateerde vraag? Of bent u benieuwd of u de privacywetgeving wel op de juiste manier naleeft binnen uw organisatie? Stel uw vraag vrijblijvend aan onze experts.