Boete voor de Sociale verzekeringsbank voor onvoldoende beveiliging conform art. 32 AVG 

Boete voor de Sociale verzekeringsbank voor onvoldoende beveiliging conform art. 32 AVG 

De SVB kreeg van de toezichthouder AP een boete opgelegd van € 150.000.

De SVB kreeg deze boete opgelegd, aangezien zij de privacy risico’s van haar telefonische helpdesk niet goed had ingeschat. Bovendien had de SVB niet op regelmatige basis bekeken of de privacy maatregelen nog passend waren en of deze door de medewerkers werden nageleefd.  Meer concreet had de SVB de volgende AVG zaken onder andere niet goed geregeld:

  1. Alle medewerkers van de SVB (1500) hadden toegang tot alle AOW gegevens van klanten. Per week belden er 20.000 klanten naar de telefonische helpdesk;
  2. De controle van de bellers naar de SVB was onvoldoende. De controle vragen van de SVB waren door eenieder makkelijk te achterhalen en op die wijze konden bellers heel makkelijk gegevens van anderen verkrijgen;
  3. De SVB had haar medewerkers ook onvoldoende privacy bewust gemaakt.

Bedrijven dienen de beveiliging van de persoonsgegevens dusdanig in te stellen dat deze pas bij het risico van de verwerkingsactiviteiten. De AP geeft aan dat er een risico inventarisatie dient te worden gemaakt om te beoordelen welke persoonsgegevens worden verwerkt, waarom die worden verwerkt, waar die worden opgeslagen en voor hoelang. Deze risico inventarisatie dient periodiek herhaald te worden als de diensten worden aangepast, als de organisatie veel groter wordt (en dus meer persoonsgegevens) gaat verwerken etc.[1]

Als duidelijk is welk privacy risico bedrijven bij hun werkzaamheden hebben, kunnen op dat risico passende beveiligingsmaatregelen te worden genomen. Dit is in een uitwerking van de verplichting uit art. 32 AVG.

Op grond van art. 32 AVG dienen organisaties zowel technische beveiligingsmaatregelen als organisatorische beveiligingsmaatregelen te nemen. Deze beveiligingsmaatregelen moeten passend zijn naar de aard van hun werkzaamheden. Zo wordt van een groot bedrijf dat veel persoonsgegevens verwerkt meer en strengere beveiligingsmaatregelen verwacht dan van een plaatselijke bakker. Maar ook voor deze plaatselijke bakker geldt art. 32 AVG in alle redelijkheid.

Tips naar aanleiding van de SVB zaak:

  1. Zorg voor een risico inventarisatie, die je periodiek her- beoordeeld;
  2. Neem medewerkers mee in het privacy risico dat je loopt in de werkzaamheden en train hun met regelmaat (1x per maand/ kwartaal) daarop;
  3. Houd rekening met risico’s voor het identificeren van de klanten, met name als het bijzondere persoonsgegevens betreft zoals medische en financiële gegevens.

[1] Deze risico inventarisatie kun je beginnen met een register van verwerkingen, zie onze juridische downloads.

Start typing and press Enter to search