De Autoriteit Persoonsgegevens (AP) beboet steeds vaker MKB ondernemingen

De Autoriteit Persoonsgegevens (AP) beboet steeds vaker MKB ondernemingen

De Autoriteit Persoonsgegevens (AP) is inmiddels dermate gegroeid dat nu ook bedrijven uit het MKB kunnen worden beboet.

Recentelijk heeft de AP twee kleinere bedrijven beboet. Een MKB ondernemer CP&A en een orthodontiepraktijk kregen respectievelijk € 15.000 en € 12.000 boete opgelegd.

In beide gevallen ging het om de verwerking van bijzondere persoonsgegevens. Bij CP&A betrof het de verwerking van de medische gegevens van hun werknemers en bij het orthodontiepraktijk om verwerking van medische gegevens van hun patiënten, veelal minderjarige patiënten.

I. Boete CP&A: € 15.000

 

  1. Verwerking bijzondere persoonsgegevens

De AP werd erop geattendeerd dat melding waaruit bleek dat onderhoudsbedrijf CP&A   medische gegevens verwerkte van haar werknemers. De AP concludeerde dat in ieder geval dat vanaf 12 maart 2019 tot en met 2 mei 2019 CP&A online in een Google Drive-bestand de verzuimregistratie op internet had bijgehouden. Bovendien had het bedrijf ook medische gegevens van haar werknemers bijgehouden zoals de fysieke en mentale ziektes, specifieke klachten en pijnaanduidingen.

Werkgevers mogen geen medische persoonsgegevens verwerken, dat is voorbehouden aan de Arboarts.  De gegevens van werknemers die door werkgevers mogen worden, dienen nodig te zijn in het kader van de re-integratieverplichting van de werknemer, zoals welke werkzaamheden een werknemer wel kan doen, de verwachte duur van het verzuim en de mate van arbeidsgeschiktheid.

  1. Geen passende beveiliging

Naast het feit dat de werkgever niet meer gegevens mag verwerken dan noodzakelijk, zullen bedrijven ook de overige AVG verplichtingen in acht moeten nemen. Een van de belangrijkste verplichtingen in de AVG is de zorg voor een goede beveiliging van de persoonsgegevens. Dit ziet zowel op de technische beveiliging (goede wachtwoorden etc.) als op de organisatorische beveiliging (alleen die personen toegang verstrekken die dat nodig hebben in het kader van hun functie).

In deze zaak CP&A – naast dat zij teveel bijzondere persoonsgegevens verzamelde – ook geen passende beveiliging van de bijzondere persoonsgegevens. AC&P was echter van mening dat zij op juiste wijze, in overeenstemming met de daartoe geldende regelgeving, omging met de gegevens van de betrokken werknemers en die gegevens op een zorgvuldige manier had beveiligd, zodat deze niet vrij toegankelijk waren. Ter bescherming van de privacy van de betrokken medewerkers was het bestand, de verzuimregistratie, enkel toegankelijk via een link. Deze link werd alleen verstrekt aan personen die betrokken waren met de re-integratie van de medewerkers. Buiten die personen had niemand toegang. Echter werd door het bedrijf er geen rekening mee gehouden dat de link onbevoegd aan een derde zou kunnen worden verstrekt.

De AP heeft CA& P voor de hiervoor genoemde AVG inbreuken een boete van € 15.000 opgelegd, rekening houdend met de draagkracht van de onderneming. Had de AP dat niet gedaan, dan was de boete volgens de AVG uitgekomen op meer dan 1 miljoen euro!

 

II. Boete orthodontiepraktijk: € 12.000

Ook in de zaak van de orthodontiepraktijk was er sprake van onvoldoende passende beveiliging van  persoonsgegevens.

Wat was het geval? Het aanmeldformulier op de website van de orthodontiepraktijk vroeg om veel persoonsgegevens waaronder ook om het BSN. Bovendien voldeed de beveiliging van de website niet. De ingevulde gegevens werden met een niet-beveiligde en niet versleutelde verbinding naar de orthodontiepraktijk gezonden. Om de beveiliging aan te laten sluiten bij een passend beveiligingsniveau had de verzending van de persoonsgegevens via een beveiligde, versleutelde verbinding moeten lopen.

Medische gegevens zijn bijzondere persoonsgegevens die van een passend beveiligingsniveau dienen te worden voorzien.  Een BSN is geen bijzonder persoonsgegeven in de zin van art. 9 van de AVG, maar neemt wel een bijzondere plaats in. Een BSN mag namelijk alleen verwerkt worden als dat bij wet is bepaald, zoals de verwerking in geval van een dienstverband, in de zorg en bij de overheid.

In deze zaak bleek een enkele klacht bij de AP voldoende om de orthodontiepraktijk een boete op te leggen van € 12.000. Ook hier verminderde de AP de basisboete van maar liefst € 310.000 naar € 12.000.

Tips voor ondernemers:

  1. Inventariseer welke AVG verplichtingen er op jou rusten en beoordeel of deze zwaarder zijn vanwege de branche ( de zorg), jouw klanten ( veel kinderen) of veel persoonsgegevens (bijv. regelmatig VOG-aanvragen)
  2. Voer van begin tot eind in jouw bedrijfsprocessen door dat je niet teveel persoonsgegevens verwerkt én dat jouw beveiliging in orde is.
  3. Check of de punten 1 en 2 worden nageleefd bij samenwerkingsverbanden.
  4. Gebruik een tool om inzicht te krijgen of doe een nulmeting. Op het downloadplatform kun je de vragenlijst voor de nulmeting AVG downloaden. Hiermee kun je nagaan welke AVG gerelateerde zaken nog dienen te worden opgepakt binnen jouw bedrijf.

 

Vragen over dit artikel? Neem gerust contact op via 088-133 11 33 / service@deraadgevers.nl

 

Start typing and press Enter to search