Het opleggen van boetes onder de AVG: praktijkvoorbeelden
Het zal je niet ontgaan zijn: nog voor het einde van het jaar waarin de AVG in de EER van kracht is geworden, zijn de eerste boetes door de toezichthouders uitgedeeld.
Het gaat om twee extremen. Enerzijds heeft de Nederlandse toezichthouder een boete van € 600.000 aan Uber opgelegd. Anderzijds is een boete van € 20.000 door de Duitse toezichthouder opgelegd voor een datalek bij de chatsite Knuddels.de.
Willekeur?
De verschillen in deze boetes zijn groot. Is er dan zoveel willekeur in de hoogte van de boetes die de toezichthouders kunnen opleggen? Hangt het er vanaf bij welke toezichthouder (in welke lidstaat) je zaak dient?
Op zich is er enige mate van vrijheid in de beoordeling van alle feiten en omstandigheden. Ook terwijl de AVG voor alle lidstaten gelijk luidt, werkt de AVG met zogenaamde open normen. Open normen dien je zelf in te vullen aan de hand van je specifieke situatie. Hoe gevoeliger de persoonsgegevens zijn die je ter beschikking hebt, hoe meer (organisatorische en technische) beveiligingsmaatregelen je dient te treffen. Logisch toch?
Afgezien van de vrijheid om open normen in te vullen en de vrijheid van de toezichthouder (binnen bepaalde kaders) lagere of hogere boetes op te leggen, zijn in de zaken Uber en Knuddels.de duidelijke verschillen. De zaken verschillen eigenlijk als dag en nacht van elkaar. Dit verklaart ook het verschil in de hoogte van de opgelegde boetes.
Verschillen
Daar waar Knudde.de geheel conform de AVG een datalekmelding binnen de vereiste 72 uur deed en op alle gebieden meewerkte met de toezichthouder, verzaakte Uber op grove wijze zijn zaken. Uber deed géén melding van het datalek. Sterker nog, Uber betaalde zelfs grof geld aan hackers om het datalek te verzwijgen.
Een ander verschil dat de hoogte van de boetes verklaart, is dat Uber op géén enkele wijze zich de belangen van de betrokkenen aantrok. Betrokkenen van wie de telefoonnummers en e-mailadressen van miljoenen betrokkenen waren gehackt, kregen totaal geen melding van Uber. Uber hield zelfs gedurende bijna een jaar(!) de hack geheim. Knuddels.de, waar bij de persoonsgegevens van zo een 330.000 betrokkenen lekten, lichtte vrijwel direct alle betrokkenen in en dichtte ook vrij rap het lek.
Toch kleine boete…
De enige reden waarom Knuddels.de toch een boete opgelegd kreeg had te maken met het feit dat zij gelet op de gevoelige e-mailadressen en wachtwoorden die zij beheerden de persoonsgegevens technisch niet goed beveiligd hadden. Zij hadden de wachtwoorden niet versleuteld of gehasht. Hierdoor was, na het datalek, het voor de hackers eigenlijk direct mogelijk om de persoonsgegevens uit te lezen.
Uber kreeg van de toezichthouder in het Verenigd Koninkrijk ook een boete van € 400.000 en in de VS een boete van 148 miljoen dollar!
Je ziet het: het op orde hebben van je privacy en meewerken met de toezichthouder loont zeker de moeite!
Bij Uber kon de toezichthouder in Nederland niet anders dan duidelijk maken dat er niet op deze wijze met de persoonsgegevens van zoveel betrokkenen kon worden omgegaan. Bovendien zou een lagere boete niet het afschrikkend effect hebben als van een boete mag worden verwacht.
Voor mij als privacy jurist en privacy officer bevestigden deze zaken hetgeen ik vaker aangeef aan cliënten: zorg dat je je zaken op orde hebt, doe tijdig een datalekmelding en dan zal de boete in worst case scenario (bij een datalek) meevallen. Immers, privacy moet wel werkbaar blijven!
Shyreen Panday
Privacy & Intellectueel Eigendomsrecht
privacy@deraadgevers.nl/spanday@deraadgevers.nl
06 – 222 648 23
Noot 1: Het datalek van Uber was in 2016. In Nederland gold toentertijd de voorloper van de AVG, de Wet Bescherming Persoonsgegevens (Wbp). Op grond van de Wbp diende Uber ook binnen 72 uur een datalek te melden en betrokkenen te informeren als er ernstige gevolgen voor de persoonlijke levenssfeer van de betrokkenen te vrezen waren.
Noot 2: Op grond van de AVG is het niet meer mogelijk om door toezichthouders in verschillende lidstaten te worden beboet voor hetzelfde feit. Er wordt één toezichthouder gekozen en die handelt de zaak af.