Hoge boetes privacywet: dit is wat bedrijven moeten betalen

Wat is de Europese privacywet (GDPR)?

De Europese privacywet heet eigenlijk General Data Protection Regulation en werd in 2016 geïntroduceerd. In 2018 werd de wet daadwerkelijk onderdeel van de Europese wetgeving. Personen krijgen daarmee meer beschermende rechten als het gaat om het gebruik van persoonlijke data, specifiek online. De wet telt maar liefst 11 hoofdstukken over algemene regels, rechten van betrokkenen, doorgifte van persoonsgegevens aan derden en de sancties die volgen bij het schenden van de rechten, et cetera. De GDPR werd een voorbeeld voor veel nationale wetten buiten de Europese Unie, Zo hebben het Verenigd Koninkrijk, Turkije, Japan, Zuid-Korea, Chili, Argentinië, Brazilië en Kenia een gelijkende wet.

Dat de GDPR een serieuze wet is, die serieus wordt gehandhaafd, blijkt wel uit de opbrengsten van de wet. In 2020 heeft Europa voor ruim 182 miljoen euro aan boetes uitgedeeld voor het niet naleven van deze wet. De meeste boetes werden opgelegd voor datalekken, misbruik van gegevens en andere overtredingen.

Alleen al in Duitsland werd in 2020 voor 37,4 miljoen euro aan boetes opgelegd. Vooral in het laatste kwartaal van het jaar werden flink wat boetes opgelegd. Dat is alarmerend, want dat houdt in dat datalekken een serieus probleem beginnen te worden in Europa. Gelukkig houdt het ook in dat de Europese wet doet waar het voor is ingevoerd: Europeanen online beschermen.

Sinds GDPR in werking trad zijn er 819 boetes uitgedeeld, met een totale waarde van 1,293 miljard euro. Hieronder kun je zien hoe deze boetes de afgelopen jaren verdeeld zijn.

Hoewel het aantal GDPR-boetes in 2021 nog verder is afgenomen, kun je in de grafiek hieronder zien dat de totale bedragen die ermee gemoeid zijn flink zijn toegenomen.

De reden hiervoor is dat een aantal van de hoogste boetes ooit in 2021 werd uitgedeeld:

• Op 16 juli legde de Luxemburgse Nationale Commissie voor Databescherming de hoogste GDPR-boete ooit ter waarde van €746 miljoen op aan Amazon.com Inc.
• Op 2 september beboette de gegevensbeschermingsautoriteit van Ierland, de Data Privacy Commission, WhatsApp Ireland voor een bedrag van €225 miljoen, de tweede grootste GDPR-boete ooit.

De top 5 hoogste GDPR-boetes vind je hieronder:

Minder meldingen in Nederland

In Nederland ziet over de afgelopen periode minder GDPR-klachten. Hoewel in Nederland de cijfers het afgelopen jaar een daling laten zien van claims wegens inbreuken op persoonsgegevens, geldt dit vooral voor privé-onderzoeken in verband met misbruik van gegevens. De Autoriteit Persoonsgegevens in Nederland ontving in 2020 regelmatig klachten over de overheid. Met name het coronabeleid zorgde voor veel klachten bij de Autoriteit Persoonsgegevens.

Voorbeelden van klachten over het coronabeleid en de vermeende inbreuk op de privacy kwamen bijvoorbeeld van ondernemers die verplicht werden om de gegevens van bezoekers en klanten op te slaan. In sommige gevallen leverde het uitlekken van deze data serieuze problemen op. Zo werden klanten van wie het telefoonnummer uitlekte, steeds gebeld door onbekende nummers. Ze werden lastiggevallen over diensten die ze nooit hadden afgenomen. Daarom adviseerde Koninklijke Horeca Nederland om te kijken naar een manier van registreren die privacyvriendelijker was.

Hoogste GDPR-boetes in Nederland

Wanneer we kijken naar verschillende organisaties en commerciële instellingen, zien we dat er ook in Nederland flinke boetes zijn opgelegd, om het signaal te geven dat de privacywet er niet voor niets is.

1. Organisatie: UWV

Boete: € 900.000,00

Werknemersinstantie UWV kreeg een boete van €150.000 per maand (met een maximum van €900.000) opgelegd vanwege het ontbreken van multifactorauthenticatie (2FA) bij het verlenen van online toegang tot het werkgeversportaal. Werkgevers en gezondheidsinstanties kunnen hier toegang krijgen tot verzuimdata van werknemers. Het UWV kreeg de kans de boete te omzeilen door de problemen vóór 31 oktober 2019 op te lossen. De Autoriteit Persoonsgegevens rekte deze datum al verder op naar 1 maart 2020, en op 4 juni 2020 meldde de AP dat het UWV de boete niet hoefde te betalen wegens de implementatie van eHerkenning voor het portaal, waarmee de bezwaren waren weggenomen.

2. Organisatie: BKR

Boete: € 830.000,00

Het Bureau Krediet Registratie (BKR) ontving een boete van €830.000 voor het overtreden van twee artikelen van de GDPR. De voornaamste overtreding was dat de organisatie geen gratis elektronische toegang tot persoonsgegevens aanbood – klanten konden hun data eenmaal per jaar gratis per post opvragen. In het kader van de GDPR werd dit beschouwd als misbruik van persoonlijke gegevens.

3. Bedrijf: TikTok

Boete: € 750.000,00

In 2021 kreeg de wereldwijde sociale media TikTok een boete opgelegd van de Nederlandse privacywaakhond voor het schenden van de privacy van jonge kinderen. Gebruikers installeerden de app in het Engels en kregen daardoor geen duidelijk beeld van hoe de app persoonlijke gegevens verzamelde, verwerkte en gebruikte. TikTok zou de boete hebben vermeden door een Privacyverklaring in het Nederlands te plaatsen.

4. Bedrijf: Anoniem

Boete: € 725.000,00

Medewerkers van een bedrijf waarvan de naam niet bekend is gemaakt, hebben hun vingerafdrukken laten scannen voor aanwezigheids- en tijdregistratie. Na onderzoek heeft de Autoriteit Persoonsgegevens geconstateerd dat het bedrijf niet het recht had om vingerafdrukken van werknemers te verwerken. Het bedrijf had geen goede verklaring waarom het deze stappen nam.

=5. Bedrijf: Uber

Boete: € 600.000,00

In 2016 hebben onbevoegden toegang gehad tot de persoonsgegevens van klanten en Uber-chauffeurs. Het bedrijf achter Uber kreeg een boete omdat deze de Autoriteit Persoonsgegevens en betrokkenen niet binnen 72 uur na ontdekking van het lek op de hoogte brachten. Meer dan 57 miljoen Uber-gebruikers wereldwijd werden getroffen door dit datalek, waaronder ongeveer 174.000 Nederlanders. Het ging om persoonsgegevens zoals namen, e-mailadressen en telefoonnummers van klanten en chauffeurs.

=5. Organisatie: Gemeente Enschede

Boete: € 600.000,00

De gemeente Enschede werd voor meer dan een half miljoen euro beboet voor het illegale gebruik van een wifi-trackingsysteem in het stadscentrum. De klager meldde dat er sensors in het stadscentrum van Enschede waren ingesteld die gegevens van personen met actieve wifi op hun telefoon verzamelden, zonder toestemming. Zowel inwoners als toeristen waren hier het slachtoffer van.

Europa strijdt mee tegen data-inbreuken

In Europa zijn er maatregelen genomen om consumenten te helpen bij het beschermen van hun data. Daarbij valt bijvoorbeeld te denken aan de EU-cookiewet of het verbieden van gebruik van e-mailadressen voor marketingcampagnes. Bedrijven moeten nu eerst toestemming vragen of ze aanbiedingen per mail mogen sturen. Sinds 2002 moet ieder Europees land maatregelen invoeren in hun eigen wetgeving. Dat houdt in dat ook Nederland maatregelen heeft genomen om te voldoen aan de Europese GDPR. De bedoeling is dat het voor iedereen op het internet duidelijk is welke informatie ze delen met een website of een app. Het systeem is zo uitgebreid, dat klachten uit een ander land alsnog terecht komt bij het land waar het over gaat. De klachten worden dan gegroepeerd per land. Op die manier wil Europa inbreuken bestrijden.

Jezelf tegen datalekken beschermen

Iedereen die het oneens is met de manier waarop een bedrijf data verwerkt, kan melding maken bij de Autoriteit Persoonsgegevens. De Autoriteit kan dan een onderzoek starten.

Wat te doen bij een datalek?

Wanneer je slachtoffer bent geworden van een datalek of van misbruik van persoonlijke gegevens, kun je deze stappen ondernemen:

• Als je misbruik vermoedt van je privégegevens die zijn gedeeld met een website of app, kun je het best contact opnemen met de website of het verantwoordelijke bedrijf met een claim; 
• Dien in het geval van een datalek een klacht in bij Autoriteit Persoonsgegevens, in Nederland. De AP gaat pas met deze klacht aan de slag nadat je deze schriftelijk hebt ingediend bij het betrokken bedrijf. Geef de Autoriteit maximaal 6 maanden de tijd om je zaak te onderzoeken. De waakhond zal je op de hoogte stellen van de uitkomst;
• Onderneem juridische stappen tegen het bedrijf of de website. Als je van mening bent dat de Autoriteit Persoonsgegevens je klacht niet correct heeft afgehandeld, kun je ook juridische stappen nemen tegen de Autoriteit;
• Lees altijd zorgvuldig het privacybeleid van websites of apps voor het geval ze gevoelige gegevens verzamelen. De opslag van je naam, geslacht, e-mail, telefoonnummer en andere persoonlijke informatie moet net zo veilig zijn als creditcardgegevens.

De wetgeving rondom gegevensbescherming is ook meteen een afspraak tussen de gebruiker en het bedrijf. Daarom zijn zowel de gegevensbeschermingswet van het land waar je staatsburger of ingezetene bent, als de gegevensbeschermingswet van het land waar het bedrijf is geregistreerd, van toepassing.

Tips tegen data-inbreuken:

• Verander regelmatig je wachtwoorden. Zorg er bij een datalek op één website voor dat je overal de inloggegevens controleert en wijzigt;
• Houd na een datalek je bankrekeningen en creditcards in de gaten. Neem bij verdachte of onbekende activiteiten onmiddellijk contact op met je bank. Als je niet tevreden bent over de manier waarop uw bank met de klacht omgaat, kun je deze voorleggen aan de Autoriteit Financiële Markten. Verder kun je contact opnemen met de Fraudehelpdesk. Dit is het landelijke meldpunt fraudebestrijding;
• Als je wordt benaderd door iemand die om je persoonlijke gegevens of wachtwoorden vraagt, controleer dan eerst of dit een legitieme instantie of legitiem persoon is. Wachtwoorden worden nooit gevraagd door legitieme instanties.

Je kunt direct bij de rechtbank een vordering instellen tegen de Autoriteit. Omdat de AP erg veel aanvragen krijgt, kan het tot zes maanden duren voordat de autoriteit je claim heeft verwerkt en onderzocht.