Overtreding en boete

Datum laatste wijziging: 26 augustus 2024  |  Trefwoorden: , , , , , ,

Inhoud

  1. Stappenplan privacywet
  2. Microsoft verwerkt gegevens Windowsgebruikers in strijd met wet
  3. Privacy van werknemers niet veilig bij UWV
  4. Privacy bij ziekte blijft problematisch
  5. Kamer van Koophandel overtreedt mogelijk de wet met datadelen
  6. Zelfstandigen krijgen niet meteen boete bij overtreding privacyregels
  7. Autoriteit Persoonsgegevens start controles bij overheid
  8. Vijf maatregelen om AVG-boetes te voorkomen
  9. Gemeenten verzamelden illegaal vingerafdrukken
  10. Politie krijgt boete van de Autoriteit Persoonsgegevens
  11. Ziekenhuizen en zorgverzekeraars voldoen aan privacywet
  12. Politie en belasting in de fout bij verzamelen gegevens
  13. Big Data het probleem
  14. Innovatiefonds krijgt last onder dwangsom
  15. Eerste half jaar 2018 AVG levert al 7000 klachten
  16. AFM legt boete op van € 50.000
  17. Ongevraagde tracking-cookies frequent geplaatst
  18. Boetebeleid aangepast in 2019
  19. AFM legt boete op van € 100.000
  20. Megaboete voor Haga Ziekenhuis
  21. Gebruik trackingsoftware door DUO niet toegestaan
  22. Plaatsen van camera's geen overtreding en geen boete
  23. Boete voor tennisbond vanwege verkoop van persoonsgegevens
  24. Temperatuur meten mag niet zomaar
  25. Boete voor bedrijf voor verwerken vingerafdrukken
  26. Temperatuur werknemer meten mag toch
  27. Boete voor BKR vanwege kosten bij inzage persoonsgegevens
  28. Weer boete voor een ziekenhuis
  29. Boete Booking.com voor te laat melden datalek
  30. Wat mag wel?
  31. Uber krijgt recordboete van 290 miljoen euro

Stappenplan privacywet

De introductie van de Algemene Verordening Gegevensbescherming (AVG) kan tot forse* boetes leiden. De nieuwe privacywetgeving verdient de aandacht om mogelijke consequenties te voorkomen. PwC-expert Yvette van Gemerden geeft een stappenplan:
  1. Creëer awareness
  2. Maak een plan van aanpak
  3. Bepaal de huidige situatie
  4. Identificeer de noodzakelijke maatregelen
  5. Ga aan de slag
(Bron en invulling: CM Web, 21 aug. 2017)

* Overtredingen kunnen oplopen tot boetes van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Microsoft verwerkt gegevens Windowsgebruikers in strijd met wet

Microsoft verwerkt via Windows 10 in strijd met de wet gegevens van mensen die dit besturingssysteem op hun computer hebben geïnstalleerd. Dit concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek van Windows 10 Home en Pro. Microsoft informeert gebruikers niet duidelijk over welke gegevens zij voor welke doelen gebruikt. Ook kunnen mensen door de werkwijze van Microsoft geen rechtsgeldige toestemming geven voor de verwerking van hun gegevens. Het bedrijf vertelt niet dat het bij de standaardinstellingen voortdurend gegevens verzamelt over het gebruik van apps en het surfgedrag via de browser Edge.

Microsoft heeft aangegeven de overtredingen te willen beëindigen. Als dit niet gebeurt, kan de AP besluiten Microsoft een sanctie op te leggen. (Bron: Autoriteit Persoonsgegevens, 13 okt. 2017)

Privacy van werknemers niet veilig bij UWV

De AP constateert meerdere problemen met de verwerking van de data. Werkgevers en arbodiensten kunnen via het online werkgeversportaal van het UWV ziekteverzuimgegevens van werknemers invoeren en bekijken. Omdat het hier gaat om gevoelige gegevens van werknemers is het UWV als aanbieder en beheerder van dit verzuimsysteem verplicht om de toegang tot dit portaal voldoende te beveiligen door meer factorauthenticatie toe te passen.

De registratie van ziekmeldingen gaat niet volgens de regels en tenslotte constateert AP dat het UWV gevoelige persoonsgegevens laat verwerken door medewerkers die daarvoor niet bevoegd zijn. Het verwerken van gegevens over iemands gezondheid om te beoordelen of iemand in aanmerking komt voor een Ziektewetuitkering mag alleen als dit onder verantwoordelijkheid van een arts gebeurt, bijvoorbeeld een verzekeringsarts. (Bron: PW, 14 nov. 2017

Privacy bij ziekte blijft problematisch

Uit onwetendheid of gemakzucht worden privacyregels geschonden en wordt medische informatie ongeoorloofd gevraagd, opgeslagen en gedeeld. Privacy bij ziekte blijft een lastig onderwerp.

De leidinggevende mag niet vragen wat de medewerker mankeert of wat de oorzaak daarvan is. Alleen een bedrijfsarts, of een professional die onder verantwoordelijkheid van de bedrijfsarts werkt, mag dergelijke vragen stellen. (Bron: PW, 24 nov. 2017)

Red.: Praten met iemand die een ziekte heeft en hem/haar niet mogen vragen wat hij/zij mankeert is tegennatuurlijk. Sterker, de persoon die iets mankeert kan het als onbeleefd of ongeïnteresseerdheid opvatten als deze vragen niet worden gesteld. Wij denken dat de privacy in deze tot in lengte van jaren geschonden zal blijven.

Kamer van Koophandel overtreedt mogelijk de wet met datadelen

De Kamer van Koophandel overtreedt mogelijk de wet door adverteerders inzage te bieden in het handelsregister. Dat zegt de Autoriteit Persoonsgegevens tegen de NOS. De KvK is voor 40 tot 50% van haar inkomsten afhankelijk van het verkopen van gegevens van ondernemers aan bedrijven.

Via de website meldt de KvK kennis te hebben genomen van de opmerkingen en in gesprek te zijn met de Autoriteit persoonsgegevens. (Bron: MT, 18 apr. 2018)

Inmiddels heeft de KvK besloten per 1 juli 2019 met het product Adressenbestand Online te stoppen, zie de brief van de KvK aan de AP.

Zelfstandigen krijgen niet meteen boete bij overtreding privacyregels

Zelfstandigen hoeven niet bang te zijn meteen een boete te krijgen als ze vrijdag 25 mei 2018 nog niet voldoen aan de nieuwe Europese privacyregels. Dat zegt Frank Alfrink, directeur van ZZP Nederland. "Maar het is wel belangrijk dat ze eraan werken. Maak je geen zorgen, maar maak wel af waar je mee bezig bent'', aldus Alfrink.

Het is lastig voor een ZZP'er om het werk voor de AVG voor elkaar te krijgen. Alfrink: ''Je bent daar wel gauw een uurtje of dertig, veertig mee bezig. Maar je hebt ook je gewone werk, na afloop moet je thuis eten, je kinderen hebben een proefwerk gehad, de kleine moet naar bed, en daarna moet het in de verloren uurtjes worden geregeld. Dus het kost je zo twee weken.''

Mensen beseffen ook niet hoe complex het is. ''Je moet ook overeenkomsten hebben met iedereen die informatie voor jou verwerkt. Veel ZZP'ers denken: maar dat doe ik allemaal zelf. Ja, en je Dropbox dan? En wat als je samenwerkt met de Sociale Verzekeringsbank of het UWV? Wij hebben zelf ook een lijstje gemaakt, wij komen tot 92 organisaties waarvan wij als stichting een overeenkomst moeten hebben.'' (Bron: NU.nl, 20 mei 2018)

Autoriteit Persoonsgegevens start controles bij overheid

De Autoriteit Persoonsgegevens (AP) heeft van ruim 400 overheidsorganisaties gecontroleerd of zij een functionaris voor de gegevensbescherming (FG) hebben aangemeld.

Uit deze controle blijkt dat een kleine 4 procent mogelijk nog geen functionaris heeft aangemeld. De AP heeft deze organisaties aangeschreven. Zij moeten voor 11 juni 2018 laten weten wie hun FG is. Als zij dit nalaten kan de AP een sanctie opleggen. (Bron: SalarisNet, 4 jun. 2018)

Vijf maatregelen om AVG-boetes te voorkomen

De Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking trad, kent betrokkenen uitgebreide privacy-rechten toe. Zo hebben ze het recht om een klacht in te dienen bij de AP. Binnen een maand maakten maar liefst 600 burgers gebruik van deze mogelijkheid. Een groot deel van de klachten ging over het niet inwilligen van een verzoek tot verwijdering van persoonsgegevens. Ook klagen mensen dat ze de eigen persoonsgegevens niet mogen inzien.

Geadviseerd wordt waar organisaties op moeten letten, kort samengevat:
  1. Governance
  2. Kennis van de AVG
  3. Aanstelling functionaris voor gegevensbescherming
  4. Techniek
  5. Communicatie
(Bron en uitleg, ManagersOnLine, 11 jul. 2018)

Gemeenten verzamelden illegaal vingerafdrukken

Werkbedrijf Voorne Putten Werkt heeft vier jaar lang ten onrechte vingerafdrukken van uitkeringsgerechtigden afgenomen en opgeslagen.

De vingerafdrukken werden verzameld om te registreren welke uitkeringsgerechtigden aanwezig waren bij werkbedrijf Voorne Putten Werkt, waar mensen met een bijstandsuitkering uit de gemeenten Brielle, Hellevoetsluis, Nissewaard en Westvoorne voor behoud van uitkering door de gemeenten te werk worden gesteld. Uitkeringsgerechtigden die weigerden een vingerafdruk af te geven, zouden zijn bedreigd met kortingen op hun uitkering.

Een en ander werd gemeld aan de Autoriteit Persoonsgegevens, die vervolgens de gemeente Nissewaard met opgeheven vinger op de vingers tikte. (Bron: Binnenlandsbestuur, 18 jul. 2018)

Politie krijgt boete van de Autoriteit Persoonsgegevens

De AP onderzocht hoe de Nationale Politie gegevens verwerkte bij het gebruik van het nationaal Schengeninformatiesysteem van de tweede generatie (N.SIS II). Voor de vijf problemen die ze aantroffen werd de Nationale Politie in eerste instantie een last onder dwangsom opgelegd van 200.000 euro. De vijfde noodzakelijke maatregel was de regelmatige en proactieve controle op de logbestanden. Omdat dit niet binnen zes maanden is geïmplementeerd, moet de politie een vijfde van 200.000 euro betalen, 40.000 euro dus. (Bron: BNR, 20 sep. 2018)

Ziekenhuizen en zorgverzekeraars voldoen aan privacywet

Alle gecontroleerde ziekenhuizen en zorgverzekeraars hebben een functionaris voor de gegevensbescherming (FG) aangesteld en voldoen nu aan de verplichting daartoe van de Europese privacywetgeving. Dit is de opbrengst van een controle door de Autoriteit Persoonsgegevens (AP) bij 91 ziekenhuizen en 33 zorgverzekeraars. (Bron: Skipr, 10 okt. 2018)

Politie en belasting in de fout bij verzamelen gegevens

De politie gaat in de fout bij het verzamelen van gevoelige gegevens. En ook bij de Belastingdienst zijn er twijfels over het bewaren van persoonsgegevens. Er zijn wel regels opgesteld, maar het zou voor de opsporingsambtenaren onduidelijk zijn hoe ze die moeten toepassen.

Dat meldt de NOS op basis van documenten die zijn opgevraagd via de wet openbaar bestuur. Dat de regels onduidelijk zijn voor opsporingsambtenaren, is een kwalijke zaak zegt Menno Weij, van SOLV advocaten. Maar het is ook makkelijk te voorkomen. (Bron: BNR, 12 okt. 2018)

Big Data het probleem

De toegang tot persoonsgegevens is bij de Belastingdienst te groot. In het kader van fraudebestrijding worden daar allerlei data van belastingplichtigen aan elkaar gekoppeld. Maar omdat de fiscus niet bijhoudt welke gegevens door medewerkers worden opgevraagd, kan deze niet garanderen dat gevoelige persoonsgegevens veilig zijn. Dit blijkt uit een brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens die in handen is van Trouw.

Betere bescherming van gegevens is volgens Uijlenbroek “technisch niet mogelijk”. Ook bij de toegang die politie en justitie hebben tot de ip-adressen en telefoonnummers van klanten van alle Nederlandse telecom- en internetproviders gaat van alles mis. Regels zijn onduidelijk, informatie wordt te lang bewaard en er is te weinig controle op wie er toegang tot heeft. (Bron: NRC, 12 okt. 2018)

Innovatiefonds krijgt last onder dwangsom

De Autoriteit Financiële Markten (AFM) heeft op 27 september 2018 een last onder dwangsom* opgelegd aan de heer Ruben Wolf, bestuurder van Nederlands Innovatiefonds B.V. en Nederlands Innovatiefonds Bond I B.V. (samen het Nederlands Innovatiefonds). Wolf moet meer en juiste informatie verstrekken aan beleggers die hebben geïnvesteerd in obligatieleningen van het Nederlands Innovatiefonds.

Als de heer Wolf dit niet binnen de gestelde termijn doet, moet hij € 5.000 betalen voor iedere dag dat de informatie niet wordt verstrekt, tot een maximum van € 50.000. De AFM heeft beleggers al eerder gewaarschuwd voor de aanbiedingen van het Nederlands Innovatiefonds. (Bron: AFM, 16 okt. 2018)

* Met 'een last onder dwangsom' wordt een onderneming of een persoon opgedragen (gelast) een gedraging te doen of te laten. Als binnen de gestelde termijn niet aan de opdracht is voldaan, dan moet er een geldsom worden betaald.

Eerste half jaar 2018 AVG levert al 7000 klachten

Zich aan de AVG houden is lang niet zo makkelijk, zelfs de Belastingdienst had het zwaar. Zij handelden in strijd met de AVG door BSN-nummers te verwerken in het btw-identificatienummer van ZZP’ers. Naar verwachting zullen zij pas in mei 2019 voldoen aan de AVG.

Naar aanleiding van de motie die aangevraagd is om de nieuwe privacywet te evalueren, reageert minister van Justitie en Veiligheid: “Een dergelijke evaluatie van de AVG zal waarschijnlijk in 2019 plaatsvinden.” Op dit moment is de AP nog druk bezig om alle klachten met betrekking tot de AVG te behandelen. (Bron: MKB-Belangen, 30 nov. 2018)

AFM legt boete op van € 50.000

De Autoriteit Financiële Markten (AFM) heeft op 28 december 2018 een bestuurlijke boete van € 50.000 opgelegd aan de heer K. de Jong van voormalig vermogensbeheerder De Waerdt Vermogensbeheer B.V. (DWV) in Roermond. De boete is opgelegd omdat DWV van oktober 2014 tot mei 2016 geen integere uitoefening van haar bedrijf heeft gewaarborgd en De Jong daarvoor mede verantwoordelijk was.

De AFM vindt in dit geval een boete van € 50.000 passend. Voor de overtreding geldt een basisbedrag van € 2.000.000. De ernst van de overtreding en de mate van verwijtbaarheid geven geen aanleiding voor een verlaging of een verhoging van het basisbedrag. Wel is de boete op grond van evenredigheid en draagkracht verlaagd tot € 50.000.
Het besluit van de AFM kan door belanghebbende(n) ter toetsing aan de rechter worden voorgelegd. (Bron: AFM, 9 jan. 2019)

Redactie: Het openlijk noemen van namen, zelfs als zij schuldig zijn bevonden, achten wij een vorm van schending van de privacy-regels. AFM kan wat dit betreft een voorbeeld nemen aan de rechterlijke uitspraken (jurisprudentie) die altijd geanonimiseerd zijn.

Ongevraagde tracking-cookies frequent geplaatst

Uit onderzoek door de NOS is gebleken dat duizenden veel bezochte websites ongevraagd tracking cookies* op computers van bezoekers plaatsen. Daarmee is onder andere het surfgedrag van bezoekers te volgen en kunnen interesseprofielen worden opgebouwd. Sommige websites plaatsen honderden cookies, zonder dat bezoekers om toestemming wordt gevraagd.

Het zijn onder andere populaire websites van winkels, media, scholen en verzekeraars die via tracking cookies het surfgedrag van bezoekers in kaart brengen. Zelfs zorginstellingen doen er aan mee, aldus de NOS. Meestal gaat het om het analyseren van interesses, zodat passende advertenties aangeboden kunnen worden. De Autoriteit Persoonsgegevens geeft aan op korte termijn een onderzoek te zullen starten naar deze praktijken, omdat mogelijk de wetgeving wordt overtreden. Het is namelijk verboden om zonder toestemming tracking cookies op iemands computer of telefoon te plaatsen. Maar in de praktijk gebeurt dat dus wel. Bij sommige websites worden al bij het eerste bezoek tientallen of zelfs honderden volg-cookies op de computer van de bezoeker geïnstalleerd. (Bron: Beveiligingsnieuws, 1 mrt. 2019)

* Tracking-cookie: het verzamelen van informatie over websurfers (Bron: Wikipedia).

Boetebeleid aangepast in 2019

De Autoriteit Persoonsgegevens (AP) heeft de boetebeleidsregels aangepast omdat de oude regels betrekking hadden op overtredingen van eerdere privacywetgeving.

De nieuwe boetebeleidsregels geven inzicht in de manier waarop de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

AFM legt boete op van € 100.000

De AFM heeft in 2019 een boete van 100.000 euro opgelegd aan H.J. Holtschoppen, voormalig vermogensbeheerder van De Waerdt Vermogensbeheer in Roermond. De boete is opgelegd omdat De Waerdt van oktober 2014 tot december 2017 geen integere uitoefening van haar bedrijf heeft gewaarborgd en Holtschoppen daarvoor mede verantwoordelijk was.

Megaboete voor Haga Ziekenhuis

De eerste boete van de Autoriteit Persoonsgegevens is een feit. Het Haga Ziekenhuis in Den Haag kreeg in juli 2019 de boete van € 460.000 omdat tientallen niet-bevoegde medewerkers het patiëntendossier van de bekende Nederlander Samantha de Jong, beter bekend als Barbie, vrijelijk konden inzien.

Het Haga Ziekenhuis gaat in beroep.

Gebruik trackingsoftware door DUO niet toegestaan 

De Dienst Uitvoering Onderwijs (Duo) heeft zogenoemde trackingsoftware gebruikt in e-mails die aan studenten persoonlijk waren gericht. Dat is in strijd met de Algemene verordening gegevensbescherming (AVG).

Duo zou de informatie die zo wordt verzameld in een rechtszaak kunnen gebruiken als bewijs dat een student een belangrijk bericht inderdaad heeft ontvangen. De dienst erkent de tracking-software te hebben gebruikt, om zo ‘bij iedere wijziging in de persoonlijke situatie van een student vanaf de aanleiding van de wijziging tot en met het afleveren van het formele bericht het wijzigingsproces aantoonbaar te maken’ en de dienstverlening te verbeteren.

Na vragen van de Volkskrant (2019) is Duo in gesprek gegaan met de Autoriteit Persoonsgegevens (AP), toezichthouder. Voorlopig is DUO gestopt met trackingsoftware (data herleidbaar naar persoonsgegevens) in persoonlijke e-mails.

Plaatsen van camera's geen overtreding en geen boete

Korte samenvatting:

  • De werkgever wordt getipt dat werknemers kostbare metalen zoals goud en zilver uit de afval meenemen.
  • De werkgever roept de medewerkers bij elkaar en maakt duidelijk dat bij herhaling de betrokkene op staande voet zal worden ontslagen.
  • De diefstallen herhalen zich.
  • Een camera wordt geplaatst op de plek waar de diefstallen plaats vinden.
  • Op de camerabeelden zijn vijf werknemers te herkennen die de diefstal plegen.
  • Vier werknemers erkennen dat ze kostbare metalen hebben meegenomen.
  • De vijfde werknemer ontkent en wordt op staande voet ontslagen.
  • De laatst genoemde gaat bij de kantonrechter in beroep, zijn claim wordt afgewezen.
  • De werknemer gaat in hoger beroep. Het hof oordeelt gelijk als de kantonrechter dat het ontslag op staande voet rechtsgeldig is gegeven.
  • De werknemer moet de kosten van het griffierecht betalen (€ 741), de advocaat kostte hem € 2.148.
(Bron: Jurisprudentie, 14 nov. 2019)

Boete voor tennisbond vanwege verkoop van persoonsgegevens

De Autoriteit Persoonsgegevens (AP) legt tennisbond KNLTB een boete op van 525.000 euro voor het verkopen van persoonsgegevens. De KNLTB heeft in 2018 onrechtmatig tegen betaling persoonsgegevens van een paar honderdduizend van zijn leden verstrekt aan twee sponsoren.

De KNLTB heeft bezwaar gemaakt tegen het boetebesluit. De AP zal dit gaan beoordelen. (Bron: AP, 3 mrt. 2020)

Temperatuur meten mag niet zomaar

Werkgevers die de lichaamstemperatuur van hun werknemers opmeten voordat zij naar binnen mogen. Of de temperatuur meten van hun bezoekers, zoals vrachtwagenchauffeurs die lading komen lossen. De Autoriteit Persoonsgegevens (AP) hoort dat dit regelmatig gebeurt. Deze organisaties zijn echter in overtreding en riskeren daarmee een hoge boete. (Bron: AP, 24 apr. 2020)

Boete voor bedrijf voor verwerken vingerafdrukken

Werknemers van een bedrijf hebben hun vingerafdrukken moeten laten scannen voor aanwezigheids- en tijdsregistratie. De Autoriteit Persoonsgegevens (AP) heeft na onderzoek geconcludeerd dat het bedrijf geen vingerafdrukken van medewerkers had mogen verwerken. Het bedrijf kan zich namelijk niet beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Het bedrijf krijgt hiervoor een boete van 725.000 euro. (Bron: AP, 30 apr. 2020)

Redactie: Een zeer hoge boete aan de ene kant, maar ook zeker geen nieuw vergrijp waarbij een waarschuwing had volstaan aan de andere kant.

Temperatuur werknemer meten mag toch

Maar opslaan en verwerken blijft wel verboden. Of het echt zinvol is, blijft de vraag, maar de temperatuur opmeten van werknemers mag wel. De Autoriteit Persoonsgegevens was daar vorige week nog mordicus op tegen, maar maakt nu een opvallende draai: de lichaamstemperatuur meten mag, maar verwerken niet.

De privacywaakhond wringt zich in moeilijk juridische bochten. Zo is het niet toegestaan om toegangspoortjes automatisch dicht te houden bij koorts, maar mag u werknemers na meting wel persoonlijk tegenhouden. (Bron: Personeelsnet, 19 mei 2020)

Boete voor BKR vanwege kosten bij inzage persoonsgegevens

Stichting Bureau Krediet Registratie (BKR) mag geen geld vragen aan mensen die digitaal hun persoonsgegevens willen inzien. En wanneer mensen per post inzage in hun persoonsgegevens bij BKR willen, moet dat eenvoudig en met redelijke tussenpozen mogelijk zijn. BKR wierp te hoge drempels op voor inzage. Dat mag niet volgens de privacywetgeving. Daarom heeft de Autoriteit Persoonsgegevens (AP) BKR een boete opgelegd van 830.000 euro.

BKR is in deze zaak in beroep gegaan bij de rechter. Hierdoor is het besluit van de AP over de op te leggen boete nog niet definitief. (Bron: AP, 6 jul. 2020)

Weer boete voor een ziekenhuis

Het Amsterdamse ziekenhuis OLVG heeft van de Autoriteit Persoonsgegevens (AP) een boete van 440.000 opgelegd gekregen. Volgens de AP heeft het ziekenhuis tussen 2018 en 2020 te weinig maatregelen genomen om toegang van onbevoegde medewerkers tot medische dossiers te voorkomen. (Bron: AD, 11 feb. 2021)

Boete Booking.com voor te laat melden datalek

De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. (Bron: AP, 31 mrt. 2021)

Wat mag wel?

Nog steeds wordt er door diverse werkgevers naar de medische achtergrond van de ziekte bij medewerkers gevraagd terwijl dit niet is toegestaan. Werkgevers geven in een recent onderzoek aan behoefte te hebben aan meer praktische handvaten over wat wel mag, in plaats van de regels waarin wordt aangegeven wat er allemaal verboden is. (Bron: HR Praktijk, 9 juni 2021)
 

Uber krijgt recordboete van 290 miljoen euro voor doorsturen van gegevens chauffeurs

Gegevens van Europese Uber-chauffeurs zijn onrechtmatig naar de VS gestuurd en daarom moet het bedrijf een boete van 290 miljoen euro betalen, zegt de Autoriteit Persoonsgegevens. Het is de hoogste boete die ooit in Nederland is opgelegd in het kader van gegevensbescherming.

Niet volgens de regels

De Algemene verordening gegevensbescherming (AVG) schrijft voor dat gegevens alleen naar de VS verstuurd mogen worden om ze daar op te slaan op servers als de juiste waarborgen worden gebruikt. In het geval van Uber is dat niet volgens de regels gegaan, aldus de Autoriteit Persoonsgegevens (AP).

Gevoelige informatie

Uber verzamelde veel gevoelige informatie van chauffeurs en stuurde die door naar het hoofdkantoor in de VS. Dat betrof bijvoorbeeld taxilicenties en identiteitsbewijzen, maar soms ook medische gegevens. Uber had echter in een contract moeten vastleggen hoe het de verwerking van de data in de VS in overeenstemming zou brengen met de Europese regels. Dat heeft het bedrijf twee jaar lang nagelaten, hoewel het nu wel aan de regels voldoet.
.

Ernstige overtreding

Volgens de AP heeft Uber daarmee een ‘ernstige overtreding’ begaan. Dat valt terug te zien in het boetebedrag van 290 miljoen euro, dat in Nederland nooit eerder zo hoog is uitgevallen. De boete komt overeen met 0,8 procent van de jaaromzet van ongeveer 34,5 miljard euro. De maximale geldstraf die de AP bij dergelijke vergrijpen op mag leggen, is 4 procent van de wereldwijde jaaromzet.
Boetes die de Autoriteit Persoonsgegevens oplegt, worden geïnd door het Centraal Justitieel Incassobureau (CJIB). Daarna vloeit het geld naar de schatkist en kan het worden gebruikt in de algemene middelen.