Stel, een organisatie gebruikt uw persoonsgegevens voor een ander doeleinde dan waarvoor u toestemming hebt gegeven. Er kunnen dossiers zijn gelekt of een verzoek tot het verwijderen van de geregistreerde persoonsgegevens wordt niet verwerkt. Wat kunt u doen en wat zijn de risico’s?
Op 31 maart 2021 heeft de meervoudige kamer in Den Haag uitspraak gedaan in een zaak met betrekking tot het mogelijk overtreden van artikel 32 van de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) heeft aan het Haags ziekenhuis een bestuurlijk boete van €460.000,00 en een dwangsom opgelegd. De AP is van mening dat het ziekenhuis onvoldoende maatregelen heeft genomen om de persoonsgegevens van patiënten te beschermen. Het ziekenhuis had de zogenoemde twee-factor authenticatie moeten invoeren en het ziekenhuis heeft de logging van de toegang tot de patiëntendossiers onvoldoende gecontroleerd. De rechtbank is tot de uitspraak gekomen dat de AP een boete en een last onder dwangsom mocht opleggen. De boete werd daarentegen wel aangepast naar een lager bedrag.
Algemene Verordening Gegevensbescherming (AVG)
Sinds 25 mei 2018 is er een nieuwe, veel strengere privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat in de hele Europese Unie dezelfde privacywetgeving geldt. Deze wetgeving gaat over de bescherming van de privacy van de consumenten. Ieder bedrijf dat met persoonsgegevens te maken heeft, moet zorgen dat zij de privacy van consumenten beschermen. Zij dienen duidelijk aan te geven wat er exact wordt gedaan met de gegevens en hoe deze beveiligd zijn. Bovendien dienen bedrijven enkel de noodzakelijke gegevens te vragen en op te slaan.
Autoriteit Persoonsgegevens
In de AVG staat dat elke lidstaat van de EU een privacy autoriteit moet hebben die onafhankelijk toezicht houdt op het gebruik van persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens (AP).
De AP is een zelfstandig bestuursorgaan met een eigen rechtspersoonlijkheid. De AP is opgericht en aangewezen als toezichthouder op de AVG en de Uitvoeringswet AVG (UAVG). Indien er klachten zijn, kan de AP controles uitvoeren bij bedrijven en nagaan of zij voldoen aan de regels welke zijn opgenomen in de AVG. De AP kan flinke boetes opleggen indien blijkt dat bedrijven niet voldoen aan de AVG.
Indien blijkt dat er per ongeluk een e-mail, waarin privacygevoelige informatie is opgenomen, is gestuurd naar een verkeerd e-mailadres of een bedrijf heeft op een usb-stick gegevens staan over het personeel en verliest deze usb-stick, dan is er sprake van een datalek. Veelal dient men binnen 72 uur een datalek te melden aan de AP. Echter, soms kan de datalek snel worden opgelost. In dat geval wordt het een beveiligingsincident genoemd. De belangrijkste zaken waar de AP zich mee bezighoudt, zijn:
- Toezicht;
- Advisering;
- Voorlichting;
- Informatieverstrekking;
- Verantwoording;
- Internationale taken.
Voordat u uw privacyklacht meldt, is het van groot belang dat u aan de volgende voorwaarden voldoet:
- De klacht moet betrekking hebben op uw eigen persoonsgegevens, denk aan: uw eigen naam, adres, woonplaats, geboortedatum, telefoonnummer, vingerafdrukken, dna-materiaal alsook klantnummers, salarisstrookjes, foto’s en e-mailadressen. Dit zijn de gegevens welke vallen onder de persoonsgegevens;
- U kunt ook namens een ander een klacht indienen, hiervoor hebt u de toestemming nodig van de persoon waarover de privacyklacht gaat. In dat geval bent u de gemachtigde van deze persoon;
- U gaat akkoord met het feit dat de AP uw gegevens gebruikt richting de organisatie waarover uw klacht gaat.
Wanneer u erachter komt dat een bedrijf of organisatie uw persoonsgegevens zonder enige toestemming heeft verwerkt, dient u de privacyklacht te melden bij de AP.
AVG-grondslagen
Voordat uw persoonsgegevens kunnen worden verwerkt, moet er sprake zijn van een grondslag uit de AVG. Er moet immer een goede reden zijn om persoonsgegevens te verwerken. In de AVG staan de volgende zes grondslagen genoemd:
1) U hebt toestemming van de betreffende persoon;
2) Het is van cruciaal belang om de persoonsgegevens te verwerken om een overeenkomst uit te voeren;
3) Het is van cruciaal belang om gegevens te verwerken: het is een wettelijke verplichting;
4) Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen. Een vitaal belang is aan de orde indien het over een belang gaat dat fundamenteel is voor het leven of de gezondheid van de betreffende persoon;
5) Het is noodzakelijk om gegevens te verwerken om een verplichting van algemeen belang of openbaar gezag uit te oefenen. Het gaat hierbij om wettelijke taken. De verwerking van de persoonsgegevens dienen noodzakelijk te zijn om de publieke taak zo correct mogelijk te vervullen;
6) Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
U moet uitleggen waarom uw belang om iemands privacy te schenden zwaarder weegt, dan het recht van de betrokkene op bescherming van zijn privacy. Indien niet duidelijk is wiens belang zwaarder weegt, is het aan de Privacycommissie of de rechter om dit te bepalen.
Altijd toestemming?
Op het gebied van privacy is het verplicht om altijd de toestemming van de rechthebbende te vragen. Met de privacygegevens moet namelijk zeer zorgvuldig worden omgegaan. Bovendien mogen persoonsgegevens enkel worden verwerkt indien niet anders kan. Het is namelijk altijd een inbreuk op de privacy van de betrokken persoon. Het is van belang dat bedrijven en organisaties niet zomaar persoonsgegevens verwerken. Er is altijd een grondslag nodig, zoals reeds benoemd, om de persoonsgegevens te verwerken. Dat een organisatie of bedrijf het eventueel handig vindt om uw gegevens te waarborgen, is dus geen geldige reden. Het moet van cruciaal belang zijn, wil een organisatie of een bedrijf uw persoonsgegevens gebruiken. Indien sprake is van een geldige reden en u hebt toestemming gegeven om de gegevens daadwerkelijk te verwerken, mogen de gegevens worden verwerkt
De voorwaarden die volgens de AVG gelden voor toestemming zijn:
- De toestemming moet in vrijheid gegeven zijn;
- De toestemming moet ondubbelzinnig zijn: het moet helder zijn dat er toestemming is gegeven;
- De organisatie moet de betrokkene informeren over de organisatie;
- De toestemming moet specifiek zijn;
- De toestemming mag altijd ingetrokken worden door de betrokkene en de betrokkene moet hiervan op de hoogte zijn.
Hoge boetes
Het is bekend dat aan een organisatie of bedrijf een flink aantal sancties kan worden opgelegd indien er sprake is van een overtreding van de privacywetgeving. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. Het zal vaak voorkomen dat de actie wordt ondernomen naar aanleiding van een klacht van een getroffen betrokkene. Er zijn vele privacyklachten: De AP ontving maar liefst 25.590 klachten in 2020 over de mogelijke misstanden met persoonsgegevens. Bovendien zijn de bedragen voor de boetes behoorlijk hoog. Het opleggen van de hoge boetes heeft als doel om doeltreffend te zijn en het moet leiden tot een schrikeffect; het moeilijker maken om ongewenst gedrag te vertonen alsook andere partijen duidelijk maken wat de consequenties zijn.
Positie bedrijven & organisaties
Indien er een hoge boete wordt opgelegd aan een bedrijf is dit niet voor niks. Wat voor sanctie er wordt opgelegd of hoe hoog het bedrag is, ligt aan het soort overtreding. Wat voor sanctie wordt opgelegd is afhankelijk van hoe erg de privacy van de consumenten wordt geschonden, of er voldoende maatregelen zijn genomen en hoe de bereidwilligheid in aanmerking komt in het proces. Bedrijven en organisaties hebben de plicht om alle maatregelen te nemen die nodig zijn om uw gegevens te beschermen, alsook moeten de systemen en processen voldoende beveiligd zijn. Dit kunnen punten zijn waar een eventuele rechter zijn beslissing op kan baseren.
Hebt u verdere vragen met betrekking tot de privacywetgeving? Neem dan contact met ons op via info@juristenzwolle.nl of 038-2022738 om uw mogelijkheden te bespreken.
