De Autoriteit Persoonsgegevens (AP) zit niet stil en heeft de afgelopen periode voor meer dan 1 miljoen aan boetes uitgedeeld. De AP heeft een duidelijke focus op de veilige omgang van data van kwetsbare groepen, zoals kinderen en privacy gevoelige data, zoals gezondheidsgegevens. Hieronder staan we kort stil bij de laatste drie opgelegde boetes en de onderliggende AVG-overtredingen. Welke learnings kunnen we hieruit trekken?
4 augustus 2021 • Nieuws
‘Boeteregen’ van de Autoriteit Persoonsgegevens
Boete 1: TikTok – 22 juli 2021
Social media bedrijf TikTok moet een boete van € 750.000 betalen vanwege het schenden van de privacy van kinderen. De app heeft voornamelijk jonge gebruikers en bood een Engelse privacyverklaring aan, ook aan Nederlandse gebruikers! Dat is in strijd met de privacywetgeving, waar het uitgangspunt is dat altijd duidelijk moet zijn wat er met je persoonsgegevens gebeurt, aldus de toezichthouder.
De AP onderzocht ook andere mogelijke privacyschendingen. Omdat TikTok zich gedurende het onderzoek in Ierland vestigde, is het aan de Ierse toezichthouder om het onderzoek af te ronden en een definitief oordeel te vellen over deze overtredingen. De AP was alleen nog bevoegd om te oordelen over de privacyverklaring, omdat die overtreding was beëindigd.
De boete aan social media app TikTok is de hoogste boete die tot nu toe is uitgedeeld door onze privacy toezichthouder. TikTok is het niet eens met de boete en heeft bezwaar gemaakt.
Benieuwd of uw privacy verklaring voldoet aan alle eisen? Lees hier ons blog.
Boete 2: UWV – 7 juli 2021
Het UWV heeft een boete opgelegd gekregen van € 450.000 voor de slechte beveiliging van groepsberichten in de ‘Mijn Werkmap’-omgeving in de periode augustus 2016 en eind 2018. ‘Mijn Werkmap’ is een persoonlijke omgeving op de website van het UWV, waar werkzoekenden contact hebben met het UWV. De omgeving was niet goed beveiligd met maar liefst 9 datalekken tot gevolg. Zo kwamen persoonsgegevens van ruim 15.000 werkzoekenden terecht in de omgeving van andere werkzoekenden. Het ging om gegevens zoals adres, opleiding, nationaliteit en BSN, maar ook medische informatie over onder meer fysieke beperkingen en psychisch werkvermogen.
Het UWV had adequater moeten optreden na de eerste datalekken. Het UWV had de risico’s onvoldoende in kaart gebracht en had eerder technische maatregelen moeten doorvoeren. Dit gebeurde uiteindelijk pas eind 2018.
Boete 3: Orthodontiepraktijk – 10 juni 2021
Tot slot heeft de AP een orthodontiepraktijk een boete van € 12.000 opgelegd vanwege de aanmelding via een onbeveiligde website. De gegevens van nieuwe (minderjarige) patiënten (en hun ouders, huisarts en verzekering), werden via een niet-versleutelde verbinding naar de orthodontiepraktijk verzonden. Hierdoor liepen patiënten het risico dat gevoelige gegevens in verkeerde handen terecht zouden komen. Goed zorgen voor je patiënten is ook goed zorgen voor de persoonsgegevens van je patiënten, aldus de AP. Ook kleinere gezondheidsinstellingen moeten voldoen aan de beveiligingsstandaard die geldt voor (minderjarige) patiëntgegevens.
Heeft u nog vragen naar of wilt u weten of uw informatievoorziening en beveiligingsmaatregelen AVG compliant zijn? Neem dan contact met op ons op via info@dmcc.nl of 088-777 93 11. Wij helpen u graag verder.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
