16 juli 2019, eerste boete onder AVG, wie volgt?

Per 25 mei 2018 dienden alle organisaties te voldoen aan de Algemene Verordering Gegevensbescherming (AVG/GDPR op Europees niveau). Het onderwerp kreeg in de loop naar 25 mei 2019 veel aandacht. Uit onderzoek van onder meer PwC bleek dat veel organisaties aan de vooravond van de datum waarop men AVG-proof diende te zijn, nog niet eens aan de minder zware regels voldeden van de oude privacywetgeving: de Wet bescherming persoonsgegevens. Vanuit de Autoriteit Persoonsgegevens (AP) werd fors ingezet op het organisaties bewegen actief deel te nemen aan de nieuwe wetgeving. Veel aandacht was er voor het nieuwe boetesysteem onder de AVG, dat het voor de AP mogelijk zou maken boetes op te leggen tot een maximum van maar liefst € 20.000.000,-.

Voor veel bedrijven bleek het voldoen aan de AVG een brug te ver. In mei 2018 was 42% van de onderzochte middel(grote) bedrijven klaar voor de strengere privacyregels. In september 2018 deed MKB Nederland een oproep aan minister Sander Dekker om knelpunten van de AVG aan te pakken. Zo zouden ondernemers in het MKB geregeld in een spagaat komen door de nieuwe privacywetgeving, bovendien was nog steeds slechte een klein deel van de MKB-ondernemingen AVG-proof. Recent heeft MKB Nederland samen met VNO-NCW een brandbrief aan de Tweede Kamer gestuurd met het verzoek tot het nemen van maatregelen. De regels zijn te complex, strijdig met veiligheidsmaatregelen en het is onduidelijk op welke wijze de AP de regels van de AVG gaat uitleggen.

De verwachting was dat het al gauw boetes zou gaan regenen.

In november 2018 werd Nederland voor het eerst wakker geschud, nadat de AP een boete van € 600.000,- euro had opgelegd aan Uber, vanwege het te laat melden van een datalek. Deze boete betrof een incident uit 2016 en was daarmee nog onder oude wetgeving opgelegd door de AP. Verrassend genoeg leek men daarna weer in te dutten. De AVG was toch nog strenger dan de Wet bescherming Persoonsgegevens? Toch voldoet een overgroot deel van de organisaties in Nederland niet aan de AVG.

Vandaag is de eerste AVG boete gevallen. Het HagaZiekenhuis is beboet voor onvoldoende interne beveiliging van patiëntgegevens. Aanleiding voor de boete is het incident enkele maanden geleden waarbij maar liefst 85 medewerkers van het HagaZiekenhuis onbevoegd, het patiëntendossier van realityster Barbi hadden ingezien. De boete bedraagt € 460.000,-. Het HagaZiekenhuis krijgt tot 2 oktober 2019 de kans de situatie te verbeteren, lukt dat niet tijdig dan komt er per week achterstand nog eens € 100.000,- aan boete bij.

Het lijkt toch tijd te worden dat organisaties het tij gaan keren en zorgen dat zij voldoen aan de AVG, voordat het volgende bedrijf een boete tegemoet kan zien. Voor elk knelpunt is een oplossing. Voor elke organisatie een op maat gemaakt AVG-proof plan. De Advocaten Groep denkt graag met u mee. Maak een afspraak voor een vrijblijvend gesprek, dan kijken we samen wat het beste bij uw onderneming past.

Auteur: Nicole Gustings, De Advocaten Groep