Miljoenenboetes door “Privacywaakhonden” na datalekken

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

24 juli 2019

De Europese privacy-toezichthouders zitten de laatste tijd niet stil. Verschillende boetes zijn uitgedeeld aan bedrijven die de Algemene Verordening Gegevensbescherming (“AVG”) onvoldoende naleven. De Autoriteit Persoonsgegevens (“AP”) heeft haar eerste boete op grond van de AVG uitgedeeld aan het HagaZiekenhuis. De boete bedraagt 460.000 euro (zie hierover de blog van mijn collega, Suzan Wolters). Een schamel bedrag vergeleken met de boetes die ICO (de Britse toezichthouder) uit wil delen. ICO heeft namelijk aangekondigd voornemens te zijn British Airways een boete op te leggen van 205 miljoen euro. Ook de hotelketen Marriot International hangt een boete van bijna 100 miljoen euro boven het hoofd. In alle gevallen is de boete het gevolg van een onderzoek door de toezichthouders dat is gestart naar aanleiding van een datalek. Meer over boetebevoegdheden van de toezichthouder leest u in deze blog.

Boetebevoegdheid van de toezichthouder

Indien de regels van de AVG niet (volledig) worden nageleefd, heeft de toezichthouder de mogelijkheid om een boete op te leggen. Deze boete dient “doeltreffend, evenredig en afschrikkend” te zijn. De maximale boete die een toezichthouder kan opleggen is 20 miljoen euro, of 4% van de totale wereldwijde jaaromzet van de onderneming van het voorgaande boekjaar, indien dit hoger is. De door de AP gepubliceerde boetebeleidsregels geven een indicatie over de hoogte van de boete die de Nederlandse toezichthouder oplegt bij een inbreuk.

Relevante omstandigheden

Bij het (al dan niet) opleggen van een boete houdt de toezichthouder met een aantal omstandigheden rekening. Deze omstandigheden zijn bijvoorbeeld  de aard van de gegevens die zijn getroffen door het datalek, het aantal getroffen personen, de maatregelen die de verantwoordelijke had kunnen nemen om de inbreuk te voorkomen, de maatregelen die de verantwoordelijke heeft genomen om de schade te beperken en de wijze waarop de toezichthouder is geïnformeerd over de inbreuk.

De boete voor het HagaZiekenhuis laat goed zien dat de boetebeleidsregels van de AP slechts ter indicatie dienen. Op basis van de beleidsregels zou het HagaZiekenhuis een boete ter hoogte van 310.000 euro boven het hoofd hebben gehangen. Dit bedrag is echter verhoogd door een aantal omstandigheden, waaronder de omstandigheid dat het hier om  een zeer ernstige inbreuk ging die langere tijd heeft voortgeduurd.

British Airways en Marriot International

De hoogte van de boetes voor zowel British Airways als Marriot International zijn te verklaren door het groot aantal getroffen personen (500.000 personen resp. 339 miljoen personen) als gevolg van een datalek. Dit verklaart wellicht de vele malen hogere boete dan die voor het HagaZiekenhuis, waarbij slechts één persoon slachtoffer is geweest van het datalek. Bij British Airways zijn bovendien gevoelige gegevens gelekt, zoals inloggegevens, betaalgegevens en boekingsinformatie. De gevoeligheid van deze gegevens verklaart vermoedelijk de hogere boete dan die van Marriot International, ondanks het lagere aantal getroffen personen.

Conclusie

Voorafgaande maatregelen om een datalek te voorkomen zijn belangrijk, net als de handelingen die plaatsvinden ná een datalek. De genomen maatregelen, of juist het gebrek daaraan, kunnen immers doorslaggevend zijn voor een toezichthouder bij de beslissing tot het opleggen van een boete. Dat de boete hoog kan oplopen, blijkt uit de hiervoor genoemde voorbeelden.

Inmiddels heeft de AP meer informatie verstrekt over datalekken. Zo is op de website een stappenplan te vinden die gevolgd kan worden in geval een inbreuk wordt geconstateerd. Een ongeluk zit in een klein hoekje. Zorg dus dat u voorbereid bent!

Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over uw beveiligingsbeleid? Neem dan vrijblijvend contact op met Floortje Eijdems of met één van de andere leden van het Privacy-team.