2 jaar GDPR: een overzicht van handhaving, waarschuwingen en boetes

Author info

Het is ongeveer twee jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG in het Nederlands of GDPR in het Engels) van toepassing werd. Net zoals vorig jaar is het weer tijd om een voorlopige balans op te maken van de handhavingsacties door de toezichthoudende autoriteiten in het afgelopen jaar en een prognose te maken van wat organisaties te wachten staat in 2020 en de komende jaren op vlak van gegevensbescherming en GDPR. 

1. Aantal dossiers blijft toenemen

Vorig jaar liet de Belgische toezichthoudende autoriteit (Data Protection Authority of DPA) weten dat er een exponentiële toename was van het aantal dossiers in 2018. Uit recent gepubliceerde cijfers blijkt dat deze stijging voortduurt. Bijvoorbeeld, in het tweede jaar van de GDPR ontving de Belgische DPA 937 meldingen van gegevenslekken, terwijl dit in de eerste zes maanden van de GDPR nog maar 317 meldingen waren. 

De Belgische DPA is echter niet de enige die een stijging noteert, want ook andere toezichthoudende autoriteiten zoals de Nederlandse DPA, Britse DPA, Franse DPA en de Duitse Datenschutzkonferenz (DSK) meldden een sterke toename in het aantal dossiers. Meer cijfers van andere toezichthoudende autoriteiten zijn ook terug te vinden in het evaluatiedocument van de European Data Protection Board (EDPB).

Een toename in het aantal dossiers is wellicht te wijten aan de toenemende bewustwording van burgers. Uit onderzoekbleek dat het aantal burgers dat bekend is met de lokale toezichthoudende autoriteit is gestegen. In vergelijking met 2015 hadden 20 procent meer burgers al gehoord van de lokale toezichthoudende autoriteit.

2. Strategische doelstellingen en prioriteiten

Door de toename in het aantal dossiers verklaren toezichthoudende autoriteitenmeer en meer onderbezet te zijn. Een deel van de Duitse DPAs van de deelstaten en Nederlandse DPA hebben dit openlijk verklaard. Zo is de Nederlandse DPA verplicht om iedere melding in behandeling te nemen, maar moest die eerder dit jaar toegeven dat dit niet meer haalbaar was. Door de onderbezetting zouden er volgens de bevoegde minister ongeveer 3000 klachten nog niet behandeld zijn. Daarom werkt de Nederlandse DPA met prioriteiten, net zoals andere toezichthoudende autoriteiten

De Belgische DPA zal zich in de periode 2020-2025 focussen op:

  • prioritaire sectoren: overheid, telecommunicatie en media, direct marketing, onderwijs en kmo’s,
  • prioritaire GDPR instrumenten zoals de rol van de DPO, de legitimiteit van verwerkingen en de rechten van burgers, en
  • maatschappelijke thema’s zoals foto’s en camera’s, online gegevensbescherming zoals cookies en trackers, en gevoelige gegevens zoals gezondheidsgegevens.

De Nederlandse DPA lijkt zich in de periode 2020-2023 te gaan focussen op drie gebieden, namelijk:

  • datahandel zoals toezicht op doorverkoop, internet of things, profilering en behavioural advertising
  • digitale overheid waaronder databeveiliging, smart cities, samenwerkingsverbanden, verkiezingen en microtargeting, en 
  • artificiële intelligentie en algoritmes

De Franse DPA focust zich in 2020 op:

  • beveiliging van gezondheidsgegevens,
  • mobiliteitsdiensten en nieuwe toepassingen van locatiegegevens, en
  • cookies en andere trackers.

De Britse DPA en Duitse DSK noemen geen specifieke prioritaire sectoren of thema’s, maar de Britse DPA geeft wel aan zich te focussen op de volgende doelstellingen:

  • leiding geven aan de implementatie van en toezicht op de GDPR,
  • onderzoeken van innovatieve en technologisch wendbare manieren om de privacy te beschermen,
  • het versterken van de transparantie en verantwoordingsplicht en het bevorderen van goed informatiebeheer, en
  • het beschermen van de burgers in een digitale wereld.

3. Waarschuwingen en geldboetes in de EU

3.1. Overgangsperiode is gedaan

Vorig jaar schreven we dat de meeste toezichthoudende autoriteiten relatief mild zijn geweest in 2018 en dat sommige toezichthoudende autoriteiten, waaronder de Belgische DPA, hadden aangegeven dat ze in 2019 strenger zouden optreden. De voorzitter van de Belgische DPA liet weten in 2019 een tandje bij te zullen steken om de naleving van de GDPR te verzekeren. Deze voorspelling lijkt te zijn uitgekomen door de drie boetes van 50.000 EUR die de Belgische DPA heeft opgelegd in april en mei van 2020.  

Ook de voorzitter van de Nederlandse DPA liet in het verleden weten dat de Nederlandse DPA zich in 2018 voornamelijk zou richten op het beëindigen van overtredingen. Hiervoor organiseerde de Nederlandse DPA verkennende onderzoeken over het register van verwerkingsactiviteiten, verwerkersovereenkomsten en datalekregisters en stuurde de DPA aan op herstelmaatregelen door organisaties zelf. De voorzitter van de Nederlandse DPA liet echter ook weten dat klachten in 2019 vaker zouden leiden tot een onderzoek en mogelijke sancties. Ook deze voorspelling lijkt te zijn uitgekomen door twee zware boetes van 525.000 EUR en 725.000 EUR. Deze laatste boete toont trouwens ook aan dat organisaties niet steeds een ingebrekestelling van de toezichthoudende autoriteit hoeven te verwachten alvorens er een boete wordt opgelegd. In deze zaak oordeelde de Nederlandse AP dat de inbreuk zo ernstig was dat het onmiddellijk opleggen van een boete gerechtvaardigd was.

Ook de Ierse DPA heeft recent de eerste GDPR-boete opgelegd. Dit terwijl er in Ierland relatief gezien de meeste klachten worden ingediend. Uit onderzoek van IntoTheMinds bleek er voor elke 10.000 Ieren er 8,6 een klacht bij de Ierse DPA indienen. Dat is het hoogste cijfer van de EU en staat in schril contrast met het cijfer in België (0,32 klachten per 10.000 Belgen). Dat is de op één na laatste plaats. Een boete van 75.000 EUR werd opgelegd aan een Iers Staatsagentschap Tusla (Child and Family Agency) voor drie gevallen waarin persoonsgegevens van kinderen onrechtmatig werden gedeeld. In één geval werden de contact- en locatiegegevens van een moeder en kind bekend gemaakt aan een vermeende misbruiker. In twee andere gevallen werden gegevens over kinderen in pleeggezinnen ten onrechte aan bloedverwanten bekendgemaakt, waaronder in één geval aan een gedetineerde vader. 

3.2. Is er een trend op vlak van sectoren of inbreuken?

Hoewel toezichthoudende autoriteiten nog steeds eerst een waarschuwing kunnen geven, is er niet alleen een toename merkbaar in het aantal opgelegde geldboetes, maar ook in de hoogte van deze geldboetes. Momenteel lijken toezichthoudende autoriteiten echter niet vaker op te treden tegen bepaalde sectoren of bedrijven, noch tegen bepaalde soorten inbreuken.

Geldboetes worden dus opgelegd in verschillende sectoren en bedrijven, waaronder:

  • Organisaties in de gezondheidszorg,
  • Organisaties actief in de financiële sector en verzekeringen,
  • Organisaties actief in de (sociale) media,
  • Telecombedrijven, 
  • Vastgoedbedrijven,
  • Bedrijven actief in transport en mobiliteit, 
  • Bedrijven actief in entertainment en vrije tijd,
  • Non-profitorganisaties,
  • Overheidsinstellingen, 
  • Enz.

Geldboetes worden ook opgelegd voor verschillende soorten inbreuken, waaronder: 

  • Het niet naleven van basisbeginselen inzake gegevensverwerking,
  • Een gebrek aan transparantie naar de betrokkenen toe,
  • Het gebruik van een foute wettelijke grondslag,
  • Het niet nemen van gepaste technische en organisatorische beveiligingsmaatregelen,
  • Het niet of niet tijdig reageren op verzoeken van betrokkenen,
  • Het niet of niet tijdig melden van een gegevenslek,
  • Enz.

Kijk onderaan deze blog voor een overzicht van de opgelegde geldboetes!

4. Relevante rechtspraak (in België)?

4.1. Belgische boete succesvol aangevochten voor het Marktenhof

Geldboetes die door de DPA worden opgelegd kunnen in België worden aangevochten bij het Marktenhof. De bovengenoemde boete van 10.000 EUR aan een Belgische drankenhandel werd met succes aangevochten voor het Marktenhof. De belangrijkste reden hiervoor was het gebrek aan motivering door de DPA. 

De Belgische DPA heeft in tegenstelling tot Nederland en Duitsland immers geen boetebeleidsregels. Daarom moet volgens het Marktenhof minstens gemotiveerd worden waarom een minder verregaande sanctie dan het opleggen van een geldboete van 10.000 EUR geen einde aan de inbreuken zou kunnen stellen. Bovendien werd gesanctioneerd op basis van wetgeving die niet van toepassing was op het moment van de inbreuk door de drankenhandel.

4.2. De Facebook-zaak: prejudiciële vragen gesteld

De GDPR voorziet in een nieuw samenwerkingsmechanisme tussen de Europese toezichthoudende autoriteiten, namelijk een one-stop shop mechanisme. In België is in de Facebook-zaak dan ook de vraag gerezen of dit one-stop shop mechanisme ook van invloed is op de mogelijkheid om een procedure voor de rechter in te leiden. Dat one-stopshop mechanisme werd trouwens ook niet toegepast door de Franse DPA bij het opleggen van een miljoenenboete aan Google. 

De Facebook-zaak werd in 2015 ingeleid door de voormalige Privacycommissie en werd overgenomen door de huidige Belgische Gegevensbeschermingsautoriteit. De Privacycommissie argumenteerde dat de Belgische rechtbanken bevoegd zijn en eiste dat Facebook zich zou houden aan de Belgische en Europese privacyregels. 

In eerste aanleg kreeg de toenmalige Privacycommissie gelijk, maar Facebook ging in beroep. Op 8 mei 2019 oordeelde het Hof van Beroep van Brussel om enkele prejudiciële vragen te stellen aan het Hof van Justitie van de Europese Unie alvorens een uitspraak ten gronde te doen. De gestelde prejudiciële vragen zijn hier te vinden.

5. Wat brengt de toekomst?

5.1. Wellicht meer (en hogere) boetes

In vergelijking met 2018 en de eerste helft van 2019, werden er in de tweede helft van 2019 en in de eerste helft van 2020 meer en hogere boetes opgelegd. Er zijn op dit moment weinig elementen die erop zouden kunnen wijzen dat deze trend zich in 2020 en de komende jaren niet zou kunnen voortzetten.

Wellicht zullen toekomstige boetes in lijn liggen met de strategische doelstellingen van de toezichthoudende autoriteiten. Aangezien cookies en online trackers tot de prioriteiten van verschillende toezichthoudende autoriteiten behoren, verwachten we zeker meer cookieboetes in 2020 en de komende jaren. De Belgische, Spaanse en Turkse toezichthoudende autoriteiten gaven al zo’n cookieboete.

Toch zal er ook niet altijd een boete worden opgelegd. Hoewel het melden van een gegevenslek kan leiden tot een (hoge) geldboete zoals in het geval van British Airways, bleek dat het melden van een gegevenslek niet noodzakelijk aanleiding geeft tot een geldboete. Dit bleek uit een recente beslissing door de Belgische DPA. Die legde geen geldboete op aan een telecombedrijf omdat uit onderzoek was gebleken dat het datalek correct werd gemeld en dat het bedrijf passende organisatorische en technische maatregelen had genomen.

5.2. Verzekerbaarheid van boetes

Aangezien er steeds meer en hogere boetes worden opgelegd, wordt de vraag naar de verzekerbaarheid ervan ook steeds meer prangend. Een geldboete voor een inbreuk op de GDPR opgelegd door een toezichthoudende autoriteit is een administratieve geldboete en kan in principe wel worden verzekerd (in België), maar hier stellen zich wel twee vragen bij, namelijk of administratieve geldboetes door de verzekeringspolis zijn uitgesloten, en of de dekking van de verzekeringspolis voldoende hoog is.

Voor een verdere bespreking van deze vragen verwijzen we naar ons overzicht van vorig jaar.

5.3. Hebben klagers recht op een schadevergoeding?

Het gebeurt dat klagers aan de Belgische DPA ook vragen om een schadevergoeding aan hen toe te kennen, maar de DPA heeft niet de bevoegdheid om een schadevergoeding toe te kennen. De DPA kan wel een inbreuk vaststellen en administratief beboeten, maar het toekennen van een schadevergoeding is voorbehouden aan de bevoegde rechtbanken. Daarnaast kan de DPA ook geen rechtsplegingsvergoeding toekennen, want het gaat om een administratieve procedure.

In Nederland oordeelde de Nederlandse Afdeling bestuursrechtspraak van de Raad van State dat in de GDPR niet wordt bepaald op welke wijze immateriële schade moet worden vastgesteld. Dus dat moet op grond van nationaal recht worden bepaald. Wat betreft het schadebegrip bepaalt overweging 146 van de GDPR het volgende: “Het begrip “schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet.” Hoewel niet iedere inbreuk op de GDPR aanleiding zal geven tot een schadevergoeding, kende de Raad van State in een bedrag van 500 EUR toe aan een betrokkene waarvan de medische gegevens door de directeur van het Pieter Baan Centrum werden opgenomen in een verweerschrift in het kader van een tuchtprocedure. Deze schadevergoeding werd naar billijkheid begroot.

5.4. Komen er boetebeleidsregels in meer lidstaten?

Om te garanderen dat toezichthoudende autoriteiten geen willekeurige geldboetes opleggen, is het nuttig om zogenaamde boetebeleidsregels op te stellen zoals in Nederland en Duitsland. De Nederlandse DPA heeft zich hiervoor gebaseerd op de in 2017 gepubliceerde richtsnoeren en onderscheidt vier categorieën van inbreuken. Elke categorie heeft een basisboete die naar boven of naar beneden kan worden bijgesteld naargelang de omstandigheden.

5.5. Meer richtlijnen in functie van strategische doelstellingen

Naast de bevoegdheid om sanctionerend op te treden, hebben de toezichthoudende autoriteiten ook de bevoegdheid om richtlijnen over de verwerking van persoonsgegevens te geven. Deze richtlijnen zijn meestal terug te vinden op de website van de lokale toezichthoudende autoriteit. Voor de Belgische DPA gaat het om de volgende richtlijnen sinds de GDPR van toepassing is:

  • Een nota over de begrippen verwerkingsverantwoordelijke/verwerker (lees ook onze blog hierover),
  • Een aanbeveling over direct marketing (lees ook onze blog hierover),
  • Een aanbeveling over de protocolverplichting (een protocol is verplicht voor het delen van persoonsgegevens tussen bepaalde overheden),
  • Een themapagina over cookies.
  • Praktische ondersteuning voor kmo’s (project BOOST in 2020).

Bij het geven van richtlijnen is het niet uitgesloten dat er verschillen zijn tussen de richtlijnen van de ene en de andere toezichthoudende autoriteit. Bijvoorbeeld, volgens een aanbeveling van de Nederlandse DPA kunnen zuiver commerciële belangen niet kwalificeren als een gerechtvaardigd belang, terwijl volgens de Belgische DPA direct marketing wel mogelijk kan zijn op basis van een gerechtvaardigd commercieel belang. 

Omgekeerd kan het ook zijn dat richtlijnen van de ene toezichthoudende autoriteit worden bevestigd of gevolgd door andere toezichthoudende autoriteiten. Bijvoorbeeld, bijna alle toezichthoudende autoriteiten hebben ondertussen verklaard dat een cookiewall illegaal is. Dit betekent dat een website enkel gebruikt kan worden als alle cookies worden aanvaard door de bezoeker, ook marketing cookies bijvoorbeeld. 

5.6. Evaluatie van de GDPR en de nieuwe ePrivacy verordening

Op basis van artikel 97 van de GDPR diende de Europese Commissie uiterlijk op 25 mei 2020 en om de vier jaar daarna een verslag in te dienen bij het Europees Parlement en de Raad over de evaluatie en de toetsing van de GDPR. Dit verslag is hier beschikbaar.

De EDPB publiceerde op 18 februari 2020 wel een evaluatiedocument waarin de EDPB stelt dat het momenteel te vroeg is om de GDPR te herzien. Tegelijkertijd doet de EDPB een oproep om werk te maken van de nieuwe ePrivacy verordening die er tot op de dag van vandaag nog niet is. Hierover schreven wij reeds eerder op onze blog.

5.7. Update van standard contractual clauses

De huidige versies van de Standard Contractual Clauses (SCCs) zijn opgesteld vóór de inwerkingtreding van de GDPR. Timelex heeft de Europese Commissie geadviseerd over een aanpassing van de Standard Contractual Clauses aan de GDPR. Als u hiervan op de hoogte wilt blijven, kunt u ons volgen op LinkedIn.

5.8. Meer certificering in 2020 en de komende jaren

GDPR-certificatie is een manier voor een organisatie om de naleving van de GDPR aan te tonen. Bij certificering kan een geaccrediteerde certificatie-instelling een organisatie beoordelen, goedkeuren, en een certificaat afleveren. Een voorbeeld van een GDPR-certificatieschema is EuroPrivacy. Timelex assisteert organisaties bij het bekomen van een GDPR-certificaat. 

6. Zal het coronavirus de handhaving beïnvloeden?

Verschillende toezichthoudende autoriteiten zijn momenteel druk bezig met corona-apps en ook de handhaving lijkt te worden beïnvloed door de huidige uitzonderlijke omstandigheden. De ICO toont bijvoorbeeld begrip voor organisaties die momenteel andere prioriteiten hebben: “We understand that resources, whether they are finances or people, might be diverted away from usual compliance or information governance work. We won’t penalise organisations that we know need to prioritise other areas or adapt their usual approach during this extraordinary period.” 

Hoewel de ICO de termijnen niet verlengt, doet de CNIL dat wel. Termijnen uit ingebrekestellingen door de CNIL worden in bepaalde gevallen verlengd tot 24 juni 2020. Daarnaast stelt de CNIL dat zij ook in deze uitzonderlijke omstandigheden zal blijven optreden tegen ernstige inbreuken op gegevensbeschermingswetgeving.

7. Een overzicht van opgelegde geldboetes

Onderstaand overzicht is gerangschikt in oplopende volgorde volgens de hoogte van de boete en geeft een bloemlezing van de geldboetes die tot nu toe werden opgelegd (voornamelijk) in de EU lidstaten.

Let wel, dit overzicht is niet als een compleet overzicht bedoeld. Het is wel onze ambitie om de meest spraakmakende geldboetes erin op te nemen, maar als u op zoek bent naar meer informatie over de handhaving in een bepaalde lidstaat of sector, kunt u best contact met ons opnemen.

Autoriteit

Boete

Aan wie?

Waarom?

Belgische

€ 2.000

Een burgemeester

Voor het schenden van het finaliteitsbeginsel. De burgemeester beantwoordde een e-mail aan hem gestuurd voor het vastleggen van een afspraak met verkiezingspropaganda.

Cypriotische

€ 3.000

Een lokale uitgeverij

Voor het publiceren van de naam en foto van politieagenten terwijl dat onder deze omstandigheden niet proportioneel was. 

Cypriotische

€ 5.000

Een lokaal ziekenhuis

Voor het verliezen van een patiëntendossier.

Oostenrijkse 

€ 5.280

Een Oostenrijks sportweddenschapscafé

Voor inbreuken met betrekking tot beveiligingscamera’s. Deze camera’s zouden zijn gericht op publiek domein, zoals de straat en parking, en de beelden zouden te lang bijgehouden worden (meer dan 72 uren zonder verantwoording). Dat is een inbreuk op het principe van opslagbeperking.

Belgische (nieuw)

€ 10.000

Een Belgische drankenhandel 

Voor het schenden van het principe inzake minimale gegevensverwerking en de afwezigheid van geldige toestemming. De aanmaak van een klantenkaart was enkel mogelijk mits het inlezen van de elektronische identiteitskaart. Er was ook geen alternatief, waardoor er geen sprake was van vrije toestemming. Daarnaast werden het verwerken van het rijksregisternummer, geslacht en geboortedatum voor de aanmaak van een klantenkaart overmatig geacht. Daarnaast was er een gebrek aan duidelijk informatieverstrekking, meer bepaald wat betreft de rechtsgrond en de bewaartermijn. 

Deze boete werd echter succesvol aangevochten voor het Marktenhof.

Belgische (nieuw)

€ 15.000

Een juridische nieuwswebsite (jubel.be)

Voor het schenden van de cookiewetgeving en de GDPR. Cookies konden niet worden geweigerd, het privacybeleid werd in de verkeerde taal weergegeven en de beheerder vertrouwde op een legitiem belang als rechtsgrond voor het plaatsen van niet-essentiële statistische cookies in plaats van toestemming.

Een uitgebreidere analyse van deze zaak kan je lezen op onze blog.

Duitse (LfDI)

€ 20.000

Een Duits sociaal netwerk (knuddels.de)

Voor het niet nemen van gepaste technische en organisatorische maatregelen. In dit geval werden wachtwoorden in volle tekst bewaard (onlangs bleek trouwens dat ook Facebook dit heeft gedaan, hetgeen nu wordt onderzocht door de Ierse autoriteit).

Belgische (nieuw)

€ 50.000

Een Belgische telecomprovider (Proximus)

Voor een belangenconflict in hoofde van de DPO die naast DPO ook hoofd was van de afdeling compliance, risk en audit.

Belgische (nieuw)

€ 50.000

Een sociaal media netwerk (onbekend)

Voor een niet GDPR-conform "invite a friend" of “tell a friend” systeem gebaseerd op ongeldige toestemming. Een gebruiker van het sociale netwerk kon niet-gebruikers uitnodigen via hun e-mailadres. Het systeem was gebaseerd op de toestemming van de gebruiker die de uitnodiging verstuurde, maar de DPA stelt dat alleen de betrokkene (de uitgenodigde persoon) deze toestemming geldig kan geven. De Belgische DPA merkte ook op dat toestemming voor marketing e-mails niet kan worden verkregen door middel van een informatieve e-mail. Hoewel dit eerder werd toegestaan door de FOD Economie, werd deze praktijk al door andere toezichthoudende autoriteiten afgewezen. 

Belgische (nieuw)

€ 50.000

Een private ziekteverzekeraar (DKV)

Voor het verstrekken van onduidelijke informatie aan de betrokkenen. De privacy policy van de verzekeraar bevatte geen duidelijke koppeling tussen de wettelijke basis en de doeleinden van de verwerking van persoonsgegevens. 

Litouwse

€ 61.500

Een aanbieder van een betalingsinitiatiedienst

Voor het verzamelen van meer gegevens dan nodig en die langer te bewaren dan nodig (216 dagen in plaats van 10 minuten) en voor het niet melden van een datalek. Dergelijke betalingsinitiatiediensten zijn trouwens nieuw sinds de Richtlijn (EU) 2015/2366 over betalingsdiensten (PSD2).

Ierse (nieuw)

€ 75.000

Een Iers Staatsagentschap (Tusla)

Voor het in drie gevallen onrechtmatig delen van persoonsgegevens van kinderen. In één geval werden de contact- en locatiegegevens van een moeder en kind bekend gemaakt aan een vermeende misbruiker. In twee andere gevallen werden gegevens over kinderen in pleeggezinnen ten onrechte aan bloedverwanten bekendgemaakt, waaronder in één geval aan een gedetineerde vader. Dit was de eerste GDPR-boete in Ierland en Tusla heeft al laten weten dat ze niet in beroep zullen gaan.

Deense

€ 160.000 (omgerekend)

Een Deens taxibedrijf (Taxa 4x35)

Voor het langer bijhouden van persoonsgegevens dan nodig, meer bepaald doordat het telefoonnummer een essentieel onderdeel uitmaakte van het systeem van het taxibedrijf.

Turkse

€ 160.000 (omgerekend)

Amazon

Voor het verzenden van commerciële elektronische berichten naar gebruikers zonder hun toestemming, het bundelen van het aanmelden voor de diensten als voorwaarde voor het geven van toestemming, het overdragen van persoonsgegevens zonder expliciete toestemming van de gebruikers en voor het niet verstrekken van informatie in overeenstemming met de wet en met betrekking tot de gegevensverwerking met cookies. 

Noorse (nieuw)

€ 170.000 (omgerekend)

Een Noorse gemeente (Bergen)

Voor het onvoldoende beveiligen van gebruikersnamen en wachtwoorden in het computersysteem van de gemeente waardoor persoonsgegevens van meer dan 35.000 personen (leerlingen, voornamelijk kinderen, en werknemers van de gemeentelijke basisscholen) vrij toegankelijk waren. De gemeente werd al verschillende keren gewaarschuwd over de gebrekkige beveiliging.

Deense (nieuw)

€ 200.000 (omgerekend)

Een Deense meubelfabrikant (IDDesign)

Voor het niet documenteren van bewaartermijnen, het niet naleven van de vooropgestelde bewaartermijnen en het langer bijhouden van persoonsgegevens dan nodig.

Poolse

€ 220.000 (omgerekend)

Een internationaal data analytics bedrijf (Bisnode)

Voor een schending van de informatieplicht. Het bedrijf in kwestie moest binnen drie maanden 6 miljoen betrokkenen alsnog informeren.

Spaanse

€ 250.000

Een Spaanse voetbalcompetitie (La Liga Santander) 

Voor het onvoldoende informeren over het inschakelen van de microfoon en geolokatie via de La Liga app om illegale uitzendingen van voetbalwedstrijden te kunnen lokaliseren.

Portugese

€ 400.000

Een lokaal ziekenhuis (Centro Hospitalar Barreiro Montijo)

Voor het niet nemen van gepaste technische en organisatorische maatregelen. Het ziekenhuis zou negen sociaal werkers toegang hebben gegeven tot bepaalde medische gegevens en ook de toegangsrechten tot deze gegevens werden onzorgvuldig toegekend. Terwijl er 296 artsen in het ziekenhuis werkten hadden vier keer meer medewerkers wel dezelfde toegangsrechten als hen. 

Griekse (nieuw)

€ 400.000

Een telecomprovider (OTE)

Voor verschillende overtredingen van de GDPR, waaronder het principe ‘privacy by design’. De Griekse toezichthoudende autoriteit heeft de boete geheven naar aanleiding van klachten van gebruikers over marketinggesprekken met derden, ondanks de opt-out van marketing door derden. Uit onderzoek is gebleken dat de systemen van het bedrijf ten onrechte een aantal opt-outverzoeken van gebruikers hebben verwijderd als gevolg van organisatorische fouten.

Nederlandse (nieuw)

€ 460.000

Een lokaal ziekenhuis (HagaZiekenhuis)

Voor het niet nemen van gepaste technische en organisatorische maatregelen. Het onderzoek kwam er nadat tientallen medewerkers het medisch dossier van een bekende Nederlander hadden geraadpleegd. Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt en moet tweefactorauthenticatie invoeren.

Het ziekenhuis ging in beroep tegen de hoogte van de boete.

Nederlandse

€ 600.000

Een Amerikaanse vervoersapp (Uber)

Voor het niet melden van een datalek binnen 72 uur. Hoewel het ging om een datalek in 2016, baseerde de AP zich op nationale wetgeving en de GDPR voor het opleggen van deze boete. 

Britse (nieuw)

€ 575.000 (omgerekend)

Een lead generator bedrijf (CRDNN)

Voor het maken van meer dan 193 miljoen geautomatiseerde ongevraagde telefoonoproepen. Uit het onderzoek bleek dat CRDNN Limited tussen 1 juni en 1 oktober 2018 bijna 1,6 miljoen oproepen per dag bleek te doen over verschillende onderwerpen, waaronder schuldmanagement.

Nederlandse (nieuw)

€ 525.000

Een Nederlandse tennisvereniging (KNLTB)

Voor de verkoop van de persoonsgegevens van haar leden. De KNLTB heeft in 2018 onrechtmatig persoonsgegevens van enkele duizenden van haar leden verstrekt aan twee sponsors.

Nederlandse

€ 600.000

Een Amerikaanse mobiliteitsapp (Uber)

Voor het niet melden van een gegevenslek binnen 72 uur. Hoewel het lek in 2016 was, heeft de Nederlandse toezichthoudende autoriteit zich voor het opleggen van deze boete gebaseerd op de nationale wetgeving en de GDPR.

Nederlandse (nieuw)

€ 725.000

Onbekend

Voor het verplichten van werknemers tot het scannen van hun vingerafdrukken voor tijds- en aanwezigheidsregistratie.

Nederlandse

Dwangsom (max. € 900.000)

Een Nederlands ziekteverzuimportaal voor werkgevers

Om meer maatregelen te nemen voor de beveiliging van de toegang tot het ziekteverzuimportaal voor werkgevers, minstens door meerfactorauthenticate toe te passen. 

Italiaanse(nieuw)

€ 11,5 miljoen

Een energieleverancier (Eni Gas e Luce – Egl)

De Italiaanse toezichthoudende autoriteit heeft twee boetes opgelegd aan Eni Gas e Luce (Egl), voor in totaal 11,5 miljoen EUR, in verband met respectievelijk de illegale verwerking van persoonsgegevens in het kader van promotieactiviteiten en de activering van ongevraagde contracten. De boetes werden door de grote verscheidenheid aan betrokken partijen, de alomtegenwoordigheid van het gedrag, de duur van de inbreuk en de economische omstandigheden van Egl.

Duitse (nieuw)

€ 14,5 miljoen

Timelex blog

Een Duits vastgoedbedrijf

Voor het opslaan van alle persoonsgegevens van huurders in een archiefsysteem voor een onbepaalde termijn.

Italiaanse (nieuw)

€ 27,8 miljoen

Een telecomprovider (TIM)

Voor verschillende schendingen van de GDPR, met de nadruk op onrechtmatige gegevensverwerking, niet-conforme agressieve marketingstrategie, het ongeldig verzamelen van toestemmingen en een te lange bewaartermijn voor de gegevens.

Franse (nieuw)

€ 50 miljoen

Timelex blog

Google

Voor verschillende inbreuken met betrekking tot ongeldige toestemming en gebrek aan transparantie.

Zweedse(nieuw)

€ 69 miljoen (omgerekend)

Google

Voor het niet naleven van het recht op verwijdering.

Britse (nieuw)

€ 115 miljoen voorgesteld (omgerekend – 99 miljoen GBP)

Een hotelketen (Marriott International)

Voor het niet uitvoeren van de juiste due diligence bij het doen van een bedrijfsovername en voor het niet invoeren van de juiste verantwoordingsmaatregelen om niet alleen te beoordelen welke persoonsgegevens zijn verkregen, maar ook hoe deze worden beveiligd. De kwetsbaarheid begon toen de systemen van de Starwood-hotelgroep in 2014 werden gecompromitteerd en Marriott vervolgens in 2016 Starwood verwierf, maar het lek van klantgegevens werd pas in 2018 ontdekt.

Britse (nieuw)

€ 243,47 miljoen

Een Britse luchtvaartmaatschappij (British Airways)

Het niet nemen van passende maatregelen, want het bedrijf werd slachtoffer van een cyberaanval waarbij gegevens van 500.000 betrokkenen werden gestolen.