Worden er echt boetes onder de AVG opgelegd?

Ja, dat gebeurt echt.

Hoe groot of klein je ook bent als onderneming: iedereen moet zich aan de AVG (de Algemene Verordening Gegevensbescherming) houden. Doe je dat niet, dan loop je het risico op een boete. 

De boete die opgelegd kan worden is maximaal 20 miljoen of 4% van de wereldwijde jaaromzet. Kijk, als kleine ondernemer krijg je niet te maken met die 20 miljoen. Maar je kunt wel degelijk een boete ontvangen die impact op jou heeft. Hieronder drie voorbeelden.

Heeft de Autoriteit Persoonsgegevens (AP) interesse in kleine ondernemers?

Wellicht denk je dat je als kleine(re) ondernemer veilig zit. Dat aan jou toch geen boete opgelegd wordt, want jij bent niet interessant genoeg. 

Maar wist je al dat iedereen een klacht mag indienen bij de Autoriteit Persoonsgegevens? En dat aan de hand van zo’n klacht, een onderzoek opgestart kan worden? Afhankelijk van de resultaten van dat onderzoek, kun je een boete opgelegd krijgen. 

Boete voor het niet melden van een datalek

Een lokale politieke partij ontving een boete van € 7.500,= voor het niet melden van een datalek. 

Wat was er gebeurd?

Er werd een groeps e-mail verstuurd. In plaats van alle geadresseerden in de bcc op te nemen, stonden alle ontvangers in de cc opgenomen. Dit betekende dat alle ontvangers van de e-mail (101 personen), andere geadresseerden konden zien. Hieruit wist je wat de politieke voorkeur van de andere geadresseerden was. 

Iemands politieke voorkeur is namelijk ook nog eens een bijzonder persoonsgegeven. Oftewel: extra gevoelig. 

Wat gebeurde er vervolgens? 

De afzender, de lokale politieke partij, had het datalek niet adequaat opgepakt en had niet tijdig (binnen 72 uur) een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek. 

Boete voor een onbeveiligde website

Een orthodontiepraktijk heeft een boete van € 12.000,= ontvangen vanwege het gebruiken van een onbeveiligde website. 

Wat was er gebeurd? 

Nieuw patiënten konden zich bij de praktijk aanmelden via hun website. Daarbij moesten ze verplicht allerlei persoonsgegevens over zichzelf, ouders, huisarts, tandarts en verzekeringsmaatschappij invullen. De gegevens die werden ingevuld, werden via een onbeveiligde verbinding verzonden. Oftewel: de gegevens konden onderweg makkelijk onderschept worden door kwaadwillenden. 

En toen werd er een klacht ingediend 

Iemand heeft een klacht ingediend bij de Autoriteit Persoonsgegevens over deze onbeveiligde verbinding. Naar aanleiding van deze klacht, is een onderzoek gestart en is de boete opgelegd. 

Het gaat bij een orthodontiepraktijk namelijk vaak over gegevens van kinderen. Kinderen zijn een extra kwetsbare groep volgens de AVG. Het ontbreken van de beveiliging is dan extra kwalijk. 

Boete voor een slecht wachtwoord

In november 2021 ontving Transavia een boete van € 400.000,=. De oorzaak was een zwak wachtwoord dat makkelijk te raden was. Ook was er geen tweefactorauthenticatie ingeschakeld (een extra bevestiging dat jij het echt bent via je telefoon bijvoorbeeld).

Wat was er gebeurd? 

Door het makkelijke wachtwoord zonder extra beveiligingsmaatregelen, kon een hacker in de systemen komen. Daardoor kon de hacker persoonsgegevens van maar liefst 25 miljoen mensen inzien! 

Er zijn gegevens van 83.000 mensen gedownload door de hacker. 

Melding 

Toen Transavia het lek ontdekte, hebben zij dit op tijd gemeld bij de Autoriteit Persoonsgegevens. Het lek werd als zeer ernstig gezien: gegevens van miljoenen mensen waren toegankelijk door een wachtwoord in de trant van “Welkom” en “123456”. Ook het ontbreken van extra handelingen werd ze aangerekend. 

Hoe voorkom je een boete?

Zorg ervoor dat jij in ieder geval de basis qua beveiliging in orde hebt.

Concreet kun je het volgende doen: 

  • Zorg voor een beveiligde website; 
  • Gebruik wachtwoorden die niet makkelijk te raden zijn; 
  • Maak gebruik van een extra inlogstap, zeker als je met systemen werkt waar veel (gevoelige) informatie in staat; 
  • Zorg ervoor dat je weet van wie je persoonsgegevens hebt en waar ze opgeslagen staan;
  • Als er een datalek is, bepaal zo snel mogelijk of je deze moet melden en maak deze melding binnen 72 uur nadat je het lek hebt ontdekt. 

Meer kennis opdoen?

Zorg er dan voor dat je mij volgt op Instagram en je inschrijft voor mijn nieuwsbrief. Dan hoef je niets te missen! 

Schrijf je in voor de nieuwsbrief!

4 reacties op “Worden er echt boetes onder de AVG opgelegd?

  1. Esther Holten avatar
    Esther Holten

    Bedankt voor het delen van deze informatie over boetes. Ik kan mij voorstellen dat niet iedereen op de hoogte is van de specifieke regels. Als ondernemer met website is het natuurlijk belangrijk om je hierin te verdiepen.

    Beantwoorden
    1. WinkensLegal avatar
      WinkensLegal

      Precies, en met zulke voorbeelden wordt het voor iedereen duidelijker!

      Beantwoorden
  2. Richard van Omster avatar
    Richard van Omster

    Ik geloof ook dat je met een beveiligde website veel problemen kan voorkomen. Het lekken van data gaat zo ook lastiger volgensmij. Voorkomen is beter dan genezen!

    Beantwoorden
    1. WinkensLegal avatar
      WinkensLegal

      Ja, elke handeling die ervoor kan zorgen dat het risico op datalekken wordt verminderd is mooi meegenomen!

      Beantwoorden

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *