Beveiligingsmaatregelen, het (blijven) updaten van privacy documenten en het uitvoeren van DPIA’s, allemaal privacy gerelateerde onderwerpen waar zorgaanbieders zich mee bezig dienen te houden, maar – zo leert de praktijk – iets wat toch al snel ‘onderaan het lijstje komt’. Dat terwijl de Autoriteit Persoonsgegevens (hierna: “AP”) toeziet op naleving van privacy wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (hierna: “AVG”). In dit artikel gaan wij in op het handhavingsbeleid van de AP, zoals op welke onderwerpen de AP zich focust en waarvoor zij boetes heeft uitgedeeld.
Waar focust de AP zich op?
De AP publiceert ieder jaar een verslag, waarin zij verantwoording aflegt over hoe zij in het afgelopen jaar haar handhavingstaak heeft ingevuld en tevens vooruitblik doet op aankomend jaar. Recentelijk heeft de AP haar jaarverslag van 2024 gepubliceerd. Daarin wordt ingegaan op 2024 en aankomend jaar (2025).
In het jaar 2024 had de AP vijf focusgebieden, te weten:
- Algoritmes & AI;
- Big Tech;
- Vrijheid & veiligheid;
- Datahandel en;
- Digitale overheid.
Daarnaast heeft de AP in 2024 streng gehandhaafd bij grote partijen, zoals Meta, Uber, Booking.com en Netflix. Er is niet altijd gekozen om een boete op te leggen door de AP, maar er zijn ook andere handhavingsinstrumenten ingezet. Zo heeft de AP in 2024 ‘maar’ 6 boetes opgelegd, vier keer een last onder dwangsom en zeven berispingen. Ook heeft de AP in 2024 meer aandacht voor de positie van de Functionaris Gegevensbescherming (FG) op nationaal en Europees niveau gebracht, zoals de ontwikkeling van een nationaal kwaliteitsregister voor FG’s en de goedkeuring van EDPB voor certificeringscriteria van Brand Compliance.
Ook heeft de AP aangegeven nieuwe EU-regels als de AI-verordening en de Europese Digital Service ACT (DSA) te zullen gaan handhaven. De AI-verordening vereist risicoclassificatie van AI-systemen, verboden toepassingen (zoals real-time biometrische identificatie in de openbare ruimte) en extra conformiteitseisen voor hoog-risico AI. Het is dus belangrijk als organisatie om alvast stappen te zetten, zodat de organisatie compliant is met deze regelgeving. Organisaties die AI inzetten, doen er goed aan nu alvast te inventariseren van welke systemen hieronder vallen en welke aanpassingen nodig zijn.
Waar heeft de AP boetes voor uitgedeeld?
De AP is bevoegd om sancties op te leggen als een organisatie in strijd handelt met privacy wet- en regelgeving. De AP publiceert op haar website de boetes en andere sancties, zoals een waarschuwing of verwerkingsverbod, die zij oplegt. Dat zijn er overigens niet veel, het gaat om zo’n acht publicaties in het jaar 2024 en slechts twee in 2023. Hieronder worden een aantal van de door de AP door de jaren heen opgelegde sancties besproken.
Boete DPG Media
De AP legde DPG Media een boete van 525.000 euro op vanwege een ongepaste verwerking van persoonsgegevens bij verzoeken om inzage of verwijdering van gegevens. Het mediabedrijf vroeg klanten altijd om een kopie van hun identiteitsbewijs wanneer zij een verzoek deden om inzage in of verwijdering van hun persoonsgegevens. Dit was echter niet noodzakelijk en te vergaand, aangezien de identiteit van de verzoeker op minder ingrijpende manieren geverifieerd had kunnen worden (bijvoorbeeld door het controleren van beschikbare gegevens of een telefoontje). Deze handelswijze is, aldus de AP, in strijd met het beginsel van gegevensminimalisatie op basis van artikel 5 AVG.
Het probleem met het opvragen van een kopie van het identiteitsbewijs is dat dit veel persoonsgegevens bevat, wat een groot risico vormt voor de veiligheid van de betrokkenen, bijvoorbeeld bij datalekken of identiteitsfraude. De AP benadrukte dat bedrijven zorgvuldig moeten omgaan met persoonsgegevens en niet zomaar kopieën van identiteitsbewijzen mogen opvragen, omdat deze gegevens potentieel misbruikt kunnen worden.
Boete OLVG Ziekenhuis
De AP legde enige tijd geleden een boete van 440.000 euro op aan het OLVG. Dat dit geen recent opgelegde boete is, maakt de ‘les’ die hieruit volgt niet minder belangrijk. De boete werd opgelegd omdat het ziekenhuis tussen 2018 en 2020 onvoldoende maatregelen had genomen om onbevoegde toegang tot medische dossiers te voorkomen.
Het OLVG gebruikte weliswaar een vorm van authenticatie, maar alleen met een gebruikersnaam en wachtwoord, wat slechts één authenticatiefactor is. Dit voldeed niet aan de eisen van tweefactor authenticatie (waarbij naast een wachtwoord bijvoorbeeld ook een token of pas nodig is). De AP oordeelde dat gezien de gevoelige aard van de gegevens, het ziekenhuis tweefactor authenticatie had moeten gebruiken.
Daarnaast bleek OLVG onvoldoende te controleren of er onbevoegde toegang was tot de medische dossiers. Volgens het logging beleid van het ziekenhuis had er elke vier weken een representatieve steekproef van de logbestanden gecontroleerd moeten worden. OLVG voerde echter slechts twee steekproeven uit en heeft daarmee haar eigen beleid niet nageleefd. De AP oordeelde dat het ziekenhuis structureel had verzuimd om de logbestanden systematisch en regelmatig te controleren. Het recht op logging van patiënten is inmiddels wettelijk vastgelegd, namelijk in artikel 15e van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Deze boete is daarmee ook direct voor andere zorgaanbieders een signaal om de logging goed op orde te hebben.
Door de langdurige en grove tekortkomingen in de beveiliging van gevoelige patiëntgegevens, oordeelde de AP dat OLVG zich nalatig had gedragen. Gezien de omvang en de gevoeligheid van de persoonsgegevens, werd de boete verhoogd. Het ziekenhuis had betere beveiligingsmaatregelen moeten treffen om de privacy van patiënten te beschermen. De boete van 440.000 euro werd opgelegd om te benadrukken hoe belangrijk het is dat zorginstellingen de beveiliging van persoonsgegevens serieus nemen, vooral bij het verwerken van medische gegevens.
Boete orthodontiepraktijk
Aan een orthodontiepraktijk werd door de AP een boete van 12.000 euro opgelegd aan omdat de praktijk niet voldeed aan de AVG. De boete kwam na een klacht over de onveilige website van de praktijk, waar nieuwe patiënten zich online konden aanmelden. Via een onbeveiligde verbinding werden gevoelige gegevens, zoals het BSN van patiënten, verzonden. Dit creëerde een aanzienlijk risico voor de privacy van de patiënten, aangezien criminelen deze gegevens relatief eenvoudig konden onderscheppen, wat zou kunnen leiden tot identiteitsdiefstal of oplichting.
De AP benadrukte dat zorgverleners, groot of klein, de privacy van hun patiënten serieus moeten nemen en voldoende beveiligingsmaatregelen moeten treffen. In dit geval was de beveiliging van de website onvoldoende, en werd het formulier met persoonsgegevens via een niet-versleutelde verbinding verstuurd. De AP benadrukte ook dat kinderen, die in deze praktijk vaak patiënten zijn, extra bescherming verdienen volgens de AVG, omdat zij als (nog) kwetsbaarder worden beschouwd.
Tot slot
Hoewel de AP in 2024 voornamelijk boetes heeft opgelegd aan grote bedrijven, wordt zij ook actiever in de handhaving van de AVG-verplichtingen richting kleine bedrijven. Afhankelijk van de mate van de inbreuk op de AVG kan er een sanctie – waaronder een forse boete – worden opgelegd. Het is dan ook raadzaam om als organisatie na te gaan of alle AVG-verplichtingen voldoende worden nageleefd én de ontwikkelingen op dit gebied te volgen.
