Nadat de Autoriteit Persoonsgegevens (AP) eind april bekendmaakte dat zij een boete van 600.000 euro aan de Gemeente Enschede had opgelegd, komen ook in mei diverse boetes uit de pijplijn van de AP tevoorschijn. Aan Locatefamily.com, een website waarop je familie, vrienden en bekenden die je uit het oog bent verloren kunt zoeken, werd een boete van 525.000 euro opgelegd omdat de organisatie achter dit platform geen Europese vertegenwoordiger heeft aangewezen. Aan de PVV Overijssel is een boete van 7.500 euro opgelegd wegens het niet melden van een datalek en het onderhoudsbedrijf CP&A mocht 15.000 euro aftikken vanwege het onrechtmatig verwerken van gezondheidsgegevens van zieke werknemer in een slecht beveiligd Google Drive bestand.
Locatefamily.com verwerkt op haar platform adresgegevens en telefoonnummers. De meeste mensen weten niet dat ze op de site staan en als zij hun gegevens willen laten verwijderen, vinden ze geen gehoor. Omdat Locatefamily.com zich met haar diensten volgens de AP richt personen in de Europese Unie, zonder dat zij hier een vestiging heeft, is zij verplicht om een Europese vertegenwoordiger aan te wijzen (zie art. 3 lid 2 AVG jo. art. 27 lid 1 AVG). Bij gebreke daarvan kunnen betrokkenen hun privacyrechten niet goed uitoefenen.
De AP legt niet alleen een boete van 525.000 euro op, maar ook een last onder dwangsom om te zorgen dat deze overtreding zo snel mogelijk wordt beëindigd. Indien Locatefamily.com niet binnen twaalf weken een Europese vertegenwoordiger aanwijst, verbeurt zij een dwangsom van 20.000 euro per twee weken met een maximum van 120.000 euro. Gelet op de inningsproblematiek bij boetes die aan buitenlandse partijen worden opgelegd, is het overigens nog wel de vraag of de AP daadwerkelijk tot inning kan overgaan. Saillant detail daarbij is dat Locatefamily.com weigert om vragen over haar plaats van vestiging (vermoedelijk Canada) te beantwoorden.
Bij de PVV Overijssel nodigde een medewerker ‘vrienden van de PVV’ iets te enthousiast uit voor een bijeenkomst: alle mailadressen waren voor de 101 ontvangers van de uitnodiging zichtbaar. De PVV meldde dit datalek niet bij de AP. Dit had volgens de AP wel gemoeten, omdat het hierbij gaat om bijzondere persoonsgegevens in de zin van art. 9 lid 1 AVG. Het uitlekken van iemands politieke voorkeur kan immers gevolgen hebben voor iemands bestaande of toekomstige maatschappelijke positie. Rekening houdend met de financiële draagkracht van de PVV Overijssel matigt de AP de boete tot 7.500 euro.
Dat werkgevers de aard en de oorzaak van de ziekte van een werknemer niet mogen verwerken, lijkt ondanks eerdere onderzoeken van de AP (zie bijvoorbeeld het in 2016 gepubliceerde onderzoek tegen Stichting Abrona), niet bij iedereen bekend te zijn. Het onderhoudsbedrijf CP&A B.V. hield in strijd met art. 9 lid 1 AVG in een Google Drive-bestand onder meer de aard van de ziektes, specifieke klachten en pijnaanduidingen van werknemers bij. Deze registratie was zonder enige vorm van authenticatie online toegankelijk. Dit levert ook een schending van art. 32 AVG op, omdat CP&A onvoldoende passende technische en organisatorische maatregelen had genomen om de registratie te beveiligen. Ik kijk vol spanning uit naar juni: ik ben benieuwd of, en zo ja, welke boetes de AP nog meer klaar heeft staan!
