Een flinke boete door het niet goed beschermen van persoonsgegevens

29-06-2022 - De Autoriteit Persoonsgegevens heeft recent een overzicht van uitgedeelde boetes in 2021 gedeeld. De grootste boetes waren zoals verwacht voor grote bedrijven. Zo kreeg Transavia een boete van 400.000 euro, TikTok een boete van 750.000 euro en de Belastingdienst een boete van wel 2,75 miljoen euro. Toch staan er ook mkb-ondernemingen in het overzicht. Zo werd een orthodontiepraktijk op de vingers getikt voor het onveilig verwerken van persoonsgegevens. Wat was er aan de hand?

De case:

Een orthodontiepraktijk vroeg nieuwe patiënten om bepaalde persoonsgegevens om de juiste zorg te kunnen verlenen. Dit deden zij echter via een onbeveiligde website, waardoor het gevaar van internetcriminelen op de loer lag. De informatie die op de website verwerkt werd was gevoelige informatie, het ging namelijk veelal om zorggegevens van kinderen. Wanneer je te maken krijgt met verwerking van gevoelige informatie is het extra belangrijk om deze informatie op de juiste manier te verwerken. De Autoriteit legde daarom een boete op van 12.000 euro.

De vraag:

Welke les kun je halen uit deze uitspraak?

Het antwoord:

Denk goed na over de wijze waarop je persoonsgegevens van jouw klanten verwerkt.

Dit moet je doen:

• Controleer of partijen aan wie persoonsgegevens worden doorgegeven de beveiligingsmaatregelen op orde hebben. Jij verstrekt hen namelijk de persoonsgegevens van jouw klanten. Zorg er dus voor dat zij ook op een goede manier met deze gegevens omgaan.
• Hanteer een beleid voor fysieke dossiers. Dossiers op papier die persoonsgegevens bevatten moet je natuurlijk goed opbergen. Alleen mensen die daartoe bevoegd zijn mogen bijvoorbeeld toegang hebben tot een kast met dossiers die persoonsgegevens bevatten.
• Hanteer een beleid voor de opslag van data en een ICT-beleid. Zorg in ieder geval voor een beveiligde website als (gevoelige) persoonsgegevens worden verzameld.
• Neem de regels die jij in je beleid hebt opgenomen op in een bedrijfsreglement. Zo zorg je ervoor dat medewerkers ook op de hoogte zijn van en handelen volgens de beveiligingsregels.

Wat de orthodontiepraktijk niet goed heeft gedaan is het voeren van een goed beleid voor de opslag van data en een ICT-beleid. Wanneer ze gebruik hadden gemaakt van een beveiligde website hadden ze op dit gebied wel voldaan aan hun verplichting om persoonsgegevens goed te beveiligen. Zorg er dus voor dat je persoonsgegevens altijd op een veilige manier verzameld en bewaard. Zowel offline als online.

Voldoe jij aan de AVG?

Bovenstaande tips zien op een aantal specifieke verplichtingen uit de AVG. Wil je zeker weten dat jij voldoet aan alle stappen uit de AVG of heb je andere vragen over de verwerking van persoonsgegevens binnen jouw onderneming? Wij helpen je graag! Neem contact op met een van onze juristen via juristen@rechtdirect.nl of bel: 085 008 11 80.

 

Bij het samenstellen van dit artikel/deze nieuwsbrief is geen rekening gehouden met eventuele bijzondere van toepassing zijnde wetgeving en afspraken zoals opgenomen in de CAO en/of (arbeids)overeenkomst. Daarbij is rekening gehouden met de wetgeving die op het moment van het schrijven van de tekst geldend is. Het kan dus zijn dat, met de veranderende wetgeving, de inhoud later achterhaald is. Mocht je de informatie in de praktijk willen hanteren, neem dan van tevoren even contact op met een van de juristen van Recht-Direct zodat zij je goed kunnen informeren.