Eerste boetes schending AVG zijn een feit

Share on facebook
Share on twitter
Share on linkedin

Sinds 25 mei 2018 is in Nederland de privacywetgeving geregeld in de Algemene Verordening Gegevensbescherming (AVG) geregeld. De AVG heeft onder meer gezorgd voor uitbreiding van privacy-rechten van burgers door aan bedrijven en organisaties verplichtingen ten aanzien van de beveiliging van hun systemen op te leggen. Als bedrijven en organisaties niet voldoen aan die beveiligingseisen dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Daarnaast kan er op grond van de AVG sprake zijn van aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker als burgers schade oplopen als gevolg van de onvoldoende beveiliging (een datalek) en ontstaat er recht op een recht op schadevergoeding ontstaan. Dit geregeld in art. 82 lid1 van de AVG : Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Ongeveer aan jaar na invoering van de AVG heeft de AP de eerste boete opgelegd en heeft de rechter voor de eerste keer het recht op schadevergoeding toegekend.

Eerste boete
Op 18 juni 2019 werd de eerste forste boete van 460.000 euro opgelegd voor onvoldoende beveiliging van de systemen aan het Haagse HagaZiekenhuis. De AP stelde een onderzoek in toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medische dossier van een bekende Nederlander hadden ingezien. Uit het onderzoek bleek dat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde had.  Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren legde de AP het ziekenhuis tegelijkertijd een last onder dwangsom op. Als het ziekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd had, moest het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels maatregelen genomen.

Het besluit is terug te vinden:  https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_haga_-_ter_openbaarmaking.pdf

Recht op schadevergoeding voor de eerste keer toegekend
Op 28 mei 2019 heeft de Rechtbank Overijssel voor de eerste keer het recht op een schadevergoeding op grond van de AVG toegekend aan een man wiens persoonsgegevens door de gemeente Deventer zonder toestemming van de man doorgegeven zijn aan meerdere andere gemeenten. De rechtbank oordeelde dat de man in zijn persoon was aangetast in verband met het verlies van controle over zijn persoonsgegevens en dat er door de verspreiding van de gegevens van de man sprake was van schending van de privacy en achtte de gemeente Deventer daarvoor aansprakelijk. De man kreeg volgens de rechter op grond van de AVG in samenhang met art. 6:106 BW (schadevergoedingsrecht) het recht op een naar billijkheid vast te stellen schadevergoeding. De uiteindelijke schadevergoeding werd vastgesteld op 500 euro.

De volledige uitspraak: ECLI:NL:RBOVE:2019:1827  is terug te vinden op:  https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBOVE:2019:1827

Conclusie:
Misschien was de verwachting dat de gevolgen van de invoering van de AVG ‘niet zo’n vaart niet zouden lopen’ maar de eerste opgelegde boete en de toekenning van de schadevergoedingsplicht door de rechter maken duidelijk wat de gevolgen van het niet nakomen van de verplichtingen in de AVG kunnen zijn. De hoogte van zowel de boetes als de hoogte van de schadevergoedingsplicht zijn afhankelijk van de specifieke omstandigheden.

Bureau DFO BV organiseert met regelmaat in samenwerking met Anita Hol-Bubeck opleidingen op het gebied van schadeverzekeringen. Binnenkort vindt de workshop Cyberrisico plaats. De bovengenoemde onderwerpen komen in combinatie met de verzekeringsmogelijkheden aan de orde.

 

>>Terug naar de nieuwsbrief Actueel

 

Deel deze nieuwsbrief via sociale media

Share on facebook
Share on google
Share on twitter
Share on linkedin