Er zijn verschillende redenen om informatie goed te beschermen. Bijvoorbeeld omdat informatie van levensbelang is voor de bedrijfsvoering en er processen tot stilstand komen als informatie niet beschikbaar of onjuist is. Een andere reden om informatie goed te beschermen kan zijn, dat het wettelijk verplicht is om beveiligingsmaatregelen te hanteren. Dat is bijvoorbeeld het geval bij informatie die gerelateerd kan worden aan personen. De AVG verplicht organisaties om zulke informatie ‘adequaat’ te beschermen. En als je dat niet doet, loop je het risico op een boete. Dat leidt tot de vraag: worden er daadwerkelijk boetes uitgedeeld vanwege het niet goed beveiligen van persoonlijke informatie?
Het bondige antwoord is: jazeker. Als we naar de Nederlandse toezichthouder kijken (de Autoriteit Persoonsgegevens), dan blijkt dat ongeveer 20% van de boetes betrekking had op gebrekkige beveiliging. Voor de lasten onder dwangsom liep dit op tot circa 75% (!). Hieronder volgt een beknopt overzicht.
Verschil tussen boete en dwangsom
Het grootste verschil tussen een boete en een last onder dwangsom is het karakter van de sanctie. Een boete heeft een bestraffend karakter; een dwangsom is een financiële stok achter de deur om een opdracht uit te voeren (de last) en daarmee een overtreding te beëindigen of toekomstige overtreding te voorkomen.
Nationale Politie 2018: onvoldoende controle op wie toegang heeft tot welke informatie en wat zij met die informatie mogen doen. Last onder dwangsom € 200.000, waarvan € 40.000 is geïnd.
UWV 2018: gebrekkige toegangsbeveiliging online werkgeversportaal, want geen tweefactorauthenticatie terwijl dat volgens de AP wel zou moeten. Last onder dwangsom € 900.000, maar het UWV voldeed op tijd aan de opdracht; er is uiteindelijk geen dwangsom geïnd.
HagaZiekenhuis 2019: toegangsbeveiliging patiëntendossiers was niet op orde, want geen tweefactorauthenticatie en geen logging en monitoring. Boete van € 460.000 én een last onder dwangsom: € 300.000. Omdat het ziekenhuis op tijd voldeed aan de last, werd geen dwangsom geïnd. De boete moest uiteraard wel worden betaald.
VGZ en Menzis: onzorgvuldige omgang met medische persoonsgegevens, waaronder gebrekkige toegangsbeveiliging. Menzis was niet snel genoeg met haar verbeteringen en verbeurde uiteindelijk een dwangsom van € 50.000.
Wat opvalt is dat de Autoriteit Persoonsgegevens in alle bovenstaande gevallen aandacht had voor het onderwerp ‘toegangsbeveiliging’. Dit onderwerp komt overigens ook bij andere Europese toezichthouders aan bod. Ons advies ligt dan ook voor de hand: zorg dat je toegangsbeveiliging op orde is en dat je dat ook kunt aantonen.
Daarnaast valt op dat de Autoriteit Persoonsgegevens vooral aandacht lijkt te hebben voor omvangrijke, gevestigde organisaties met grote maatschappelijke impact. Dat is ook in lijn met het beleid dat de AP voert; na inwerkingtreding van de AVG zou de focus niet direct komen te liggen op handhaving op basis van incidenten, maar op advisering en het stimuleren van bewustzijn bij organisaties en de maatschappij als geheel. Handhaving is daarbij een instrument, maar geen doel op zich.
Naarmate de tijd vordert mag echter van organisaties worden verwacht dat zij bekend zijn met de AVG en hoe zij die praktisch moeten toepassen. Bovendien neemt de maatschappelijke en politieke roep om strengere handhaving, toe. Onze verwachting is dan ook dat de AP de komende jaren steeds actiever zal gaan handhaven en daarbij ook een meer diverse doelgroep zal hanteren. We houden het in de gaten!