Op 25 mei 2024 was de AVG al 6 jaar van kracht. Een mooi moment dus om kort terug te kijken op wat er in de afgelopen 12 maanden op het gebied van de AVG is gebeurd in de Nederlandse rechtspraak. Een kort overzicht.
In 2023 ontving de Autoriteit Persoonsgegevens (hierna: de ‘AP’) meer dan 25.000 meldingen van een datalek. Hierbij ging het ruim 1.300 keer om een cyberaanval. Organisaties zijn wettelijk verplicht om mensen te waarschuwen als er persoonlijke gegevens zijn gelekt - bijvoorbeeld bij een cyberaanval - als sprake is van een hoog risico voor de rechten en vrijheden van betrokkenen. Immers, criminelen kunnen de gestolen persoonlijke gegevens gebruiken om aanzienlijke schade toe te brengen. Ondanks die verplichting blijken organisaties die waarschuwing in de praktijk vaak niet te geven.
Een productiebedrijf krijgt een boete nu zij niet in staat is om een afschrift van de identificatiedocumenten van alle door haar ingeleende Roemeense arbeidskrachten te verstrekken. In beroep bij Rechtbank Zeeland-West-Brabant stelt eiseres dat het bewaren van kopieën van identiteitsbewijzen in strijd is met art. 5 en art. 6 van de AVG. De rechtbank volgt eiseres in dit standpunt doch is van oordeel dat dit geen afbreuk doet aan het feit dat art. 15a Wav door eiseres is overtreden. De rechtbank acht de stelling van eiseres wel van belang bij het vaststellen van de hoogte van de boete en verlaagt deze – ondanks de aangenomen overtreding van art. 15a Wav – grotendeels tot nihil.
Op 2 februari 2024 heeft de Rechtbank Overijssel het besluit van de Autoriteit Persoonsgegevens (AP), waarin de AP een boete van € 600.000 heeft opgelegd aan de gemeente Enschede, vernietigd. Gelet op de zware bewijslast van de AP bij het opleggen van een dergelijke boete, is de AP er volgens de rechtbank niet in geslaagd te bewijzen dat de gemeente persoonsgegevens heeft verwerkt. Dat betekent logischerwijs dat de AP niet heeft bewezen dat de gemeente de beweerdelijke overtreding heeft begaan.
Op 15 januari 2024 heeft de Autoriteit Persoonsgegevens (AP) een bestuurlijke boete opgelegd aan International card Services BV (ICS), bekend van de creditcards, ter hoogte van € 150.000. Reden voor de boete is dat ICS niet aan haar verplichtingen heeft voldaan om een Data Protection Impact Assessment (DPIA) uit te voeren, zoals verplicht gesteld onder art. 35 lid 1 van de Algemene Verordening Gegevensbescherming (AVG).
Soms lijkt een website beter te weten wat u interessant vindt dan uzelf. Toeval? Nee, het maken van profielen op basis van surfgedrag en het plaatsen van gepersonaliseerde advertenties en content die aansluit op uw interesses is 'big business'. Die persoonlijke informatie wordt verzameld door het plaatsen van tracking cookies en andere volgsoftware. Hierbij worden veel persoonsgegevens verwerkt.
