Eerste boete AVG na ongeveer een jaar opgelegd

Sinds 25 mei 2018 is in Nederland de privacywetgeving geregeld in de Algemene Verordening Gegevensbescherming (AVG) geregeld. Ongeveer een jaar na invoering heeft de Autoriteit Persoonsgegevens (AP) de eerste boete opgelegd en heeft de rechter voor de eerste keer het recht op schadevergoeding toegekend.

De AVG heeft onder meer gezorgd voor uitbreiding van privacy-rechten van burgers, door aan bedrijven en organisaties verplichtingen ten aanzien van de beveiliging van hun systemen op te leggen. Als bedrijven en organisaties niet voldoen aan die beveiligingseisen, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Daarnaast kan er op grond van de AVG sprake zijn van aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker als burgers schade oplopen als gevolg van onvoldoende beveiliging (een datalek) en ontstaat er recht op een recht op schadevergoeding ontstaan.
Dit is geregeld in art. 82 lid1 van de AVG: Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Eerste boete
Op 18 juni 2019 werd de eerste forse boete van 460.000 euro wegens onvoldoende beveiliging van de systemen opgelegd aan het Haagse HagaZiekenhuis. De AP stelde een onderzoek in toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medische dossier van een bekende Nederlander hadden ingezien. Uit het onderzoek bleek dat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde had. Om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren, legde de AP het ziekenhuis tegelijkertijd een last onder dwangsom op. Als het ziekenhuis de beveiliging niet voor 2 oktober 2019 verbeterd had, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels maatregelen genomen.

Het besluit is terug te vinden op autoriteitpersoonsgegevens.nl/
 
Recht op schadevergoeding voor de eerste keer toegekend
Op 28 mei 2029 heeft de Rechtbank Overijssel voor de eerste keer het recht op een schadevergoeding op grond van de AVG toegekend aan een man wiens persoonsgegevens door de gemeente Deventer zonder toestemming van de man doorgegeven zijn aan meerdere andere gemeenten. De rechtbank oordeelde dat de man in zijn persoon aangetast was in verband met het verlies van controle over zijn persoonsgegevens en dat er, door de verspreiding van de gegevens van de man, sprake was van schending van de privacy. Het gerecht achtte de gemeente Deventer daarvoor aansprakelijk. De man kreeg volgens de rechter op grond van de AVG in samenhang met art. 6:106 BW ( schadevergoedingsrecht) het recht op een naar billijkheid vast te stellen schadevergoeding. De uiteindelijke schadevergoeding werd vastgesteld op 500 euro. 

De volledige uitspraak: ECLI:NL:RBOVE:2019:1827 is terug te vinden op:  uitspraken.rechtspraak.nl/
 
Conclusie
Misschien was de verwachting dat de gevolgen van de invoering van de AVG ‘niet zo’n vaart niet zouden lopen’, toch maken de eerste opgelegde boete en de toekenning van de schadevergoedingsplicht door de rechter duidelijk wat de gevolgen van het niet nakomen van de verplichtingen in de AVG kunnen zijn. De hoogte van zowel de boetes als de schadevergoedingsplicht is afhankelijk van de specifieke omstandigheden.