AP voert cumulatieve boetebevoegdheid maximaal door

 in IT-recht
0

Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen op een verhoogde kans op fraude met belastingen en toeslagen.

De Belastingdienst wordt verweten dat voor de verwerking van persoonsgegevens in FSV geen wettelijke grondslag was. Verder wordt de belastingdienst verweten dat zij de persoonsgegevens in strijd met een drietal in de AVG verankerde beginselen heeft verwerkt, te weten het doelbeginsel, het beginsel van juistheid en het beginsel van opslagbeperking. Daarnaast was het beveiligingsniveau van de applicatie niet op orde. Ten slotte legt de AP een separate boete op voor het feit dat er bij het uitvoeren van de Gegevensbeschermingseffectbeoordeling (GEB) het advies van de FG niet was ingewonnen. In Nederland is een GEB verplichte kost voor organisaties bij de inzet van nieuwe ICT-projecten en applicaties, waarin verwerking van persoonsgegevens een rol speelt.

Gezien de aard en de omvang van de onrechtmatige verwerking van persoonsgegevens in FSV, is de AP van oordeel dat de overtredingen door de Belastingdienst zeer ernstig zijn. De Belastingdienst heeft in FSV ruim 540.000 signalen onrechtmatig verwerkt die betrekking hebben op meer dan 270.000 betrokkenen. Deze hele grote groep burgers, waaronder ook honderden minderjarigen, zijn zwaar getroffen in hun recht op bescherming van persoonsgegevens, aldus het besluit.

Per overtreding legt de AP aan de Belastingdienst een aparte boete op variërend van Euro 250.000 tot Euro 750.000. Hierdoor komt de AP uit op een totaal boetebedrag van Euro 3,7 miljoen. Een recordbedrag.

Take away

Cumulatieve boetes werden tot op heden nauwelijks door de Autoriteit Persoonsgegevens uitgedeeld. Dat dat nu wel in deze omvang gebeurt, is met recht een novum te noemen en luidt wellicht een koerswijziging van het handhavingsbeleid van de AP in. De tijd zal het leren. Wij houden het voor u in de gaten.

Recente berichten
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder
  • 21 november 2022

    Disfunctioneren: doorgeschoten empowermentbeleid

    Marion Hagenaars
    Mirjam Scheper
    De voorwaarden voor ontslag bij disfunctioneren zijn in de wet duidelijk omschreven. Deze voorwaarden gelden ook als een werkgever een beleid voert dat niet gericht is op dossieropbouw met waarschuwingen en berispingen, maar op aanmoediging.
    Lees verder
  • 21 november 2022

    Monitoring e-mail werknemers: de voorwaarden

    Marion Hagenaars
    Mirjam Scheper
    Onrechtmatig verkregen bewijs door werkgevers brengt belangrijke risico's met zich mee. Dit blijkt ook uit een recente uitspraak van het Hof Arnhem-Leeuwarden. Wat zijn de voorwaarden voor vrije toegang tot de e-mailbox van een werknemer?
    Lees verder

Plaats een reactie

Top