AP voert cumulatieve boetebevoegdheid maximaal door

 in IT-recht

Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen op een verhoogde kans op fraude met belastingen en toeslagen.

De Belastingdienst wordt verweten dat voor de verwerking van persoonsgegevens in FSV geen wettelijke grondslag was. Verder wordt de belastingdienst verweten dat zij de persoonsgegevens in strijd met een drietal in de AVG verankerde beginselen heeft verwerkt, te weten het doelbeginsel, het beginsel van juistheid en het beginsel van opslagbeperking. Daarnaast was het beveiligingsniveau van de applicatie niet op orde. Ten slotte legt de AP een separate boete op voor het feit dat er bij het uitvoeren van de Gegevensbeschermingseffectbeoordeling (GEB) het advies van de FG niet was ingewonnen. In Nederland is een GEB verplichte kost voor organisaties bij de inzet van nieuwe ICT-projecten en applicaties, waarin verwerking van persoonsgegevens een rol speelt.

Gezien de aard en de omvang van de onrechtmatige verwerking van persoonsgegevens in FSV, is de AP van oordeel dat de overtredingen door de Belastingdienst zeer ernstig zijn. De Belastingdienst heeft in FSV ruim 540.000 signalen onrechtmatig verwerkt die betrekking hebben op meer dan 270.000 betrokkenen. Deze hele grote groep burgers, waaronder ook honderden minderjarigen, zijn zwaar getroffen in hun recht op bescherming van persoonsgegevens, aldus het besluit.

Per overtreding legt de AP aan de Belastingdienst een aparte boete op variërend van Euro 250.000 tot Euro 750.000. Hierdoor komt de AP uit op een totaal boetebedrag van Euro 3,7 miljoen. Een recordbedrag.

Take away

Cumulatieve boetes werden tot op heden nauwelijks door de Autoriteit Persoonsgegevens uitgedeeld. Dat dat nu wel in deze omvang gebeurt, is met recht een novum te noemen en luidt wellicht een koerswijziging van het handhavingsbeleid van de AP in. De tijd zal het leren. Wij houden het voor u in de gaten.

Recente berichten
  • 27 december 2023

    Europe’s AI Act: The genie still out of the bottle?

    Emmely Schaaphok
    “The genie is out of the bottle. We need to move forward on artificial intelligence development but we also need to be mindful of its very real dangers. I fear that AI may replace humans altogether.” This quote from Stephen Hawking in 2017 is more relevant today than ever.
    Lees verder
  • 4 april 2023

    INPLP Activity Report 2022

    Bob Cordemeyer
    Hereunder you can read the Activity Report 2022 from our network INPLP (International Network of Privacy Law Professionals) of which our firm is a founding member since 2015.
    Lees verder
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder

Plaats een reactie

Top