AP voert cumulatieve boetebevoegdheid maximaal door

 in IT-recht

Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen op een verhoogde kans op fraude met belastingen en toeslagen.

De Belastingdienst wordt verweten dat voor de verwerking van persoonsgegevens in FSV geen wettelijke grondslag was. Verder wordt de belastingdienst verweten dat zij de persoonsgegevens in strijd met een drietal in de AVG verankerde beginselen heeft verwerkt, te weten het doelbeginsel, het beginsel van juistheid en het beginsel van opslagbeperking. Daarnaast was het beveiligingsniveau van de applicatie niet op orde. Ten slotte legt de AP een separate boete op voor het feit dat er bij het uitvoeren van de Gegevensbeschermingseffectbeoordeling (GEB) het advies van de FG niet was ingewonnen. In Nederland is een GEB verplichte kost voor organisaties bij de inzet van nieuwe ICT-projecten en applicaties, waarin verwerking van persoonsgegevens een rol speelt.

Gezien de aard en de omvang van de onrechtmatige verwerking van persoonsgegevens in FSV, is de AP van oordeel dat de overtredingen door de Belastingdienst zeer ernstig zijn. De Belastingdienst heeft in FSV ruim 540.000 signalen onrechtmatig verwerkt die betrekking hebben op meer dan 270.000 betrokkenen. Deze hele grote groep burgers, waaronder ook honderden minderjarigen, zijn zwaar getroffen in hun recht op bescherming van persoonsgegevens, aldus het besluit.

Per overtreding legt de AP aan de Belastingdienst een aparte boete op variërend van Euro 250.000 tot Euro 750.000. Hierdoor komt de AP uit op een totaal boetebedrag van Euro 3,7 miljoen. Een recordbedrag.

Take away

Cumulatieve boetes werden tot op heden nauwelijks door de Autoriteit Persoonsgegevens uitgedeeld. Dat dat nu wel in deze omvang gebeurt, is met recht een novum te noemen en luidt wellicht een koerswijziging van het handhavingsbeleid van de AP in. De tijd zal het leren. Wij houden het voor u in de gaten.

Recente berichten
  • 8 juni 2022

    Vakantiedagen tijdens ziekte, een hoofdpijndossier

    Marion Hagenaars
    “Op vakantie naar Ibiza als je ziek bent, zonder dat deze dagen worden afgeboekt, is dat niet gek?”, werd mij de week gevraagd. Met de zomervakantie in zicht een actueel vraagstuk.  Vakantiedagen, zo eenvoudig is het niet Vakantiedagen, het lijkt zo eenvoudig: je bouwt ze eerst op en daarna neem je ze op. Maar de
    Lees verder
  • 25 mei 2022

    Besmette persoonsgegevens – De Ziggo soap

    Sil Kingma
    Klanten van Ziggo ontvingen afgelopen week een email met de aankondiging dat zij de prijs van haar abonnement met 3,50 Euro gaat verlagen. Sympathiek zou je denken. Er bleek echter een addertje onder het gras te zitten.  In diezelfde email kondigde Ziggo aan haar algemene voorwaarden per 1 juli as eenzijdig aan te passen. Bij
    Lees verder
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder

Plaats een reactie

Top