Boetes en andere sancties
De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. Op deze pagina vindt u een overzicht van alle boetes en andere sancties die de AP in 2018, 2019 en 2020 heeft opgelegd.
Boete
De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.
Tot nu toe heeft de AP de volgende boetes opgelegd en openbaar gemaakt:
- Boete BKR voor kosten bij inzage
830.000 euro (6 juli 2020) - Boete bedrijf voor vingerafdrukken personeel
725.000 euro (30 april 2020) - Boete KNLTB voor verkoop ledengegevens
525.000 euro (3 maart 2020) - Boete HagaZiekenhuis voor slechte beveiliging patiëntendossiers
460.000 euro (16 juli 2019) - Boete Uber voor te laat melden datalek
600.000 euro (27 november 2018).
Last onder dwangsom
De AP kan organisaties die de AVG overtreden een last onder dwangsom opleggen. De organisatie moet de dwangsom betalen als de overtreding na een bepaalde termijn niet is gestopt. De last onder dwangsom bestond ook al vóór de AVG, onder de Wet bescherming persoonsgegevens.
In de periode 2018 tot nu heeft de AP bekendgemaakt aan de volgende organisaties een last onder dwangsom te hebben opgelegd:
- Last onder dwangsom CZ voor te veel medische gegevens bij machtigingsaanvragen
bedrag niet openbaar gemaakt - loopt nog (14 februari 2020) - Last onder dwangsom Menzis voor onbevoegde toegang tot medische gegevens
max. 750.000 euro - 50.000 euro geïnd (4 november 2019) - Last onder dwangsom VGZ voor onbevoegde toegang tot medische gegevens
max. 750.000 euro - overtreding op tijd gestopt (4 november 2019) - Last onder dwangsom HagaZiekenhuis voor slechte beveiliging patiëntendossiers
max. 300.000 euro - overtreding op tijd gestopt (16 juli 2019) - Tweede last onder dwangsom Nationale Politie voor slechte beveiliging politiegegevens
max. 320.000 euro - overtreding op tijd gestopt (21 december 2018) - Last onder dwangsom UWV voor slechte beveiliging werkgeversportaal
max. 900.000 euro - overtreding op tijd gestopt (30 oktober 2018) - Last onder dwangsom Nationale Politie voor slechte beveiliging politiegegevens
max. 200.000 euro - 40.000 euro geïnd (20 september 2018) - Last onder dwangsom TGB voor niet voldoen aan inzageverzoek klant
max. 60.000 euro - 48.000 euro geïnd (9 augustus 2018).
Verwerkingsverbod
De AP kan een verwerkingsverbod opleggen. Hiermee bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet mag verwerken.
Tot nu toe heeft de AP in de volgende gevallen een verwerkingsverbod opgelegd en openbaar gemaakt:
- Verwerkingsverbod Belastingdienst voor gebruik BSN in btw-nummer
19 december 2018
Berisping
De AP kan een organisatie een berisping geven wanneer die organisatie inbreuk maakt op de AVG. Met de berisping stelt de AP de inbreuk vast en laat de AP blijken deze af te keuren.
Tot nu toe heeft de AP de volgende berispingen gegeven en openbaar gemaakt:
- Berisping Akwa GGZ voor verwerken gezondheidsgegevens
16 december 2019
Waarschuwing
De AP kan een formele waarschuwing geven over een voorgenomen verwerking.
Tot nu toe heeft de AP de volgende berispingen gegeven en openbaar gemaakt: