Boetes en andere sancties

De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. Op deze pagina vindt u een overzicht van alle boetes en andere sancties die de AP sinds 2018 heeft opgelegd.

Boete

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.

Hoe de AP de hoogte van boetes bepaalt, is vastgelegd in de Boetebeleidsregels Autoriteit Persoonsgegevens 2019.

De AP ontvangt het geld uit de boetes niet zelf. Het Centraal Justitieel Incassobureau (CJIB) int de boetes.

Een deel van de boetes die de AP heeft opgelegd, is nog niet openbaar. De volgende boetes heeft de AP al wel openbaar gemaakt:

• Boete Belastingdienst voor discriminerende en onrechtmatige werkwijze
  2,75 miljoen euro (7 december 2021)
• AP beboet Transavia om slechte beveiliging persoonsgegevens
  400.000 euro (12 november 2021)
• Boete TikTok vanwege schenden privacy kinderen
  750.000 euro (22 juli 2021)
• UWV krijgt boete voor slechte beveiliging bij verzending groepsberichten
  450.000 euro (7 juli 2021)
• Boete orthodontiepraktijk vanwege onbeveiligde patiëntenwebsite
  12.000 euro (10 juni 2021)
• Boete voor CP&A om privacyschending zieke werknemers
  15.000 euro (19 mei 2021)
• Boete LocateFamily.com voor ontbrekende vertegenwoordiger in EU
  525.000 euro (12 mei 2021)
• Boete PVV Overijssel vanwege niet melden datalek
  7.500 euro (11 mei 2021)
• Boete gemeente Enschede om wifitracking
  600.000 euro (29 april 2021)
• Boete Booking.com voor te laat melden datalek
  475.000 euro (31 maart 2021)
• Boete OLVG voor slechte beveiliging patiëntendossiers
  440.000 euro (11 februari 2021)
• Boete BKR voor kosten bij inzage
  830.000 euro (6 juli 2020)
• Boete bedrijf voor vingerafdrukken personeel
  725.000 euro (30 april 2020)
• Boete KNLTB voor verkoop ledengegevens
  525.000 euro (3 maart 2020)
• Boete HagaZiekenhuis voor slechte beveiliging patiëntendossiers 
  460.000 euro (16 juli 2019)
• Boete Uber voor te laat melden datalek
  600.000 euro (27 november 2018).

Internationale boetes

Voor de boetes die de andere privacytoezichthouders in de Europese Unie hebben opgelegd, zie National news op de website van de European Data Protection Board (EDPB).

Last onder dwangsom

De AP kan organisaties die de AVG overtreden een last onder dwangsom opleggen. De organisatie moet de dwangsom betalen als de overtreding na een bepaalde termijn niet is gestopt. De last onder dwangsom bestond ook al vóór de AVG, onder de Wet bescherming persoonsgegevens.

In de periode 2018 tot nu heeft de AP bekendgemaakt aan de volgende organisaties een last onder dwangsom te hebben opgelegd:

• Last onder dwangsom LocateFamily.com voor ontbrekende vertegenwoordiger in EU (naast boete)
  max. 120.000 euro - loopt nog (12 mei 2021)
• Last onder dwangsom CZ voor te veel medische gegevens bij machtigingsaanvragen
  bedrag niet openbaar gemaakt - loopt nog (14 februari 2020)
• Last onder dwangsom Menzis voor onbevoegde toegang tot medische gegevens
  max. 750.000 euro - 50.000 euro geïnd (4 november 2019)
• Last onder dwangsom VGZ voor onbevoegde toegang tot medische gegevens
  max. 750.000 euro - overtreding op tijd gestopt (4 november 2019)
• Last onder dwangsom HagaZiekenhuis voor slechte beveiliging patiëntendossiers
  max. 300.000 euro - overtreding op tijd gestopt (16 juli 2019)
• Tweede last onder dwangsom Nationale Politie voor slechte beveiliging politiegegevens
  max. 320.000 euro - overtreding op tijd gestopt (21 december 2018)
• Last onder dwangsom UWV voor slechte beveiliging werkgeversportaal
  max. 900.000 euro - overtreding op tijd gestopt (30 oktober 2018)
• Last onder dwangsom Nationale Politie voor slechte beveiliging politiegegevens
  max. 200.000 euro - 40.000 euro geïnd (20 september 2018)
• Last onder dwangsom TGB voor niet voldoen aan inzageverzoek klant 
  max. 60.000 euro - 48.000 euro geïnd (9 augustus 2018).

Verwerkingsverbod

De AP kan een verwerkingsverbod opleggen. Hiermee bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet mag verwerken.

Tot nu toe heeft de AP in de volgende gevallen een verwerkingsverbod opgelegd en openbaar gemaakt:

• Verwerkingsverbod Belastingdienst voor gebruik BSN in btw-nummer
  19 december 2018

Berisping

De AP kan een organisatie een berisping geven wanneer die organisatie inbreuk maakt op de AVG. Met de berisping stelt de AP de inbreuk vast en laat de AP blijken deze af te keuren.

De AP legt een berisping op als dat passender is dan een bestuurlijke boete. Bijvoorbeeld bij een kleine inbreuk. Of daar sprake van is, beoordeelt de AP door naar relevante omstandigheden te kijken.

Zoals de aard, ernst en duur van de inbreuk, de vraag of de overtreding een incidenteel karakter had, of de rechten van de betrokken personen alsnog konden worden gewaarborgd en of er sprake was van opzet.

Is er sprake van een zwaardere inbreuk? Dan kiest de AP voor een passender maatregel, zoals een bestuurlijke boete. Overweging 148 van de AVG geeft inzicht in de factoren die een rol spelen bij de keuze voor een berisping.

Tot nu toe heeft de AP de volgende berispingen gegeven en openbaar gemaakt:

• Berisping Akwa GGZ voor verwerken gezondheidsgegevens
  16 december 2019

Waarschuwing

De AP kan een formele waarschuwing geven over een voorgenomen verwerking.

Tot nu toe heeft de AP de volgende waarschuwingen gegeven en openbaar gemaakt:

• Formele waarschuwing AP aan supermarkt om gezichtsherkenning
  15 december 2020