De afgelopen weken zijn weer verschillende AVG-boetes opgelegd. Zo legde de Autoriteit Persoonsgegevens een fikse boete op aan de bekende app TikTok, en ook het UWV ontving een boete. De Luxemburgse autoriteit heeft ook niet stilgezeten en legde aan Amazon een torenhoge boete op. Waarom? Dat leest u in deze blog.
TikTok heeft een boete gekregen van € 750.000. De reden is eigenlijk heel simpel: de privacyverklaring was in het Engels opgesteld en daardoor niet goed te begrijpen voor Nederlandse gebruikers (vaak jonge kinderen).
In de Algemene verordening gegevensbescherming (AVG) staat dat organisaties betrokkenen (bijvoorbeeld websitebezoekers, klanten maar ook app gebruikers) op een duidelijke wijze moeten informeren over de verwerking van hun persoonsgegevens. Het is bekend dat veel jonge gebruikers via TikTok filmpjes bekijken, maar die ook zelf maken. En ja, hoe jong kinderen ook zijn, ook zij moeten weten wat TikTok doet met bijvoorbeeld de filmpjes. Hoe leg je dat aan jonge kinderen uit? Een hele lap tekst is niet werkbaar, al helemaal niet als de privacyverklaring in het Engels is opgesteld. Het is dan ook aan TikTok om naar een passende oplossing te zoeken. Bijvoorbeeld een uitleg met plaatjes/ icoontjes.
Overigens, TikTok heeft bezwaar aangetekend tegen deze boete. We houden de bezwaarprocedure en berichten hierover in de gaten.
De hoogste boete tot nu toe is voor Amazon. De Luxemburgse autoriteit heeft een boete van bijna 750 miljoen euro opgelegd! Volgens de privacy waakhond zou Amazon niet hebben gehandeld volgens de regels uit de AVG. Dat er één of meerdere inbreuken zijn geconstateerd, dat moge duidelijk zijn gelet op de hoogte van de boete. Wat er precies mis is bij Amazon, daar heeft de Luxemburgse autoriteit geen uitspraak over gedaan. Misschien volgt dat later nog.
Amzon is het niet eens met de hoogte van de boete en gaat in beroep. Dit verhaal krijgt ongetwijfeld nog een staartje.
Het ‘UWV-dossier’ speelt al jaren. Het begon met de slechte beveiliging van het werkgeversportaal. Via dat portaal worden heel veel persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens. Echter, dat portaal was niet beveiligd met tweefactorauthenticatie (2FA). Destijds werd een last onder dwangsom opgelegd en het was aan het UWV om zo snel mogelijk de beveiligingsmaatregelen op orde te krijgen.
Enkele weken geleden legde de AP aan het UWV een boete op van € 450.000. Ook dit keer vanwege de slechte beveiliging. Niet de beveiliging van het werkgeversportaal, maar de beveiliging bij het verzenden van groepsberichten. Saillant detail: in een periode van ruim twee jaar hebben zich – voor zover bekend – negen datalekken (valt mee zou je zeggen) voorgedaan, waarbij gegevens van in totaal 15.000 mensen gelekt zijn. Het gaat hierbij niet alleen om adresgegevens, maar ook het BSN en gezondheidsinformatie (fysieke beperkingen, psychisch en lichamelijk werkvermogen) zijn gelekt. Daarbij komt dat het UWV pas na ruim twee jaar de technische maatregelen had aangepast om soortgelijke datalekken te voorkomen. Een kwalijke zaak.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.