Bij een groot datalek mag de Autoriteit Persoonsgegevens een boete opleggen aan de getroffen organisatie, maar de toezichthouder is daar heel terughoudend mee.
“In de laatste vijf jaar hebben we een handjevol boetes opgelegd. Toezicht is vrij genuanceerd. De bevoegdheid om straffen op te leggen gebruiken we alleen in uiterste situaties”, zegt coördinator Dennis Davrados van de privacywaakhond. Van zo’n uiterste situatie is sprake als een getroffen organisatie heel nalatig is geweest, of als de instantie vaker in de fout is gegaan. Een boete kan maximaal 20 miljoen euro bedragen, of 4 procent van de wereldwijde jaaromzet. Dat geldt voor bedrijven, ziekenhuizen en particuliere scholen. Voor de overheid gelden andere regelingen.
Vliegmaatschappij Transavia kreeg in 2021 een boete van 400.000 euro van de AP. Het bedrijf had de gegevens van klanten slecht beveiligd. Transavia gebruikte een zwak wachtwoord en er was geen extra controle. Daardoor kon een hacker in 2019 binnendringen en de gegevens van ongeveer 83.000 mensen downloaden. De aanvaller had in theorie zelfs de gegevens van 25 miljoen mensen kunnen inzien.
Uitkeringsinstantie UWV kreeg in datzelfde jaar een boete van 450.000 euro. Door slechte beveiliging bij het sturen van groepsberichten zijn persoonlijke gegevens, waaronder gezondheidsgegevens, van ruim 15.000 mensen gelekt. De toezichthouder legde eveneens in 2021 het OLVG een boete van 440.000 euro op. Het Amsterdamse ziekenhuis had niet genoeg gedaan om te voorkomen dat medewerkers stiekem in medische dossiers van patiënten keken. De Partij voor de Vrijheid in Overijssel moest een bekeuring van 7500 euro betalen voor het niet melden van een datalek.
Bedrijven, overheden en andere organisaties zijn verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Ook moeten ze gebruikers informeren. De toezichthouder ontving vorig jaar 25.694 meldingen van datalekken. In ruim driekwart van de gevallen blijft het daarbij en komt er geen verder onderzoek van de waakhond.