AVG-boetes in Nederland: wat de cijfers u leren
Sinds 2018 publiceert de Autoriteit Persoonsgegevens elke boete die zij oplegt, met per zaak de overtreding en het bedrag. Dat is een schat aan informatie, want het laat zien waar het in de praktijk misgaat. De krant kopt over de recordboetes van tientallen miljoenen. Die zijn echter zeldzaam en gaan bijna altijd over grote, digitale gegevensstromen. Voor een gewone organisatie is een ander patroon veel leerzamer. Een vaste groep boetes gaat namelijk over drie plichten waar goede gegevenshygiëne direct op raakt. Dit artikel leest de cijfers en vertaalt ze naar wat u er zelf mee kunt.
De recordboetes halen de krant, maar zijn uitzonderlijk
Laten we eerlijk beginnen. De grootste AVG-boetes in Nederland gaan niet over een verdwaalde papieren map. In 2024 kreeg Uber een boete van 290 miljoen euro voor het onvoldoende beschermen van gegevens bij doorgifte naar de Verenigde Staten. Clearview kreeg 30,5 miljoen euro voor een gezichtsherkenningsdatabase. De Belastingdienst kreeg in 2022 een boete van 3,7 miljoen euro voor onrechtmatige verwerking in het toeslagenschandaal. Dat zijn zaken over internationale datastromen, verboden technologie en structureel onrechtmatig beleid.
Voor de meeste organisaties zijn die bedragen niet realistisch en ook niet leerzaam. U verplaatst geen miljoenen profielen naar een ander continent. Interessanter is de laag daaronder. De boetes van enkele honderdduizenden euro's, opgelegd aan ziekenhuizen, gemeenten, een hogeschool, een reisorganisatie. Daar zit het patroon dat wel op uw situatie lijkt.
De boetes die er voor u wel toe doen
Wie de gepubliceerde boetes doorleest, ziet drie overtredingen steeds terugkomen. Onvoldoende beveiliging van persoonsgegevens, een datalek dat te laat of niet is gemeld, en gegevens die veel te lang zijn bewaard. Hieronder een selectie van boetes uit die categorieën, allemaal in een bereik dat een normale organisatie kan raken.
Bron. Boetebesluiten van de Autoriteit Persoonsgegevens, gepubliceerd op autoriteitpersoonsgegevens.nl. Een selectie van boetes voor beveiliging (art. 32), te laat gemelde datalekken (art. 33) en te lang bewaren (art. 5). Bedragen afgerond.
Opvallend is hoe vaak de zorg in dit rijtje voorkomt. Het HagaZiekenhuis en, in andere jaren, het OLVG kregen een boete omdat medewerkers zonder noodzaak in patiëntdossiers konden kijken. Dat sluit aan bij wat we eerder zagen. In onze analyse per sector bleek de zorg al jaren de koploper in datalekken. Veel gevoelige gegevens betekent nu eenmaal veel risico.
Drie plichten waar gegevenshygiëne op raakt
De boetes vallen dus grofweg in drie categorieën. Het is de moeite waard om per categorie te bekijken wat u er zelf aan kunt doen, en waar de grens ligt van wat opruimen en vernietigen oplossen.
Beveiliging van persoonsgegevens (artikel 32)
Dit is de grootste groep. Denk aan te ruime toegang, ontbrekende logging, zwakke wachtwoorden. Een deel daarvan is puur digitaal en heeft niets met papier te maken. Maar een deel wel. Een archiefkast die openstaat, dozen met dossiers op een gang, oud papier dat toegankelijk is voor iedereen die langsloopt. Dat is ook een tekort in de beveiliging. Voor het papieren deel geldt een simpele regel. Wat u niet meer nodig heeft, hoeft ook niet meer bewaakt te worden. Laat het vertrouwelijk vernietigen en het is geen risico meer.
Te laat of niet gemelde datalekken (artikel 33)
Meerdere boetes gingen niet over het lek zelf, maar over de afhandeling. Uber, Booking.com en het UWV kregen een boete omdat een datalek te laat werd gemeld. De regel is duidelijk. Een datalek meldt u binnen 72 uur bij de Autoriteit Persoonsgegevens. Zorg dat u weet hoe u dat doet voordat het misgaat. Het volledige proces staat in het stappenplan om een datalek binnen 72 uur te melden.
Te lang bewaren van gegevens (artikel 5)
De AVG vraagt om dataminimalisatie. U bewaart persoonsgegevens niet langer dan nodig. De gemeente Enschede en de gemeente Voorschoten kregen een boete die met deze plicht te maken had. Dit is de categorie waar vernietiging het meest direct helpt. Zodra een bewaartermijn voorbij is, is bewaren geen zorgvuldigheid meer maar een risico. Weten welke termijn waar geldt is de eerste stap. Daarvoor is er de cheatsheet met AVG-bewaartermijnen.
Wat een boete duur of goedkoop maakt
De hoogte van een boete ligt niet vast. De Autoriteit Persoonsgegevens kijkt naar de aard, de ernst en de duur van de overtreding, naar het aantal getroffen personen en naar de schade die zij hebben geleden. Ook telt mee hoe een organisatie reageert. In de zaak van de Hogeschool van Arnhem en Nijmegen, die een boete kreeg voor gebrekkige beveiliging na een datalek, werd de boete mede door de genomen herstelmaatregelen verlaagd van de basisboete naar 175.000 euro.
De les daaruit is nuchter. Aantoonbaar zorgvuldig handelen loont, ook als er toch iets misgaat. Kunnen laten zien dat u gegevens netjes beveiligt, op tijd opruimt en een lek correct afhandelt, maakt het verschil tussen een lage en een hoge boete. Precies daarom is bewijs zo belangrijk. Een certificaat van vernietiging laat zien dat papier op het juiste niveau en op het juiste moment is vernietigd.
Wat u concreet kunt doen
De boetes vertalen zich naar een korte checklist. Geen dure techniek, maar orde.
- Ruim op wat over de termijn heen is. Bewaren na de bewaartermijn is geen zorgvuldigheid, maar risico.
- Beveilig ook het papier. Een archiefkast en een doos op de gang vallen net zo goed onder artikel 32 als een server.
- Leg bewaartermijnen vast. Weten wat wanneer weg mag, voorkomt zowel te vroeg als te laat vernietigen.
- Regel uw datalekproces. Zorg dat u binnen 72 uur kunt melden.
- Bewaar bewijs. Certificaten en een verwerkingsregister tonen aan dat u zorgvuldig handelt.
Wilt u eerst weten waar de zwakke plekken in uw archief zitten, loop dan 6 signalen dat uw archief een AVG-risico is langs. En omdat de meeste datalekken niet door hackers ontstaan maar door alledaagse fouten met papier, is het goed om te weten dat papier de grootste oorzaak van datalekken is.
Wat het kost om die stapel weg te halen
Het opruimen van papier dat over de bewaartermijn heen is, is geen grote investering. U betaalt een vaste prijs per doos of rolcontainer, vanaf ongeveer 30 euro voor de eerste doos, met het certificaat inbegrepen. Binnen 20 km van Amsterdam rekenen wij geen voorrijkosten. Door gebundelde routes is ook landelijk een vaste prijs mogelijk. Afgezet tegen een boete van enkele honderdduizenden euro's, en de reputatieschade die erbij komt, is dat een kleine prijs voor het wegnemen van een vermijdbaar risico.
Een voorbeeld uit de praktijk
Een middelgrote organisatie loopt na het lezen van een boetebesluit het eigen archief na. In een berging blijken dozen te staan met personeels- en klantdossiers waarvan de bewaartermijn ruim voorbij is. Precies het soort gegevens dat onder te lang bewaren valt, en dat bij een incident meteen een probleem wordt. De dozen worden verzegeld opgehaald en op het juiste niveau vernietigd, met een certificaat per ophaal. In het verwerkingsregister staat nu wanneer welke stukken zijn vernietigd. Mocht de Autoriteit Persoonsgegevens ooit langskomen, dan is in een paar minuten aan te tonen dat er zorgvuldig is opgeruimd. Hoe u dat bewijs opbouwt staat in aantoonbaar vernietigen voor de AVG.
Het vermijdbare risico uit uw archief weghalen?
Geef door hoeveel dozen of ordners over de bewaartermijn heen zijn en u krijgt een vaste prijs. Wij halen het verzegeld op, vernietigen het op het juiste DIN-niveau en u ontvangt een certificaat als bewijs voor uw AVG-dossier. Geen voorrijkosten binnen 20 km van Amsterdam.
Vraag een offerte aanVeelgestelde vragen
Wat is de hoogste AVG-boete in Nederland?
De hoogste boete van de Autoriteit Persoonsgegevens tot nu toe is de boete van 290 miljoen euro voor Uber in 2024, voor het onvoldoende beschermen van gegevens bij doorgifte naar de Verenigde Staten. Zulke bedragen zijn uitzonderlijk en gaan over grote, internationale gegevensstromen, niet over de situatie van een gemiddelde organisatie.
Krijg ik automatisch een boete na een datalek?
Nee. Een datalek leidt niet vanzelf tot een boete. De Autoriteit Persoonsgegevens kijkt of u passende beveiliging had, of u het lek op tijd heeft gemeld en welke maatregelen u heeft genomen. Boetes vallen meestal bij structurele nalatigheid, niet bij een eenmalige fout die netjes is afgehandeld.
Kan het vernietigen van documenten een boete voorkomen?
Niet elke boete. Vernietiging doet niets aan een zwak wachtwoord of ontbrekende tweefactorauthenticatie. Het verkleint wel twee categorieën die in de boetes terugkomen. Te lang bewaren van gegevens en onvoldoende beveiliging van papier met persoonsgegevens. Wat u niet meer heeft, kan niet lekken.
Waar kan ik alle AVG-boetes bekijken?
Op de website van de Autoriteit Persoonsgegevens. De AP publiceert daar alle opgelegde en gepubliceerde boetes en sancties sinds 2018, met per zaak de overtreding en het bedrag.
Wat maakt een boete hoger of lager?
De Autoriteit Persoonsgegevens kijkt naar de aard, de ernst en de duur van de overtreding, het aantal getroffen personen en de geleden schade. Herstelmaatregelen tellen mee in het voordeel. In de zaak van de HAN werd de boete mede daardoor verlaagd van de basisboete naar 175.000 euro.
Conclusie
De AVG-boetes van de Autoriteit Persoonsgegevens lezen als een handleiding voor wat u beter niet kunt doen. De miljoenenboetes zijn spectaculair, maar zeldzaam en ver van uw praktijk. De echte les zit in de laag eronder. Steeds weer gaat het om onvoldoende beveiliging, een te laat gemeld datalek en gegevens die te lang zijn bewaard. Twee van die drie categorieën heeft u zelf volledig in de hand. Ruim op wat over de termijn heen is, beveilig ook uw papier en bewaar het bewijs dat u het netjes heeft gedaan. Dat voorkomt geen zwak wachtwoord, maar het haalt wel een vermijdbaar risico weg dat in de boetecijfers keer op keer terugkomt.
Lees ook: deze analyse hoort bij twee eerdere stukken. Papier is de grootste oorzaak van datalekken en datalekken per sector, de zorg is koploper. Samen laten ze zien waar het risico zit en wat het kan kosten.
Een vermijdbaar risico uit uw archief halen? Vraag een offerte aan via desnipperaar.nl of lees eerst hoe aantoonbaar vernietigen voor de AVG uw bewijs vormt. Wij halen het gevoelige papier verzegeld op.