Proximus ontvangt recordboete voor schenden AVG
Proximus heeft een boete opgelegd gekregen van 50.000 euro. De Gegevensbeschermingsautoriteit (GBA), de Belgische variant van onze Autoriteit Persoonsgegevens (AP), is van oordeel dat het Belgische telecombedrijf de AVG-regels overtreedt vanwege een belangenconflict van zijn Data Protection Officer (DPO). Proximus heeft aangegeven de boete niet te zullen aanvechten.
VPN Gids 20 mei 2020
Dat schrijft het Franstalige
L’Echo.
Belangenconflict
De Belgische privacywaakhond GBA heeft met de Belgische telecomsector afgesproken dat ze de komende 5 jaar meer aandacht besteden aan de benoeming van Data Protection Officers, of kortweg DPO’s. Dit is iemand die binnen een organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). Deze regelgeving werd in mei 2018 ingevoerd in de EU om de privacy van Europese burgers te beschermen. In de verordening is onder meer omschreven hoe persoonsgegevens verwerkt moeten worden door organisaties, inclusief wat wel en niet is toegestaan.
Iedere EU-lidstaat heeft juridisch vastgelegd hoe de AVG in dat land geïmplementeerd wordt. In Nederland is dat de
Uitvoeringswet AVG, ook wel UAVG genoemd. In de Belgische implementatie van de AVG is vastgelegd dat een DPO een adviserende rol heeft inzake privacy en kwesties omtrent gegevensbescherming. Wat deze functionaris nadrukkelijk niet mag, is onderdeel uitmaken van besluitvormingsproces over dit soort zaken. Door deze dubbelrol te verbieden voorkomt de privacywet belangenconflicten.
Daar is het misgegaan in het geval van Proximus. Volgens Hielke Hijmans, de algemeen-directeur van de GBA, heeft de DPO van het Belgische telecombedrijf een rol gespeeld in zowel de adviserende rol als de besluitvormingsprocedure rondom datakwesties. En dat is ten strengste verboden. De toezichthouder kon dan ook niet anders dan een boete opleggen.
Recordboete
Het sanctiebedrag is vastgesteld op 50.000 euro. Voor een telecombedrijf als Proximus is dat kleingeld. Ze gaat dan ook niet in hoger beroep tegen de boete. “Na het lezen van de motivatie [van de GBA, red.] zijn we ervan overtuigd dat we ons aan de regels van de AVG hebben gehouden. De Geschillenkamer van de GBA had een andere mening en besloot om Proximus een boete op te leggen. Wij respecteren dit besluit en zullen de positie van onze DPO aanpassen”, zo zegt een woordvoerder van Proximus tegenover de Franse krant L’Echo.
Het sanctiebedrag van 50.000 euro is een record in België. Niet eerder legde de Belgische toezichthouder zo’n hoog bedrag op aan een bedrijf dat de privacyregels overtrad. Tot nu toe ging de GBA niet hoger dan 15.000 euro. Volgens de Belgische privacywetten mag de GBA boetes opleggen tot maximaal 4 procent van de wereldwijde omzet van een bedrijf.
Privacyboetes in Europa
In andere Europese landen hebben de privacywaakhonden aanzienlijk hogere boetes opgelegd in het recente verleden. In maart van dit jaar kreeg de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) een boete van ruim een half miljoen euro opgelegd voor het overtreden van de AVG. Volgens de Autoriteit Persoonsgegevens had de tennisbond de persoonsgegevens van haar leden verkocht aan commerciële partijen, zonder hier vooraf nadrukkelijk om toestemming te vragen. Het hoger beroep tegen de uitspraak loopt nog.
Begin mei kreeg een bedrijf een boete van 725.000 euro opgelegd voor het verzamelen en verwerken van vingerafdrukken van medewerkers. Het bedrijf in kwestie zei dat ze dit deed omdat het praktische voordelen had: hij had hierdoor geen kosten voor de aanschaf, verlies of beschadiging van druppels. Daarnaast wilde hij het verouderde systeem met druppel-scanners vervangen om zijn computernetwerk in de toekomst beter bestand te maken tegen hackpogingen en bedrijfsspionage. Volgens de AP waren er voldoende alternatieven om gebouwen en informatiesystemen te beschermen.
Google spant echter de kroon. De zoekmachinegigant kreeg in januari 2019 een boete van 50 miljoen euro opgelegd van de Franse privacywaakhond CNIL. In de ogen van CNIL overtrad Google de AVG door ‘essentiële informatie’ over gegevensverwerking over teveel documenten te verspreiden. Bovendien was de informatie soms onduidelijk of onvolledig. Tot slot meende de toezichthouder dat Google op een niet-geldige manier toestemming van gebruikers vergaarde om hun persoonsgegevens te verzamelen voor gepersonaliseerde advertenties.
Zie ook het artikel: Privacytoezichthouder België legt boete op wegens belangenconflict van FG
Dit nieuwsbericht is ook te vinden in het dossier AVG
