Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving: de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) houdt toezicht op deze privacywetgeving. Tot voor kort werd voornamelijk bij grote ondernemingen gehandhaafd, maar in de afgelopen twee weken zijn er ook twee boetes aan MKB-bedrijven uitgedeeld.
Bijhouden verzuimregistratie: boete van € 15.000
Een onderhoudsbedrijf heeft een boete van € 15.000 gekregen, omdat het bedrijf van zijn personeelsleden bijhield wat de oorzaak was van het ziekteverzuim. Daarnaast was de verzuimregistratie voor iedereen op internet zonder wachtwoord toegankelijk.
Gezondheidsgegevens zijn zogeheten bijzondere persoonsgegevens, die extra beschermd worden onder de AVG. De AVG verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Het is werkgevers ook niet toegestaan om hiernaar te vragen. Alleen arbodienst of de bedrijfsarts mogen dit. Daarnaast was de verzuimregistratie van het onderhoudsbedrijf zonder enige vorm van authenticatie voor iedereen op internet toegankelijk.
Ook als Cumela-werkgever mag je dus niet aan je werknemer vragen waarom hij zich ziek meldt. Vertelt een medewerker de oorzaak van de ziekte uit zichzelf, dan mag je het daar uiteraard over hebben met de medewerker. Maar van dat gesprek mag je niets vastleggen, omdat je niet mag registreren waarom werknemers zich ziekmelden. Doe je dat wel, dan loop je dus het risico op een boete van de AP.
Ook als Cumela-werkgever mag je dus niet aan je werknemer vragen waarom hij zich ziek meldt
Gezien de ernst van de overtredingen vond de AP het opleggen van een boete noodzakelijk. Het onderhoudsbedrijf , waar zo’n 160 medewerkers werken, had voor de overtredingen een boete van meer dan 1 miljoen euro kunnen krijgen. Het zou deze boete echter nooit kunnen betalen. De AP heeft bij het bepalen van het boetebedrag dan ook rekening gehouden met de draagkracht van de onderneming en kwam zo uit op een boete van € 15.000
Niet afschermen e-mailadressen
De Overijsselse afdeling van de Partij Voor de Vrijheid heeft een boete gekregen van € 7500 euro van de AP omdat deze een datalek te laat meldde. De partij stuurde een uitnodiging voor een bijeenkomst waarbij de e-mailadressen van alle ontvangers zichtbaar waren. De mail was gericht aan 101 personen die niet stonden afgeschermd, waardoor alle e-mailadressen voor alle ontvangers te herkennen waren.
Volgens de AP is dit een datalek en dient deze binnen 72 uur gemeld te worden aan de toezichthouder. Dat heeft de PVV-afdeling niet gedaan en daarmee heeft zij de privacyregels overtreden. De AP kwam het voorval op het spoor na een klacht van een van de ontvangers.
Overigens moeten datalekken alleen gemeld worden als er een risico is voor de rechten van de slachtoffers. In dit geval bestond een dergelijk risico, omdat de gegevens een potentiële politieke voorkeur aantoonden. En politieke gegevens zijn, net als gezondheidsgegevens, extra beschermd onder de AVG.
Voor cumelabedrijven zal dit wellicht niet snel gelden, maar toch is het verstandig om hier rekening mee te houden als je bijvoorbeeld een mailing naar klanten verstuurd. Voorkom dan dat iedereen ziet naar wie je de mail verstuurd en zet de lijst in het bcc veld. Dat voorkomt ook dat iemand de hele lijst kan kopiëren en naar een collega sturen. Dan ben je ook je eigen unieke lijst kwijt.
