AVG-boete voor niet melden datalek

Het is het klassieke voorbeeld van een datalek: een e-mail versturen met alle geadresseerden in de adresregel in plaats van bcc. Het overkwam de PVV afdeling Overijssel bij het versturen van een uitnodiging voor een achterbanbijeenkomst van de partij. Door het datalek niet te melden, handelde de PVV Overijssel in strijd met de Algemene Verordening Gegevensbescherming (AVG).

 

Een van de geadresseerden wees de PVV Overijssel vrijwel direct na het versturen van de mail op de fout. Volgens de PVV Overijsselwas zij echter niet verplicht om het datalek te melden. De Autoriteit Persoonsgegevens (AP) ziet dat anders. Hoewel het klopt dat niet elk datalek hoeft te worden worden gemeld, ging het hier om persoonsgegevens waaruit een politieke opvatting blijkt. Het zijn daarom bijzondere persoonsgegevens. De AP neemt in haar beoordeling mee dat dergelijke informatie gevolgen zou kunnen hebben voor een bestaande of toekomstige maatschappelijke positie van de geadresseerden.

 

Dat het gaat om een politieke partij, vindt de AP volgens het besluit ook relevant.  Politieke partijen verwerken namelijk speciale categorieën van persoonsgegevens, wat betekent dat de gevolgen van een inbreuk zoals een datalek ernstiger kunnen zijn dan bij andere organisaties. Volgens de AP rust op een politieke partij dan ook een grotere verantwoordelijkheid (dan andere organisaties) om ervoor te zorgen dat de door hen verwerkte persoonsgegevens voldoende beschermd zijn. De AP concludeert dan ook dat de PVV Overijssel in strijd heeft gehandeld met de AVG door het datalek niet te melden.

 

Volgens de AP rust op een politieke partij dan ook een grotere verantwoordelijkheid om ervoor te zorgen dat de door hen verwerkte persoonsgegevens voldoende beschermd zijn.

Op de overtreding van PVV Overijssel staat een basisboete van EUR 525.000. De AP ziet in de aard en ernst van de inbreuk, de verwijtbaarheid of de genomen maatregelen geen aanleiding voor aanpassing van die basisboete. Toch wordt de boete door de AP flink gematigd vanwege de beperkte financiële draagkracht van de PVV Overijssel als politieke stichting. Om die reden verlaagt de AP het boetebedrag met ruim vijf ton, naar EUR 7.500.

 

Lees het boetebesluit hier.