Gebrekkig privacybeleid afgestraft

05 jun 2024

Op 29 mei 2024 deed de Afdeling Bestuursrechtspraak van de Raad van State een belangrijke uitspraak in een zaak tussen een recruitmentbedrijf en de Autoriteit Persoonsgegevens. Deze zaak draait om een opgelegde boete van €6.000 wegens overtreding van de Algemene Verordening Gegevensbescherming (AVG). Hier volgt een overzicht van de gebeurtenissen en de uiteindelijke uitspraak van de rechtbank.

Achtergrond van de zaak

In juli 2020 legde de Autoriteit Persoonsgegevens een boete van €6.000 op aan het recruitmentbedrijf. De boete werd opgelegd vanwege overtreding van de AVG, specifiek artikel 17, eerste lid, in samenhang met artikel 12, derde lid. Deze artikelen betreffen het recht op gegevenswissing (het recht om vergeten te worden) en de plicht om tijdig op dergelijke verzoeken te reageren. De boete volgde op klachten van drie personen, die hadden gemeld dat het recruitmentbedrijf niet tijdig had gereageerd op hun verzoeken om hun persoonsgegevens te verwijderen.

Onderzoek en bezwaarfase

De Autoriteit Persoonsgegevens voerde een onderzoek uit naar aanleiding van de klachten en concludeerde dat het recruitmentbedrijf inderdaad in strijd met de AVG had gehandeld. Ondanks bezwaren van het recruitmentbedrijf tegen deze bevindingen, handhaafde de Autoriteit zowel de boete als de beslissing om deze openbaar te maken.

Uitspraak van de rechtbank Amsterdam

Op 15 januari 2024 verklaarde de rechtbank Amsterdam de beroepen van het recruitmentbedrijf tegen de besluiten van de Autoriteit ongegrond. Hierop ging het recruitmentbedrijf in hoger beroep bij de Afdeling Bestuursrechtspraak van de Raad van State.

Overwegingen in hoger beroep

Tijdens de zitting van 2 mei 2024 werd de zaak uitgebreid besproken. Het recruitmentbedrijf betoogde dat de Autoriteit de overtreding ten onrechte als ernstig had aangemerkt en dat een boete onredelijk was. Zij stelde dat de overtredingen het gevolg waren van menselijke fouten en dat zij een gedegen privacybeleid hadden.

De Afdeling Bestuursrechtspraak beoordeelde de zaak op basis van de Boetebeleidsregels van de Autoriteit Persoonsgegevens. Hierin is vastgelegd dat het niet tijdig reageren op verwijderingsverzoeken een basisboete van €310.000 rechtvaardigt, met een mogelijke bandbreedte van €120.000 tot €500.000. Gezien de omstandigheden matigde de Autoriteit de boete tot €6.000, een significant lager bedrag dan de basisboete.

Het oordeel van de afdeling

De Afdeling Bestuursrechtspraak oordeelde dat de Autoriteit juist had gehandeld. Hoewel het recruitmentbedrijf een privacybeleid had, bleek dit in de praktijk niet effectief te zijn. De drie klachten toonden aan dat verwijderingsverzoeken niet adequaat werden afgehandeld. Bovendien was er geen sprake van een opzettelijke overtreding, maar wel van nalatigheid. De boete van €6.000 werd daarom als proportioneel en rechtvaardig beschouwd.

Openbaarmaking van de boete

Een ander punt van geschil was de openbaarmaking van de boete. Het recruitmentbedrijf stelde dat dit haar reputatie en financiële situatie zou schaden. De Autoriteit en de rechtbank meenden echter dat de publicatie van de boete een algemeen belang diende door transparantie en verantwoording te bevorderen. De Afdeling Bestuursrechtspraak bevestigde dit oordeel en wees erop dat de mogelijke reputatieschade niet onevenredig was in verhouding tot de omzet van het recruitmentbedrijf.

Conclusie

Hoger beroep van het recruitmentbedrijf werd ongegrond verklaard en de uitspraak van de rechtbank Amsterdam werd bevestigd. Deze zaak onderstreept het belang van een effectief privacybeleid en de noodzaak voor bedrijven om zorgvuldig om te gaan met verzoeken om gegevenswissing onder de AVG.

Deze uitspraak benadrukt het belang van naleving van de AVG en de consequenties van nalatigheid. Voor bedrijven is het cruciaal om te zorgen voor een robuust en effectief privacybeleid om dergelijke boetes en reputatieschade te voorkomen.

Jody Esveldt