Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
CP&A B.V.
T.a.v. de directie
Postbus 514
5600 AM Eindhoven

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete

Geachte directie,

De Autoriteit Persoonsgegevens (AP) heeft besloten aan CP&A B.V. (CP&A) een bestuurlijke boete van € 15.000 op te leggen. De AP is van oordeel dat CP&A van 12 maart 2019 tot en met 2 mei 2019 het verbod van artikel 9, eerste lid, van de Algemene Verordening Gegevensbescherming (AVG) heeft overtreden door gezondheidsgegevens van haar werknemers te verwerken. Daarnaast heeft CP&A voor deze verwerking tijdens diezelfde periode onvoldoende passende beveiligingsmaatregelen genomen als bedoeld in artikel 32, eerste lid, van de AVG.

Hierna wordt het besluit nader toegelicht. Hoofdstuk 1 betreft een inleiding en hoofdstuk 2 beschrijft het wettelijk kader. Hoofdstuk 3 bevat de feiten en in hoofdstuk 4 beoordeelt de AP of er sprake is van verwerking van gezondheidsgegevens, de verwerkingsverantwoordelijkheid en de overtredingen. In hoofdstuk 5 wordt de (hoogte van de) bestuurlijke boete uitgewerkt en hoofdstuk 6 bevat het dictum en de rechtsmiddelenclausule.

2/17

1. Inleiding 1.1 Betrokken rechtspersoon en aanleiding onderzoek

CP&A is een besloten vennootschap die gevestigd is op de Maas 22E, 5684 PL te Best (Noord-Brabant). CP&A is ingeschreven in het handelsregister van de Kamer van Koophandel onder het nummer 54592526 en heeft, volgens het uittreksel van het handelsregister, circa 160 werknemers in dienst. CP&A verricht volgens het handelsregister en haar website o.a. inspectie- en onderhoudswerkzaamheden van openbare objecten.

De AP heeft op 11 januari 2019 een melding ontvangen dat CP&A gezondheidsgegevens verwerkt van haar werknemers. Uit de melding maakten toezichthouders van de AP op dat CP&A een online verzuimregistratie met daarin gezondheidsgegevens van zieke werknemers bijhoudt. Naar aanleiding van dit signaal is de AP een (ambtshalve) onderzoek gestart naar de naleving door CP&A van de artikelen 9 en 32 van de AVG.

De verwerking van bijzondere categorieën van persoonsgegevens is op grond van artikel 9, eerste lid, van de AVG verboden, tenzij een wettelijke uitzondering van toepassing is. De AP toetst in het navolgende of CP&A een geslaagd beroep kan doen op de voor deze casus relevante uitzondering. Daarnaast toetst de AP of CP&A voor de gezondheidsgegevens in haar verzuimregistratie voldoende passende technische en organisatorische maatregelen heeft getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals bedoeld in artikel 32, eerste lid, van de AVG.

1.2 Procesverloop

De AP heeft op 2 mei 2019 telefonisch contact opgenomen met CP&A om aan te geven dat de verzuimregistratie van CP&A voor onbevoegden toegankelijk is en daarbij heeft zij CP&A verzocht de overtreding zo snel mogelijk te beëindigen. Op 2 mei 2019 heeft de AP naar aanleiding van het telefonisch gesprek een normoverdragende brief gestuurd en het wettelijk kader met betrekking tot de meldplicht van inbreuken in verband met persoonsgegevens aan de AP toegelicht. Bij brief van 7 mei 2019 heeft CP&A de ontvangst van de brief bevestigd en aangegeven dat de verzuimregistratie verwijderd is.

Op 7 mei 2019 heeft CP&A een datalekmelding ingediend inzake de inbreuk in verband met persoonsgegevens.

Bij brief van 29 juli 2019 heeft de AP vragen gesteld aan CP&A, waarop zij heeft gereageerd bij brief van 7 augustus 2019. Op 21 augustus 2019 heeft de AP per e-mail nadere informatie opgevraagd bij CP&A. CP&A heeft hierop gereageerd per e-mail van 28 augustus 2019.

Bij brief van 30 oktober 2019 heef de AP aan CP&A een voornemen tot handhaving en het daaraan ten grondslag gelegde onderzoeksrapport verzonden en CP&A daarbij in de gelegenheid gesteld een

3/17

zienswijze kenbaar te maken. Op 12 november 2019 heeft CP&A een schriftelijke zienswijze kenbaar gemaakt. Tot slot heeft de AP op 30 januari 2020 nadere stukken aan het dossier toegevoegd en CP&A de gelegenheid geboden om op deze stukken te reageren. CP&A heeft daar geen gebruik van gemaakt.

2. Wettelijk kader 2.1 Reikwijdte AVG

Ingevolge artikel 2, eerste lid, van de AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Ingevolge artikel 3, eerste lid, van de AVG is deze verordening van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

Ingevolge artikel 4 van de AVG wordt voor de toepassing van deze verordening verstaan onder: 1. “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); […]. 2. “Verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés […]. 7. “Verwerkingsverantwoordelijke”: een […] rechtspersoon die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; […].

2.2 Verbod op verwerking gegevens over gezondheid

Artikel 4, onderdeel 15, van de AVG definieert gegevens over gezondheid als persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijk persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.

Ingevolge artikel 9, eerste lid, van de AVG is de verwerking van gegevens over gezondheid verboden.

Uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken staan vermeld in artikel 9, tweede lid, van de AVG. Voor zover relevant luidt die bepaling: […] b) de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

4/17

[…]

Ingevolge artikel 30 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) is gelet op artikel 9, tweede lid onderdeel b, van de AVG het verbod om gegevens over gezondheid te verwerken niet van toepassing indien de verwerking geschiedt door bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn, en voor zover de verwerking noodzakelijk is voor: […] b. de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. […]

2.3 Beveiliging van de verwerking

Ingevolge artikel 32, eerste lid, van de AVG treft de verwerkingsverantwoordelijke […], rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen […].

Ingevolge het tweede lid van artikel 32 wordt bij de beoordeling van het passende beveiligingsniveau met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

2.4 Bestuurlijke boete

Ingevolge artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83, vierde en vijfde lid, van de AVG en artikel 14, derde lid, van de UAVG is de AP bevoegd om ten aanzien van inbreuken op de AVG een bestuurlijke boete op te leggen.

2.4.1 AVG Ingevolge artikel 83, eerste lid, van de AVG zorgt elke toezichthoudende autoriteit ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden vier, vijf en zes vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.

Ingevolge het tweede lid worden administratieve geldboeten, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, tweede lid, onder a tot en met h en onder j, bedoelde maatregelen.

Uit het vierde lid, aanhef en onder a, volgt dat een inbreuk op de verplichtingen van de verwerkingsverantwoordelijke en de verwerker zoals in artikel 32 van de AVG overeenkomstig lid 2

5/17

onderworpen is aan een administratieve geldboete tot €10.000.000 of, voor een onderneming, tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

Uit het vijfde lid, aanhef en onder a, volgt dat een inbreuk op de basisbeginselen inzake verwerking zoals in artikel 9 van de AVG overeenkomstig lid 2 onderworpen is aan een administratieve geldboete tot €20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

2.4.2 UAVG Ingevolge artikel 14, derde lid, van de UAVG kan de AP in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.

3. Feiten De AP heeft vastgesteld dat CP&A in ieder geval vanaf 12 maart 2019 tot en met 2 mei 2019 een verzuimregistratie in een Google Drive-bestand op het internet heeft bijgehouden waarin de volgende gegevens van 25 (zieke) werknemers vermeld stonden1: - Filiaal; - Naam; - Achternaam; - Begin datum; - Eind datum; - Aantal kalenderdagen; - Verzuimreden; - Prognose (kort/middel/lang); - Opmerkingen; - (verpleeg)adres; - Huisnummer; - Postcode; - Woonplaats; - Telefoonnummer; - E-mailadres; - BSN; - Geboortedatum; - Dienstverband (tijdelijk/vast); - Datum in dienst; - Contracturen; - Einde contractdatum.

In deze periode van 12 maart tot en met 2 mei 2019 heeft de AP via het bij haar bekende webadres de website zes keer bezocht en vastgesteld dat zij zonder enige vorm van authenticatie of andere toegangscontrole de verzuimregistratie kon bekijken. De AP heeft verder vastgesteld dat de verzuimregistratie actief werd bijgewerkt vanwege het feit dat de inhoud van de verzuimregistratie wekelijks wijzigde.2

Bij brief van 7 mei 2019 heeft CP&A te kennen gegeven dat het desbetreffende bestand met gezondheidsgegevens is verwijderd en niet meer beschikbaar is.3 De AP heeft op 13 mei 2019 vastgesteld dat de verzuimregistratie niet meer toegankelijk was via het bij haar bekende webadres.4 Bovendien heeft

1 Onderzoeksrapport AP, 3 september 2019, bijlage 2 t/m 8. 2 Onderzoeksrapport AP, 3 september 2019, bijlage 2 t/m 8. 3 Brief van 7 mei 2019 van CP&A aan de AP. 4 Onderzoeksrapport AP, 3 september 2019, bijlage 8.

6/17

de AP op basis van een kopie van de nieuwe verzuimregistratie van CP&A vastgesteld dat CP&A de verzuimreden niet meer registreert.5

4.Beoordeling 4.1 Verwerking van gegevens over de gezondheid

Zoals vermeld in hoofdstuk 3 heeft de AP vastgesteld dat CP&A in ieder geval vanaf 12 maart 2019 tot en met 2 mei 2019 een verzuimregistratie in een Google Drive-bestand heeft bijgehouden waarin de volgende persoonsgegevens van 25 (zieke) werknemers vermeld stonden: de naam, de achternaam, het (verpleeg)adres, het huisnummer, de postcode, de woonplaats, het telefoonnummer, het e-mailadres, het BSN, en de geboortedatum.6 Daarmee waren de betrokken medewerkers van CP&A direct identificeerbaar. Voornoemde gegevens zijn derhalve persoonsgegevens zoals bedoeld in artikel 4, onderdeel 1, van de AVG.

Voorts heeft de AP vastgesteld dat CP&A in de verzuimregistratie de verzuimreden (over zowel de fysieke als mentale gezondheid), de prognose en de opmerkingen over de verzuimreden en prognose over deze werknemers heeft verwerkt.7 Deze gegevens zijn naar het oordeel van de AP gegevens over de gezondheid in de zin van artikel 4, onderdeel 15, van de AVG.

Met het digitaal registreren, opslaan, bijwerken en ter beschikking stellen van deze persoonsgegevens van (zieke) werknemers en het bijhouden van de verzuimregistratie heeft CP&A gegevens over de gezondheid (gedeeltelijk) geautomatiseerd verwerkt in de zin van artikel 4, onderdeel 2, van de AVG.

Gelet op het voorgaande komt de AP tot de conclusie dat CP&A gegevens over de gezondheid van 25 werknemers heeft verwerkt in de periode van 12 maart 2019 tot en met 2 mei 2019.

4.2 Verwerkingsverantwoordelijke

De AP is van oordeel dat CP&A de doelen en de middelen voor de verwerking van persoonsgegevens, waaronder gezondheidsgegevens, heeft bepaald. CP&A heeft verklaard dat ziekteverzuim en re-integratie een belangrijk aandachtspunt is binnen de organisatie. CP&A heeft de beslissing genomen om een overzicht van haar zieke werknemers op te nemen in een speciaal daartoe ingericht bestand om het overzicht te houden, te voorkomen dat mensen uit beeld raken en op zo goed mogelijke wijze invulling te kunnen geven aan de re-integratie.8 Daarnaast blijkt uit het feit dat CP&A de verzuimregistratie heeft verwijderd dat de beslissingsbevoegdheid om wel of geen verzuimgegevens te verwerken bij CP&A ligt.

5 Brief van 7 augustus 2019 van CP&A aan de AP. 6 Onderzoeksrapport AP, 3 september 2019, bijlage 2 t/m 8. 7 Onderzoeksrapport AP, 3 september 2019, bijlage 2 t/m 8. 8 Zienswijze CP&A, 12 november 2019, p. 2.

7/17

De AP merkt CP&A aan als verwerkingsverantwoordelijke als bedoeld in artikel 4, onderdeel 7, van de AVG.

4.3 Overtreding inzake het verbod op verwerking gegevens over gezondheid

4.3.1 Inleiding Gegevens over de gezondheid vallen onder de bijzondere categorie van persoonsgegevens. Persoonsgegevens die bijzonder gevoelig zijn verdienen specifieke bescherming, omdat de verwerking ervan hoge risico’s kan meebrengen voor grondrechten en fundamentele vrijheden. De verwerking van bijzondere categorieën van persoonsgegevens is daarom op grond van artikel 9, eerste lid, van de AVG verboden, tenzij een wettelijke uitzondering van toepassing is.9

De AP toetst in het navolgende of CP&A een geslaagd beroep kan doen op de voor deze casus relevante uitzondering zoals bedoeld in artikel 9, tweede lid, aanhef en onder b van de AVG jo. artikel 30, eerste lid, aanhef en onder b, van de UAVG.

4.3.2 Juridisch kader Op grond van artikel 9, tweede lid, aanhef en onder b van de AVG mag de verwerkingsverantwoordelijke gegevens over de gezondheid verwerken als dit noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht. Deze uitzondering heeft geen rechtstreekse gelding op basis van de AVG, maar laat ruimte aan de lidstaten om tot een nadere invulling te komen. Dat is in Nederland gebeurd in de UAVG.

Artikel 30, eerste lid, aanhef en onder b van de UAVG bepaalt in dat kader dat het verwerken van gegevens over gezondheid is toegestaan als dit noodzakelijk is voor de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. In sectorspecifieke wetgeving is deze uitzonderingsgrond vervolgens nader gespecificeerd. Ten aanzien van re-integratie merkt de AP op dat werkgevers verplicht zijn om op grond van artikel 658a, tweede lid, van Boek 7 van het Burgerlijk Wetboek (BW) zo tijdig mogelijk die maatregelen te treffen die nodig zijn om een zieke werknemer in staat te stellen zijn eigen of ander passend werk te doen. Hoewel verwerking van gegevens over gezondheid dan dus verplicht kan zijn, wordt de aard en omvang van de gegevens die mogen worden verwerkt wel begrensd door de eis van noodzakelijkheid zoals die is neergelegd in artikel 9, tweede lid, aanhef, en onder b, AVG. Dit betekent dat er steeds een beoordeling van elke verwerking plaats moet vinden of de verwerking ook echt noodzakelijk is in het licht van de re-integratieverplichting die op de werkgever rust.

In de beleidsregels ‘De zieke werknemer’ (de beleidsregels) van de AP, die op 29 april 2016 in de Staatscourant zijn gepubliceerd, is geconcretiseerd welke medische persoonsgegevens de werkgever in het kader van de re-integratie en verzuimbegeleiding wel mag verwerken en als noodzakelijk kunnen worden

9 Zie ook overweging 51 van de AVG.

8/17

bestempeld, en welke niet noodzakelijk zijn en daarom niet verwerkt mogen worden.10 De wettelijke regels omtrent de verwerking van persoonsgegevens over de gezondheid van zieke werknemers in het kader van hun re-integratie en verzuimbegeleiding zoals die waren vastgelegd in de Wet bescherming persoonsgegevens zijn met het van toepassing worden van de AVG op 25 mei 2018 niet veranderd.11 De beleidsregels zijn daarom, hoewel geschreven in het kader van de Wbp, nog steeds van overeenkomstige toepassing op verwerkingen onder de AVG.

De gegevens die volgens deze beleidsregels wél mogen worden verwerkt zijn:12

- de werkzaamheden waartoe de werknemer niet meer of nog wel in staat is (functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen); - de verwachte duur van het verzuim; - de mate waarin de werknemer arbeidsongeschikt is (gebaseerd op functionele beperkingen, restmogelijkheden en implicaties voor het soort werk dat de werknemer nog kan doen); - eventuele adviezen over aanpassingen, werkvoorzieningen of interventies die de werkgever voor de re-integratie moet treffen.

De gegevens die volgens deze beleidsregels niet mogen worden verwerkt, zijn onder meer:13

- diagnoses, naam ziekte, specifieke klachten of pijnaanduidingen; - eigen subjectieve waarnemingen, zowel over geestelijke als lichamelijke gezondheidstoestand; - gegevens over therapieën, afspraken met artsen, fysiotherapeuten, psychologen e.d.; - overige situationele problemen, zoals relatieproblemen, problemen uit het verleden, verhuizing, overlijden partner, scheiding e.d.

4.3.3 Beoordeling Zoals vermeld in hoofdstuk 3 heeft de AP vastgesteld dat CP&A een verzuimregistratie bijhield waarin de verzuimreden (over zowel de fysieke als mentale gezondheid), de prognose en opmerkingen over de verzuimreden en de prognose over haar werknemers was vastgelegd.

De AP heeft deze gegevens beoordeeld aan de hand van het voornoemde juridisch kader. In de beleidsregels van de AP is geconcretiseerd welke medische persoonsgegevens de werkgever in het kader van de re-integratie en verzuimbegeleiding wel mag verwerken en als noodzakelijk kunnen worden aangemerkt. De AP komt tot de conclusie dat de verzuimregistratie gegevens over de gezondheid bevatte die, vanwege het ontbreken van een noodzaak, niet mochten worden verwerkt door CP&A. Het gaat daarbij om de verzuimredenen die vermeld zijn ten aanzien van 25 betrokkenen met daarin namen van fysieke en mentale ziektes, specifieke klachten en pijnaanduidingen. Bij enkele medewerkers is in het opmerkingenveld nadere informatie vastgelegd over de gezondheid.

10 Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, Autoriteit Persoonsgegevens (Stcr. 2016, 21703). 11 Zie het oude artikel 21, eerste lid, aanhef en onder f, onder 2, van de Wet bescherming persoonsgegevens en het huidige artikel 30, eerste lid, onder b, van de UAVG. En Kamerstukken II 2017/2018, 34851, 3, p. 109. 12 Beleidsregels zieke werknemer, paragraaf 5.2.2., p. 27. 13 Beleidsregels zieke werknemer, paragraaf 5.2.1., p. 25, in samenhang gelezen met p. 27.

9/17

Op grond van artikel 9, tweede lid, aanhef en onder b van de AVG mag de verwerkingsverantwoordelijke gegevens over de gezondheid verwerken als dit noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht. Artikel 30, eerste lid, aanhef en onder b van de UAVG bepaalt in dat kader dat het verwerken van gegevens over gezondheid is toegestaan als dit noodzakelijk is voor de re-integratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid. Omdat het verwerken van namen van ziektes, specifieke klachten en pijnaanduidingen niet noodzakelijk is voor de re-integratie van werknemers, zoals ook volgt uit de beleidsregels van de AP, is de verwerking daarvan verboden. CP&A kan aldus geen succesvol beroep doen op artikel 30, eerste lid en onder b, van de UAVG. De AP is niet gebleken dat CP&A een succesvol beroep kan doen op de overige uitzonderingen van artikel 30 van de UAVG. De AP is dus van oordeel dat CP&A de bovengenoemde gezondheidsgegevens in strijd met het verbod van artikel 9, eerste lid, van de AVG heeft verwerkt.

Voor wat betreft de periode van deze overtreding heeft de AP op 2 mei 2019 voor het laatst vastgesteld dat CP&A de gezondheidsgegevens in haar verzuimregistratie heeft verwerkt. Zoals vermeld in hoofdstuk 3 heeft de AP op 13 mei 2019 vervolgens vastgesteld dat de verzuimregistratie niet meer toegankelijk is via het bij haar bekende webadres. Tot slot heeft de AP geconstateerd dat in de huidige verzuimregistratie de verzuimreden niet meer door CP&A wordt geregistreerd.

4.3.4 Conclusie De AP komt tot de conclusie dat CP&A als verwerkingsverantwoordelijke van in ieder geval 12 maart 2019 tot en met 2 mei 2019 het verbod van artikel 9, eerste lid, van de AVG heeft overtreden door gezondheidsgegevens van 25 werknemers te verwerken.

4.4 Overtreding inzake beveiliging van de verwerking

4.4.1 Inleiding Om de veiligheid te waarborgen en te voorkomen dat de verwerking van persoonsgegevens inbreuk maakt op de AVG, dient de verwerkingsverantwoordelijke op grond van artikel 32 van de AVG de aan de verwerking inherente risico’s te beoordelen en maatregelen te treffen om risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens.14 De AP toetst in het navolgende of CP&A een passend beveiligingsniveau heeft gehanteerd voor de verwerking van de gezondheidsgegevens in haar verzuimregistratie zoals die benaderbaar was via het webadres.

4.4.2 Beoordeling Op grond van artikel 32, eerste lid, van de AVG dient de verwerkingsverantwoordelijke passende en technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau

14 Overweging 83 van de AVG.

10/17

te waarborgen. Bij de beoordeling van de risico’s dient volgens artikel 32, tweede lid, van de AVG aandacht te worden besteed aan risico’s die zich voordoen bij de verwerking van persoonsgegevens, zoals de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig.

Naarmate de gegevens een gevoeliger karakter hebben, of de context waarin zij worden gebruikt een grotere bedreiging vormt voor de persoonlijke levenssfeer van betrokkenen, worden er zwaardere eisen gesteld aan de beveiliging van gegevens. Dit betekent dat hoge eisen gesteld worden aan de technische en organisatorische maatregelen ter bescherming van deze gegevens.15 Ten aanzien van authenticatie bij de toegang tot het verwerken van gegevens over de gezondheid van (zieke) medewerkers en waarbij toegang wordt verschaft via het internet dient men dus zwaardere maatregelen te treffen om te voldoen aan een passend beveiligingsniveau, zoals een tweefactor authenticatie.16

De AP heeft vastgesteld dat de verzuimregistratie (met daarin gezondheidsgegevens) van CP&A zonder enige vorm van authenticatie toegankelijk was. De AP is van oordeel dat CP&A ten opzichte van haar verzuimregistratie een onvoldoende passend beveiligingsniveau heeft gehanteerd. CP&A had gezien de gevoelige aard van de gegevens, het feit dat de gezondheidsgegevens op het internet werden verwerkt en de risico’s voor de persoonlijke levenssfeer van de betrokkenen nadere maatregelen moeten nemen om het risico op ongeoorloofde toegang tot de verzuimregistratie te mitigeren. CP&A heeft dit echter nagelaten. Dit gebrek aan beveiliging had zij kunnen vermijden door bijvoorbeeld een passende authenticatietechniek (of een andere werkwijze) te implementeren om de geclaimde identiteit van een gebruiker van de verzuimregistratie te kunnen bewijzen. Een dergelijke beveiligingsmaatregel acht de AP, gezien de huidige stand van de techniek en de uitvoeringskosten, passend.

De AP is daarom van oordeel dat CP&A artikel 32, eerste lid, van de AVG heeft overtreden doordat CP&A ten opzichte van de gezondheidsgegevens in haar verzuimregistratie een onvoldoende passend beveiligingsniveau heeft gehanteerd.

Zienswijze CP&A en reactie AP CP&A beargumenteert in haar zienswijze dat zij maar één oogmerk had met de verzuimregistratie: haar medewerkers zo goed als mogelijk begeleiden tijdens een periode van ziekte en re-integratie. CP&A meende daarbij dat zij op juiste wijze, in overeenstemming met de daartoe geldende regelgeving, omging met de gegevens van de betrokken medewerkers en die gegevens ook zorgvuldig op zodanige wijze had beveiligd dat zij niet vrij toegankelijk waren. Ter bescherming van de privacy van de betrokken medewerkers was het bestand enkel toegankelijk via een specifieke link. De link was enkel verstrekt aan die personen die betrokken zijn/waren bij de re-integratie van medewerkers en als zodanig over verzuimgegevens dienden te kunnen beschikken om de medewerkers zo goed als mogelijk te begeleiden bij het verzuim en de re-integratie (directie, twee regiomanagers, één medewerker HRM, de HRM manager alsmede de verzuimbegeleider). Buiten die personen had niemand toegang. CP&A heeft er geen rekening mee gehouden dat de link onbevoegd aan een derde zou worden verstrekt. Met de kennis van nu

15 Zie ook Beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, p. 13. 16 Zie ook beleidsregels voor de verwerking van persoonsgegevens over de gezondheid van zieke werknemers, p. 7.

11/17

betreurt CP&A het ten zeerste dat zij dat risico niet heeft gezien en dat het daarmee voor een derde mogelijk is gebleken de gegevens te raadplegen.

De AP komt op basis van de zienswijze van CP&A niet tot een andere conclusie. Het verstrekken van een specifieke link alleen aan personen die betrokken zijn/waren bij de re-integratie van medewerkers is weliswaar een organisatorische maatregel die de beveiliging van persoonsgegevens ten goede komt. Echter, CP&A had gezien de gevoelige aard van de gegevens, het feit dat de gezondheidsgegevens op het internet werden verwerkt en de risico’s voor de persoonlijke levenssfeer van de betrokkenen ook een passende technische maatregel moeten treffen, zoals bijvoorbeeld de implementatie van een authenticatietechniek bij de link. Met een dergelijke maatregel had CP&A het risico dat een derde onbevoegd toegang tot zeer gevoelige gegevens kon krijgen grotendeels kunnen verkleinen.

4.4.3 Conclusie De AP komt tot de conclusie dat CP&A als verwerkingsverantwoordelijke van in ieder geval 12 maart 2019 tot en met 2 mei 2019 artikel 32, eerste lid, van de AVG heeft overtreden door ten opzichte van de gezondheidsgegevens in haar verzuimregistratie een onvoldoende passend beveiligingsniveau te hanteren.

4.5 Eindconclusie

De AP komt allereerst tot de conclusie dat CP&A van in ieder geval 12 maart 2019 tot en met 2 mei 2019 het verbod van artikel 9, eerste lid, van de AVG heeft overtreden door gezondheidsgegevens van 25 werknemers te verwerken. Daarnaast komt de AP tot de conclusie dat CP&A in diezelfde periode artikel 32, eerste lid, van de AVG heeft overtreden door ten opzichte van deze gezondheidsgegevens in haar verzuimregistratie onvoldoende passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

5. Boete 5.1 Inleiding

CP&A heeft vanaf in ieder geval 12 maart 2019 tot en met 2 mei 2019 artikel 9, eerste lid, en artikel 32, eerste lid, van de AVG overtreden. De AP maakt ten aanzien van beide vastgestelde overtredingen gebruik van haar bevoegdheid om aan CP&A een boete op te leggen op grond van artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde en vijfde lid, van de AVG gelezen in samenhang met artikel 14, derde lid, van de UAVG. De AP hanteert hiervoor de Boetebeleidsregels 2019.17

In het hiernavolgende zal de AP eerst kort de boetesystematiek uiteenzetten, gevolgd door de motivering van de boetehoogte in de onderhavige gevallen.

17 Stcrt. 2019, 14586, 14 maart 2019.

12/17

5.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019 (Boetebeleidsregels 2019)

Bij overtreding van het onrechtmatig verwerken van bijzondere persoonsgegevens ex artikel 9, eerste lid, van de AVG is de AP bevoegd een boete tot een maximum van € 20.000.000 op te leggen, of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Dit op basis van artikel 58, tweede lid, aanhef en onder i en artikel 83 van de AVG gelezen in samenhang met artikel 14, derde lid, van de UAVG. Op grond van de bijlage bij de Boetebeleidsregels 2019 valt deze overtreding in de hoogste categorie, namelijk categorie IV.

En voor overtreding van artikel 32, eerste lid, van de AVG is de AP bevoegd een bestuurlijke boete op te leggen tot € 10.000.000 of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Op grond van de bijlage bij de Boetebeleidsregels 2019 valt deze overtreding in categorie II.

De AP hanteert op basis van artikel 2.3 van de Boetebeleidsregels 2019 voor de bovengenoemde overtredingen de volgende boetebandbreedtes: Categorie II: Boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000. […]. Categorie IV: Boetebandbreedte tussen € 450.000 en € 1.000.000 en een basisboete van € 725.000. […].

Ingevolge artikel 6 van de Boetebeleidsregels 2019 bepaalt de AP de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 7 van de Boetebeleidsregels 2019 daartoe aanleiding geven.

Ingevolge artikel 7 houdt de AP onverminderd de artikelen 3:4 en 5:46 van de Algemene wet bestuursrecht (Awb) rekening met de factoren die zijn ontleend aan artikel 83, tweede lid, van de AVG en in de Beleidsregels 2019 genoemd onder a tot en met k: a. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; b. de opzettelijke of nalatige aard van de inbreuk; c. de door de verwerkingsverantwoordelijke […] genomen maatregelen om de door betrokkenen geleden schade te beperken; d. de mate waarin de verwerkingsverantwoordelijke […] verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 van de AVG; e. eerdere relevante inbreuken door de verwerkingsverantwoordelijke […]; f. de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; g. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; h. de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke […] de inbreuk heeft gemeld; i. de naleving van de in artikel 58, tweede lid, van de AVG genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke […] in kwestie met betrekking tot dezelfde

13/17

aangelegenheid zijn genomen; j. het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 van de AVG of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42 van de AVG; en k. elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

Het gaat in het voorliggende geval om een beoordeling van de aard, de ernst en de duur van de overtreding in het specifieke geval. In beginsel wordt daarbij binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie gebleven. De AP kan, zo nodig en afhankelijk van de mate waarin voornoemde factoren daartoe aanleiding geven, op grond van artikel 8.1 van de Boetebeleidsregels 2019 de boetebandbreedte van de naast hogere respectievelijk de naast lagere categorie toepassen. Daarnaast beoordeelt de AP bij de oplegging van een bestuurlijke boete op grond van artikel 5:46, tweede lid, van de Awb in hoeverre deze aan de overtreder kan worden verweten. Tot slot zal de AP op grond van haar Boetebeleidsregels 2019 en artikelen 3:4 en 5:46 van de Awb toetsen of de toepassing van haar beleid voor het bepalen van de hoogte van de boete, gezien de omstandigheden en de draagkracht van CP&A in dit concrete geval, niet tot een onevenredige uitkomst leidt.

5.3 Boetehoogte inzake overtreding verbod op verwerking gegevens over gezondheid en beveiliging van de verwerking

5.3.1. Aard, ernst en duur van de inbreuk Ingevolge artikel 7, aanhef en onder a, van de Boetebeleidsregels 2019 houdt de AP rekening met de aard, de ernst en de duur van de inbreuk. Bij de beoordeling hiervan betrekt de AP onder meer de aard, de omvang of het doel van de verwerking alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, eerste lid, van het Handvest van de grondrechten van de Europese Unie en artikel 16, eerste lid, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. De AVG beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Persoonsgegevens moeten worden

14/17

verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. Voor bijzonder gevoelige persoonsgegevens biedt de AVG een hoog beschermingsniveau. Persoonsgegevens die bijzonder gevoelig zijn verdienen specifieke bescherming, omdat de verwerking ervan hoge risico’s kan meebrengen voor grondrechten en fundamentele vrijheden. Betrokkenen dienen daarom in hoge mate controle te hebben over hun gezondheidsgegevens. Uitgangspunt is dan ook dat het verwerken van bijzondere persoonsgegevens in beginsel verboden is. Daarop is slechts een beperkt aantal en in de (U)AVG vastgestelde uitzonderingen mogelijk. CP&A heeft met het verwerken van gezondheidsgegevens in dit geval het hoge beschermingsniveau dat artikel 9, eerste lid, van de AVG biedt geschonden.

Op grond van artikel 32, eerste lid, van de AVG dient de verwerkingsverantwoordelijke daarnaast passende en technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Bij het bepalen van het risico voor de betrokkene zijn onder andere de aard van de persoonsgegevens en de aard van de verwerking van belang: deze factoren bepalen de potentiële schade voor de individuele betrokkene bij bijvoorbeeld verlies, wijziging of onrechtmatige verwerking van de gegevens. De AP is tot de conclusie gekomen dat CP&A geen passende beveiligingsmaatregelen heeft getroffen die zien op de gezondheidsgegevens in haar verzuimregistratie.

De AP heeft vastgesteld dat CP&A van in ieder geval 12 maart 2019 tot en met 2 mei 2019 gezondheidsgegevens van 25 werknemers zonder passende beveiliging heeft verwerkt. Deze gezondheidsgegevens bevatte zeer gevoelige informatie zoals namen van fysieke en mentale ziektes, specifieke klachten en pijnaanduidingen van haar werknemers. Gedurende deze periode heeft CP&A het verbod op het verwerken van bijzondere persoonsgegevens geschonden en hebben de desbetreffende betrokkenen dus geen controle gehad over hun gezondheidsgegevens. En het is juist deze controle die de AVG aan betrokkenen wil bieden, zodat betrokkenen in staat zijn om hun persoonsgegeven te beschermen en deze in vrijheid af te kunnen staan. Daarnaast was gedurende deze periode de verzuimregistratie van CP&A zonder enige vorm van authenticatie toegankelijk. Daarmee hebben de werknemers van CP&A een groot en onnodig risico gelopen op onbevoegde toegang tot hun persoonsgegevens. Het feit dat het hier een verwerking van bijzonder gevoelige gegevens betreft, maakt een onvoldoende beveiliging van de gegevens extra kwalijk.

Naar het oordeel van de AP is er dus sprake van twee ernstige overtreding waarin CP&A de bijzondere gegevens van betrokkenen onder onjuiste voorwaarden heeft verwerkt, maar ziet op grond van artikel 7 van de Boetebeleidsregels 2019 genoemde omstandigheden voor zover van toepassing in het voorliggende geval geen aanleiding om het boetebedrag te verhogen of te verlagen. Wel zal de AP in paragraaf 5.4 nog beoordelen of de hoogte van de boete op grond van evenredigheid aanpassing behoeft.

5.3.2 Verwijtbaarheid Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten. Nu het hier gaat om

15/17

overtredingen, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak18 niet vereist dat wordt aangetoond dat sprake is van opzet en mag de AP verwijtbaarheid veronderstellen als het daderschap vaststaat.19

Op grond van artikel 9, eerste lid, van de AVG is het in beginsel verboden om gegevens over de gezondheid te verwerken. De wettelijke regels omtrent de verwerking van persoonsgegevens over de gezondheid van zieke werknemers in het kader van hun re-integratie en verzuimbegeleiding zoals die waren vastgelegd in de Wet bescherming persoonsgegevens zijn met het van toepassing worden van de AVG op 25 mei 2018 niet veranderd. Daarnaast had CP&A uit de beleidsregels ‘De zieke werknemer’ van de AP, die reeds op 29 april 2016 in de Staatscourant zijn gepubliceerd, kunnen opmaken welke persoonsgegeven CP&A wel en niet had mogen verwerken. Van een partij als CP&A mag, mede gelet op de bijzondere aard van de persoonsgegevens, worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en deze naleeft. CP&A heeft door haar handelswijze het hoge beschermingsniveau voor bijzondere persoonsgegevens geschonden. De AP acht dit verwijtbaar.

Op grond van artikel 32 van de AVG, de beleidsregels ‘De zieke werknemer’ en de aard van de verwerking had CP&A daarnaast moeten weten dat zij nadere maatregelen had moeten nemen om het risico op ongeoorloofde toegang tot de verzuimregistratie te mitigeren. CP&A heeft nagelaten om bij de toegang tot de verzuimregistratie via het webadres in ieder geval een passende authenticatietechniek (of een andere werkwijze) te implementeren om de geclaimde identiteit van een gebruiker te kunnen bewijzen. Ook dit acht de AP verwijtbaar.

5.3.3 Zienswijze CP&A en reactie AP CP&A stelt in haar zienswijze dat zij de reeds genomen corrigerende maatregelen zich heeft aangetrokken, waarbij zij naar de AP begrijpt doelt op het verzoek van de AP de overtreding zo snel mogelijk te beëindigen, en direct alle medewerking heeft verleend. De verzuimregistratie wordt enkel nog bijgehouden in de beveiligde omgeving van het HRM systeem, welke alleen toegankelijk is voor de afdeling HRM en de direct leidinggevenden. Daarnaast verwerkt CP&A de verzuimreden niet meer en wordt de prognose enkel nog geregistreerd voor zover het afgeleid kan worden uit de rapportages van de bedrijfsarts zonder medische informatie.

Gezien het voorgaande en daarbij ook uitdrukkelijk rekening houdend met het feit dat CP&A een middelgrote onderneming is in de zin van artikel 2a UAVG en rekening houdend met de wijze waarop bijvoorbeeld de kwesties van Nippon Express (2017) en Stichting Abtona (2016) zijn afgedaan verzoekt CP&A de AP te volstaan met de reeds genomen corrigerende maatregelen ex artikel 58 van de AVG. Daarbij wijst CP&A aanvullend op het feit dat de betrokkenen —gelukkig — geen schade is berokkend, dat CP&A geenszins opzettelijk of nalatig heeft gehandeld, dat geen sprake is geweest van eerdere inbreuken en dat CP&A (aanvullend) begeleiding door een extern adviseur op het gebied van privacy heeft ingezet.

18 Vgl. CBb 29 oktober 2014, ECLI:NL:CBB:2014:395, r.o. 3.5.4, CBb 2 september 2015, ECLI:NL:CBB:2015:312, r.o. 3.7 en CBb 7 maart 2016, ECLI:NL:CBB:2016:54, r.o. 8.3, ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2879, r.o. 3.2 en ABRvS 5 december 2018, ECLI:NL:RVS:2018:3969, r.o. 5.1. 19 Kamerstukken II 2003/04, 29702, nr. 3, p. 134.

16/17

De AP deelt de zienswijze van CP&A niet. CP&A had in dit geval moeten nalaten om gezondheidsgegevens van haar werknemers te verwerken. Daarnaast heeft CP&A onvoldoende passende maatregelen genomen om de beveiliging van haar verzuimsysteem te waarborgen. Deze handelswijze van CP&A heeft afbreuk gedaan aan de bescherming van de persoonsgegevens van haar werknemers. Gezien de ernst van de overtredingen acht de AP het opleggen van een corrigerende maatregel, anders dan een bestuurlijke boete, onvoldoende doeltreffend, evenredig en afschrikkend. De AP vindt het opleggen van een bestuurlijke boete in dit geval passend. Daarbij zal zij voor wat betreft de vaststelling van de hoogte rekening houden met de positie en de draagkracht van CP&A. CP&A heeft daarnaast gesteld dat de betrokkenen geen schade is berokkend, maar dit is niet gebleken en evenmin valt uit te sluiten dat er in de toekomst nog schade kan ontstaan. Deze grief, alleen of tezamen met de andere grieven, geeft de AP gelet op de ernst van de overtredingen en de mate van verwijtbaarheid geen aanleiding om af te zien van boeteoplegging dan wel de boete op de door CP&A genoemde gronden verder te matigen.

De AP stelt het boetebedrag inzake overtreding van artikel 9, eerste lid, van de AVG vast op € 725.000. En voor de overtreding van artikel 32, eerste lid, van de AVG stelt de AP het boetebedrag vast op € 310.000.

5.4 Evenredigheid en draagkracht Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing van het evenredigheidsbeginsel kan onder andere spelen bij de cumulatie van sancties en de draagkracht van de verwerkingsverantwoordelijke.

CP&A heeft een beroep gedaan op beperkte draagkracht. Op basis van de bij de AP op dit moment bekende financiële gegevens van CP&A acht de AP de draagkracht van CP&A beperkt waardoor de AP tot de conclusie komt dat CP&A het samengenomen boetebedrag van beide overtredingen van € 1.035.000 financieel niet kan dragen. Op grond daarvan ziet de AP aanleiding om het boetebedrag te verlagen. De AP acht in dit geval een boete van € 15.000 passend en geboden en acht CP&A voldoende draagkrachtig om dit bedrag te kunnen betalen.

5.5 Conclusie De AP stelt het totale boetebedrag vast op € 15.000.

17/17

6.Dictum Boete

De AP legt aan CP&A, wegens overtreding van artikel 9, eerste lid, van de AVG en artikel 32, eerste lid, van de AVG een bestuurlijke boete op ten bedrage van € 15.000 (zegge: vijftienduizend euro).20

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

drs. C.E. Mur Bestuurslid

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Het indienen van een bezwaarschrift schort de werking van dit besluit op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

20 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB).