Wat zijn de boetes voor het overtreden van de AVG met biometrie?
Stel je voor: je bedrijf gebruikt vingerafdrukken of gezichtsherkenning om medewerkers toegang te geven tot het gebouw.
Handig, maar wat als je daarbij de privacyregels overtreedt? Dan hangt er een boete boven je hoofd. De Autoriteit Persoonsgegevens (AP) kan flink toeslaan. In dit stuk leg ik je haarfijn uit wat je kunt verwachten, hoe de boetes worden berekend en wat je kunt doen om ze te vermijden.
Wat zijn de boetes voor AVG-overtredingen?
De Algemene Verordening Gegevensbescherming (AVG) is streng, zeker als het gaat om biometrische data. Denk aan vingerafdrukken en gezichtsherkenning.
Deze gegevens zijn extra gevoelig, want ze zijn uniek en onveranderlijk. De AP kan boetes opleggen die je bedrijf flink raken.
Het maximum voor een zware overtreding is 20 miljoen euro of 4% van de wereldwijde jaaromzet. Lichtere overtredingen kunnen oplopen tot 10 miljoen euro of 2% van de omzet. De AP is sinds 25 mei 2018 bevoegd om deze boetes uit te delen.
Stel, je bedrijf heeft een omzet van 100 miljoen euro. Een zware overtreding kan je dan 4 miljoen euro kosten.
Dat is geen kleingeld. En het gaat niet alleen om geld; je reputatie kan ook flink beschadigd raken.
Hoe worden AVG-boetes precies berekend?
De AP kijkt naar verschillende factoren bij het bepalen van de boete. Ze wegen de aard van de overtreding, de duur ervan en of je als bedrijf te goeder trouw bent. Ook je eerdere gedrag speelt een rol.
Als je al eerder gewaarschuwd bent, kan dat de boete verhogen. Biometrische gegevens zijn extra gevoelig.
Een overtreding met vingerafdrukken of gezichtsherkenning wordt dus zwaarder aangerekend. De AP houdt rekening met de impact op de betrokkene.
Hoe meer schade, hoe hoger de boete. De AP publiceert haar besluiten op autoriteitpersoonsgegevens.nl. Zo kun je zien welke boetes eerder zijn opgelegd. Dit helpt je om in te schatten wat je kunt verwachten.
Welke AVG-overtredingen leiden tot de hoogste boetes?
Zware overtredingen met biometrische gegevens leiden tot de hoogste boetes. Denk aan het onrechtmatig verzamelen van vingerafdrukken of gezichtsherkenning zonder toestemming.
Of het niet goed beveiligen van deze data, waardoor ze op straat komen te liggen. Een voorbeeld is Clearview AI. Dit bedrijf scrapte gezichtsherkenningdata van sociale media zonder toestemming. De AP legde een boete op.
Een ander voorbeeld is Uber, dat biometrische data naar de VS doorspeelde zonder adequate waarborgen. Ook het niet melden van een datalek bij de AP kan leiden tot een hoge boete.
Stel, je systeem voor gezichtsherkenning is gehackt en je meldt dit niet.
Dan kun je rekenen op een flinke sanctie.
Krijgen MKB’ers dezelfde AVG-boetes als grote bedrijven?
Ja, MKB’ers kunnen dezelfde boetes krijgen als grote bedrijven. De AP houdt rekening met de omvang van het bedrijf, maar dat betekent niet dat kleine bedrijven vrijuit gaan.
Een overtreding met biometrische gegevens is serieus, ongeacht de grootte van je bedrijf. Veel MKB’ers krijgen eerst een waarschuwing. Maar als de overtreding ernstig is, volgt alsnog een boete. Bijvoorbeeld als je als kleine winkel onrechtmatig vingerafdrukken van medewerkers verzamelt.
De AP is streng, maar wel rechtvaardig. Ze kijkt naar de context.
Boetes en andere sancties
Een MKB’er die direct actie onderneemt na een waarschuwing, kan een lagere boete krijgen.
Maar wachten op een waarschuwing is riskant. Naast boetes kan de AP andere sancties opleggen. Denk aan een last onder dwangsom.
Boetes en andere sancties van de AP
Dit betekent dat je een bepaalde handeling moet uitvoeren, anders krijg je een boete. Bijvoorbeeld: je moet de onrechtmatig verzamelde biometrische data verwijderen.
Een andere sanctie is een verbod op het verwerken van biometrische gegevens. Dit kan je bedrijfsvoering flink ontregelen. Stel, je gebruikt gezichtsherkenning voor toegangscontrole.
Een verbod betekent dat je op zoek moet naar een alternatief. De AP int de boetes niet zelf.
Internationale boetes
Het Centraal Justitieel Incassobureau (CJIB) doet dit. De boetes gaan naar de schatkist, niet naar de AP.
Dit zorgt voor een onafhankelijke rol van de AP. De AP kan ook formele waarschuwingen geven.
Een voorbeeld is het Nationaal Archief, dat een waarschuwing kreeg voor het onzorgvuldig omgaan met persoonsgegevens. Dit kan een eerste signaal zijn dat je bedrijf in de gaten wordt gehouden. Biometrische gegevens overschrijden vaak grenzen. Denk aan Uber, die data naar de VS doorspeelde.
De AP kan boetes opleggen voor overtredingen die in het buitenland plaatsvinden, als Nederlandse burgers erdoor worden getroffen. Ook Clearview AI kreeg een boete voor het scrapen van gezichtsherkenningdata wereldwijd.
Register berispingen
Dit toont aan dat de AP actief is op het internationale toneel.
Je bedrijf moet zich dus aan de AVG houden, ongeacht waar je gevestigd bent. De AP houdt een register bij van berispingen en boetes. Dit register is openbaar.
Zo kunnen anderen leren van jouw fouten. Het helpt om transparantie te creëren en herhaling te voorkomen.
Stel, je bedrijf krijgt een berisping. Dit wordt dus openbaar. Dit kan je reputatie beïnvloeden.
Gepubliceerde boetes en sancties
Het is dus belangrijk om overtredingen te voorkomen. De AP publiceert boetes en sancties op haar website.
Voorbeelden zijn Stichting Oud Lemmer, AS Watson - Kruidvat en Ambitious People Group. Deze publicaties helpen je om in te schatten wat je kunt verwachten.
Let op: niet alle gepubliceerde boetes bevatten biometrie-specifieke overtredingen. Maar ze geven wel een idee van de zwaarte van sancties.
Gebruik deze informatie om je bedrijfsvoering aan te passen.
Praktische tips om boetes te vermijden
Voorkomen is beter dan genezen. Zorg dat je bedrijf voldoet aan de AVG, zeker bij biometrische gegevens.
- Vraag toestemming: Zorg dat je expliciete toestemming hebt van medewerkers of klanten voordat je vingerafdrukken of gezichtsherkenning verzamelt.
- Beveilig je data: Biometrische gegevens zijn extreem gevoelig. Zorg voor sterke encryptie en beperkte toegang.
- Meld datalekken: Als er een datalek is, meld dit dan direct bij de AP en de betrokkene.
- Documenteer alles: Houd bij hoe je biometrische data verzamelt, opslaat en gebruikt. Dit helpt bij een eventuele controle.
- Test je systemen: Laat regelmatig een privacy-audit uitvoeren. Zo ontdek je kwetsbaarheden voordat de AP dat doet.
Hier zijn een paar tips: Stel, je gebruikt gezichtsherkenning voor toegangscontrole. Zorg dan dat je systemen up-to-date zijn en voldoen aan de nieuwste beveiligingsstandaarden. Zoek de juiste balans tussen gemak en privacy; een overtreding voorkomen is altijd beter dan een boete betalen.
De AP is streng, maar rechtvaardig. Door proactief te handelen, kun je boetes vermijden.
En onthoud: biometrische gegevens zijn uniek en onveranderlijk. Pas daarom privacy by design toe voor een veilig biometrisch systeem en behandel ze met de zorg die ze verdienen.