Dwangsom 48.000 euro wegens overtreding Privacywet

Donderdag is bekend geworden dat de Autoriteit Persoonsgegevens (AP) een dwangsom heeft ingevorderd van 48.000 euro bij Theodoor Gilissen Bankiers (TGB).  De reden tot deze dwangsom was dat de bank geen gehoor had gegeven aan een verzoek om inzage van een klant. Dit is in overtreding met de privacywet. 

Recht op inzageverzoek

TGB (inmiddels InsingerGilissen Bankiers) verleende effectendiensten aan de klant. Deze klant heeft in 2016 aan TGB een verzoek gedaan om inzage in zijn persoonsgegevens. Hij wilde een overzicht van de persoonsgegevens die de bank van hem had, wat de herkomst was van de gegevens en met wie ze werden gedeeld. De bank wilde deze gegevens echter niet verstrekken. De klant heeft vervolgens via zijn advocaat een handhavingsverzoek ingediend bij de AP, met het doel alsnog inzage te krijgen in zijn gegevens. 

Dwangsom na 2 maanden

Het AP heeft onderzoek gedaan, en daarna de bank 2 maanden de tijd gegeven om te voldoen aan dit verzoek. Om inzage af te dwingen heeft de AP daarbij een last onder dwangsom opgelegd van 12.000 euro voor elke week die de bank daarna niet volledig voldeed aan het inzageverzoek, tot een maximum van 60.000 euro. Vier weken na het verlopen van de 2 maanden-termijn heeft de bank een volledig overzicht van de gegevens van de klant verschaft. Voor de AP was dit de aanleiding om 48.000 euro aan dwangsommen in te vorderen. 

Processen in kaart brengen

Dit proces speelde zich eind 2017 af, nog voor de handhaving van de nieuwe privacywet AVG. De vraag die gesteld kan worden, is als volgt: “Waarom heeft voldoen aan dit verzoek zo lang geduurd?”

Onze theorie is dat TGB geen overzicht (meer) had in de systemen waar de persoonsgegevens zich in (konden) begeven en waar ze vandaan kwamen. Mogelijk speelde de fusie naar InsingerGilissen ook een rol in het verliezen van het overzicht.

Verwerkingsregister 

Het onderstreept nogmaals het belang waarom bedrijven duidelijk overzicht in de gehele bedrijfsstructuur heeft, of zou moeten hebben. De documentatieplicht betreft een onderdeel van de AVG, bovendien een onderdeel waarvan de Autoriteit Persoonsgegevens heeft aangegeven op te controleren.

Welke persoonsgegevens worden verzameld, waar worden ze opgeslagen, hoe is men er aan gekomen en wie ontvangt ze daarna? Binnen de AVG is het in kaart brengen verplicht, onder meer in de vorm van een verwerkingsregister. Hiermee kan  worden nagegaan waar de persoonsgegevens van klanten of medewerkers zich bevinden, om bijvoorbeeld een verzoek tot inzage te bevorderen. AVG Cloud Register maakt dit proces eenvoudiger en helpt bij het in kaart brengen van aanverwante taken en documenten. 


Informatie over de AVG Features Begin direct