Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 150 000 euro mot Nederlandse Sociale Verzekeringsbank (SVB) för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att SVB är en nederländsk statlig institution som ansvarar för olika former av social trygghet och förmåner. Medborgarna kan kontakta den personuppgiftsansvarige via en helpdesk för att ställa frågor om socialförsäkringar. Den 1 november 2019 tog AP emot ett klagomål från en registrerad som hävdade att en familjemedlem i ett telefonsamtal tagit emot personuppgifter om den registrerade från den personuppgiftsansvarige utan den registrerades samtycke. Den personuppgiftsansvarige erkände händelsen och rapporterade den som en personuppgiftsincident.
Under AP:s utredning konstaterades att många kategorier av personuppgifter sparats i den personuppgiftsansvariges system, såsom namn, adress, postadress, nationalitet och civilstånd, men även brottsrelaterade personuppgifter, som visade vilka registrerade som dömts för brott eller misstänkts för bedrägeri. AP konstaterade vidare att alla 1 500 anställda hos den personuppgiftsansvarige haft tillgång till filer och personuppgifter om registrerade som fått den statliga grundpensionen AOW.
AP konstaterade att den personuppgiftsansvarige hade två olika interna riktlinjer för sina anställda för att identifiera registrerade i telefonen. Dessa riktlinjer innehöll dock vissa skillnader i fråga om hur den registrerade ska identifieras, vilket skapade förvirring bland de anställda. Sammanfattningsvis var det inte klart vilka frågor, och hur många frågor, som skulle ställas i telefonen för att kontrollera den registrerades identitet. Det var inte heller klart vilka ytterligare frågor som skulle ställas när det fanns tvivel om den registrerades identitet. AP drog slutsatsen att den personuppgiftsansvarige inte hade något sätt att garantera att policyn för identitetskontroll var tillräcklig för att faktiskt kontrollera den registrerades identitet. AP ansåg också att de anställda inte alltid agerade i enlighet med riktlinjerna och att identitetskontrollen ofta lämnades till den berörda anställdes egen bedömning och tolkning.
Risken med att lämna ut personuppgifter via telefon var enligt AP hög, med tanke på behandlingens omfattning, de aktuella personuppgifternas art, antalet anställda som kunde få tillgång till uppgifterna och hur ofta de registrerade skulle kontakta den personuppgiftsansvarige. Enligt AP var den personuppgiftsansvariges åtgärder otillräckliga för att minska denna höga risk.
Sammanfattningsvis ansåg AP att SVB:s säkerhetsåtgärder inte var lämpliga i förhållande till säkerhetsriskerna, vilket strider mot artikel 32.1 och 32.2 GDPR. Sanktionsavgiften uppgick ursprungligen till 310 000 euro, men med tanke på förekomsten av förmildrande omständigheter, till exempel det faktum att endast tio personuppgiftsincidenter upptäcktes mellan 2018 och 2021, sänkte AP sanktionsavgiften till 150 000 euro.