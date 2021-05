De Autoriteit Persoonsgegevens (AP) heeft het onderhoudsbedrijf CP&A een boete van 15.000 euro opgelegd omdat het in een systeem onder meer bijhield waar zieke medewerkers precies last van hadden. Dat systeem was ook nog eens niet voldoende beveiligd. Het is de tweede kleine boete die de autoriteit ooit oplegt.

De AP mag sinds 2016 boetes opleggen en heeft sindsdien vrijwel alleen boetes van meerdere tonnen uitgedeeld aan bedrijven. Vorige week kreeg de PVV Overijssel de eerste kleine boete van 7.500 euro, omdat de partij een datalek niet had gemeld. CP&A is dus als tweede aan de beurt voor een kleine boete.

Het bedrijf hield in een systeem onder meer de ziektes van werknemers bij, maar ook specifieke klachten die ze hadden. Het is niet nodig om die informatie te verwerken, schrijft de AP op haar website. Met specifieke kennis over de ziekte waaraan een werknemer lijdt, kan een werkgever een oordeel of een beslissing nemen die grote impact heeft op een werknemer.

Daarnaast was het verzuimregister, waar al die gevoelige gegevens in stonden, online toegankelijk zonder enige vorm van authenticatie. Dat terwijl er voor gezondheidsgegevens extra strenge beveiligingseisen gelden.

De basisboete van de twee overtredingen van CP&A komt opgeteld neer op ruim 1 miljoen euro, maar de autoriteit heeft bij het bepalen van de boete rekening gehouden met de draagkracht van het bedrijf. Daarom is het boetebedrag vastgesteld op 15.000 euro.