PWC Griekenland op de vingers getikt
150.000 Euro boete van Griekse Autoriteit Persoonsgegevens

De Griekse toezichthouder heeft haar eerste boete ooit uitgedeeld.

PWC Griekenland beboet voor overtreding AVG
PWC is één van de Big Four, de vier grootste consultancy bedrijven van de wereld, die samen 67 procent van de business consultancy markt in handen hebben. Bij PWC werken wereldwijd ruim 160.000 mensen. PWC is nog steeds beter bekend onder de oude naam PriceWaterhouseCoopers.

Na een melding van de landelijke vereniging van auditors in Griekenland, heeft de lokale Autoriteit Persoonsgegevens een onderzoek uitgevoerd bij PWC Griekenland. Daaruit is gebleken dat PWC de regels heeft overtreden. De Griekse Autoriteit Persoonsgevens heeft PWC daarom een boete van 150.000 Euro opgelegd.

Dit is opvallend (om niet te zeggen, pikant) aangezien PWC al jaren "stuwmeren" aan uren schrijft voor AVG advies. Uiteraard liggen zij onder een vergrootglas. Ze kunnen anderen voor een stevig uurtarief vertellen wat ze moeten doen, maar zelf hebben ze het niet op orde? De boete van 150.000 Euro is vervelend, maar die kunnen ze bij PWC best betalen.
De reputatieschade is naar verwachting veel groter.

Misleiding van werknemers
PWC liet werknemers aanvullende overeenkomsten tekenen, waarin toestemming werd gegeven om persoonlijke informatie te verwerken. PWC heeft richting haar werknemers de indruk proberen te wekken dat deze toestemming in het kader van de AVG nodig was. De Griekse AP noemt dat misleidend.

Er werd niet alleen toestemming gevraagd voor het verwerken van bekende informatie, maar ook voor verwerking van 'nu nog onbekende 'oekomstige informatie'.
De toestemming was verder nogal ruim omdat de persoonlijke informatie ook met niet nader genoemde 3e partijen gedeeld zou moeten kunnen worden, als dat in het belang van PWC zou zijn.

Het probleem is dat je volgens de AVG als burger in principe vrij moet zijn om te kunnen weigeren informatie te delen, en je moet die beslissing weloverwogen en goed geïnformeerd kunnen nemen. Maar je kunt de gevolgen van verwerking van nu nog onbekende persoonlijke informatie door nu nog onbekende partijen niet overzien. Burgers misleiden over het doel van de verwerking van persoonsgegevens haalt deze principes onderuit. In het het geval van PWC komt daar nog bij dat werkgever en werknemer in een gezagsverhouding tot elkaar staan, waardoor juist extra zorgvuldigheid nodig is.

Niet alleen moet PWC haar procedures nu aan gaan passen en haar werknemers correct informeren, de boete komt er nog overheen. Ook hier valt op dat een Autoriteit Persoonsgegevens correctieve maatregelen niet afwacht, maar meteen boetes uitdeelt. Dit hebben we precies zo gezien in het geval van het Nederlandse HagaZiekenhuis op 17 juli.

Waarom een boete?
Wij hebben het rapport van de Griekse AP er eens bijgepakt, en er blijken meerdere redenen te zijn voor de boete.

PWC heeft persoonsgevens buiten de regels om verwerkt, doordat ze de verkeerde reden hebben gekozen voor de verwerking. Een onjuiste grondslag, zoals dat in het kader van de AVG genoemd wordt.

De werkelijke reden/grondslag voor de gegevensverwerking, in dit geval legitieme werkgeversbelangen, is niet gedocumenteerd, terwijl dat wel nodig is.

PWC heeft geprobeerd om de verantwoordelijkheid voor de verwerking bij haar werknemers neer te leggen; zij moesten een verklaring tekenen waarin ze aangaven dat de verwerking noodzakelijk was. Dat klopt van geen kant, de verwerkingsverantwoordelijke is, de naam zegt het al, verantwoordelijk. Niet de persoon wiens gegevens worden verwerkt.

Bron: SUMMARY OF DECISION 26_2019

Voorlopige conclusie
PWC had best persoonlijke informatie mogen verwerken als daar een legitiem belang als werkgever mee gediend was. Als ze dat niet hard konden maken, hadden ze moeten kiezen voor niet verwerken, die optie is er ook bijna altijd. Nu lijkt het er sterk op dat ze hebben geprobeerd zich in te dekken, en juist daar slaat de Griekse AP nu op aan.

Boetes en reputatieschade voorkomen?
Onze consultants hebben ruime ervaring met AVG advisering. Neem gerust contact met ons op voor een oriënterend gesprek. Dat kan telefonisch op 088 - 627 0100, of stuur ons een bericht op info@quividet.nl.

Security OpenSource Day 2019