Sinds 25 mei 2018 is in Nederland de privacywetgeving geregeld in de Algemene Verordening Gegevensbescherming (AVG) geregeld. Ongeveer een jaar na invoering heeft de Autoriteit Persoonsgegevens (AP) de eerste boete opgelegd en heeft de rechter voor de eerste keer het recht op schadevergoeding toegekend.
De AVG heeft onder meer gezorgd voor uitbreiding van privacy-rechten van burgers, door aan bedrijven en organisaties verplichtingen ten aanzien van de beveiliging van hun systemen op te leggen. Als bedrijven en organisaties niet voldoen aan die beveiligingseisen, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Daarnaast kan er op grond van de AVG sprake zijn van aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker als burgers schade oplopen als gevolg van onvoldoende beveiliging (een datalek) en ontstaat er recht op een recht op schadevergoeding ontstaan. De eerste boete ter grootte van € 460.000 is wegens onvoldoende beveiliging van de systemen opgelegd aan het Haagse HagaZiekenhuis. De AP stelde een onderzoek in toen bleek dat tientallen medewerkers van het ziekenhuis onnodig het medische dossier van een bekende Nederlander hadden ingezien. Uit het onderzoek bleek dat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde had. Het HagaZiekenhuis heeft inmiddels maatregelen genomen. Misschien was de algemene verwachting dat de gevolgen van de invoering van de AVG niet zo’n vaart niet zouden lopen, toch maken de eerste opgelegde boetes en de toekenning van de schadevergoedingsplicht door de rechter duidelijk wat de gevolgen van het niet nakomen van de verplichtingen in de AVG kunnen zijn. De hoogte van zowel de boetes als de schadevergoedingsplicht is afhankelijk van de specifieke omstandigheden.