Wat hebben pizza’s met de AVG te maken?

Antwoord: bestellingen bevatten persoonsgegevens

In het jaarverslag 2023 van de AVG toezichthouder in Baden-Wuertemberg staat een overtreding die met pizza’s te maken heeft genoemd. Waarom het voorval die speciale vermelding verdiende wordt hieronder uitgelegd.

Vuilnis

pizza pizza'sDe toezichthouder schrijft dat de vuilophaaldienst van een grote stad in een glascontainer twee zakken met papier aantreft. Duitsers zijn als het gaat om het scheiden van afval behoorlijk nauwkeurig. Meer dan in Nederland wordt werk gemaakt van het opsporen en bestraffen van overtreders.

In dit geval maakt men echter pas op de plaats. Alle papieren zijn bestelbonnen van een pizzabezorgdienst. Op elke bon staat wat er is besteld. Plus wanneer, door wie, hoe betaald is en waar de bestelling afgegeven kan worden. De vuilnisophalers snappen dat dit geen gewoon afval is. Een melding naar de toezichthouder volgt en die gaat op zijn beurt aan de slag.

Grote overtreding

Ruim 7.700 bestelbonnen met elke keer weer een aantal persoonsgegevens. Voor de AVG toezichthouder is duidelijk dat hier sprake is van een grote overtreding. Het eerste snelle onderzoek wordt opgeschaald naar een formele procedure.

De bezorgdienst krijgt de gelegenheid nog voor het verschijnen van het uiteindelijke boeterapport te reageren. Hoe voorspelbaar krijgt een medewerker de schuld van het in de verkeerde vuilcontainer gooien. Dat is niet het soort antwoord waart een toezichthouder begrip voor heeft. Dit soort documenten mag ook niet in een willekeurige container voor papier belanden.

Boete

In het jaarverslag eindigt de beschrijving van dit “voorval” met het noemen van de vier AVG artikelen die zijn overtreden en de mededeling dat een boete “im mittleren viertstelligen Bereich” (rond de 5.000 Euro) is opgelegd.

Grote kans die iedere bezorgdienst in die grote stad via de lokale pers inmiddels bekend is met deze zaak. Reken maar dat her en der de procedures zijn aangepast.

“passende maatregelen”

Het bestellen van pizza’s en daarbij alle registreren is voor de AVG niet het probleem. Het ontbreken van een procedure die data goed en veilig te bewaren en vervolgens op een correcte wijze te vernietigen breekt die bezorgdienst op. De “datadump” was minimaal twee jaar oud. Al die tijd waren er geen “passende maatregelen” voor de bescherming van de persoonsgegevens.

 

Mobiele versie afsluiten