Nederland heeft nog steeds een van de duurste privacytoezichthouders van Europa. De Autoriteit Persoonsgegevens krijgt per hoofd van de bevolking 2,47 euro, terwijl dat in het merendeel van de lidstaten significant minder is. Nederland blijkt nog steeds relatief weinig, maar hoge AVG-boetes op te leggen, al hebben toezichthouders steeds minder goede overzichten van hun boetebesluiten. Nederlandse boetes 'kosten' bovendien meer dan waar dan ook in Europa als je het budget vergelijkt met het aantal boetes.
Nederland is, op een handvol landen na, het Europese land waarvan de bevolking relatief het meest uitgeeft aan zijn nationale toezichthouder. In Liechtenstein, Ierland en IJsland betalen bewoners meer. Liechtenstein is daarbij een extreme uitschieter: het land heeft 40.000 inwoners, maar geeft bijna 1,4 miljoen euro per jaar aan zijn toezichthouder, wat uitkomt op meer dan 34 euro per hoofd van de bevolking. Ook Luxemburg heeft met 15,29 euro per inwoner een dure toezichthouder. Nederland is in dat opzicht nog goedkoop uit; de 18,2 miljoen Nederlanders betalen een budget van 49 miljoen euro aan de privacytoezichthouder, wat neerkomt op 2,47 euro per hoofd van de bevolking.
:strip_exif()/i/2004354720.jpeg?f=imagenormal)
Dat blijkt uit een inventarisatie die Tweakers deed bij alle 28 Europese privacytoezichthouders. Het is een vervolg op een artikel dat in 2021 op Tweakers verscheen. Destijds klaagde het merendeel van de toezichthouders dat ze te weinig budget van hun overheid kregen. Onder de AVG moet iedere lidstaat in de Europese Economische Ruimte een nationale privacytoezichthouder aanstellen; in Nederland is dat de Autoriteit Persoonsgegevens, in België de Gegevensbeschermingsautoriteit. In dit artikel worden de jaarbudgetten van 2024 geïnventariseerd en, waar mogelijk, van eerdere jaren. De budgetten voor 2025 zijn voor veel toezichthouders nog niet definitief vastgelegd. De nationale parlementen moeten daar nog over stemmen. Daarom wordt in dit artikel uitgegaan van de budgetten van 2024. Die zijn nog nergens in jaarverslagen te vinden, want die volgen altijd pas later in het komende jaar; sommige toezichthouders, zoals de Poolse, publiceerden pas eerder deze maand hun jaarverslag over 2023.
Ontbrekende landen: België, Bulgarije, Cyprus, Estland, Kroatië, Malta, Oostenrijk, Slowakije en Tsjechië
De cijfers die voor dit artikel worden gebruikt, heeft Tweakers ontvangen van de toezichthouders. Hiervoor is navraag gedaan bij de privacytoezichthouders, maar ook gekeken naar openbare bronnen zoals jaarverslagen en websites zoals GDPR Hub. Dat betekent echter wel dat de gegevens niet helemaal compleet zijn. Lang niet alle toezichthouders reageerden op Tweakers' verzoek om informatie; van negentien toezichthouders is antwoord gekregen of waren de budgetten te vinden via alternatieve bronnen.
Wo ist Deutschland?
We maken in dit artikel een uitzondering voor Duitsland. Dat heeft namelijk een nationale toezichthouder op federaal niveau, maar de zestien deelstaten hebben ieder ook een afzonderlijke en onafhankelijke privacytoezichthouder. Die zijn in dit overzicht niet meegenomen.
Die budgetten liggen in Nederland, met 2,47 euro per hoofd, veel hoger dan in de meeste landen. Die variëren van 0,06 euro per persoon in Roemenië tot 1,41 euro in Zweden, maar 11 van de 19 lidstaten die in dit artikel worden onderzocht, betalen minder dan een euro per persoon per jaar voor hun privacywaakhond. Dat is al langer het geval. In 2021 bleek al uit een rapport van de European Data Protection Board dat Nederland een dure toezichthouder had. Alleen de achttien gezamenlijke Duitse toezichthouders en de Italiaanse Garante per la protezione dei dati personali kregen toen meer geld dan de Autoriteit Persoonsgegevens. Het verschil tussen de Nederlandse en Italiaanse toezichthouder is inmiddels flink kleiner geworden. De Italiaanse toezichthouder kreeg in 2024 een budget van 47.685.528 euro, een kleine 2 miljoen euro meer dan de 45.198.000 euro die de AP kreeg. Het Italiaanse budget voor 2025 is nog niet bekend, maar mogelijk krijgt de AP in dat jaar zelfs meer geld dan zijn Italiaanse tegenhanger. Het budget voor de AP gaat dan omhoog naar 49 miljoen euro.
Italië heeft ondertussen met 59 miljoen inwoners bijna drie keer het inwoneraantal van Nederland. Gemiddeld betalen de Italianen daarmee zo'n 80 cent per inwoner, veel minder dan de 2,47 euro per Nederlander.
Ierland en Liechtenstein
Italië is het enige Europese land dat in dit artikel is onderzocht waar het budget dit jaar hoger was dan in Nederland. Er zijn wel meerdere landen waar dat ook in relatieve zin zo is. In IJsland, dat minder dan 400.000 inwoners heeft, krijgt de privacytoezichthouder een budget van 2,5 miljoen euro, omgerekend 6,32 euro per inwoner. Ook de andere Scandinavische landen vallen op: Noorwegen, Zweden en Denemarken betalen respectievelijk 1,26, 1,41 en 1,32 euro per persoon per jaar voor hun toezichthouders. Daar lijkt geen duidelijke oorzaak achter te zitten, buiten het feit dat belastingen in Scandinavische landen over het algemeen hoger liggen dan in de meeste Europese landen.
Kleine landen
De landen waarvan geen budget te vinden is, zijn relatief kleine landen zoals Malta, Cyprus en Oostenrijk. Voor het artikel uit 2021 bekeek Tweakers deze data voor het laatst en toen stonden de meeste van die landen veel lager op de lijst dan Nederland als het ging om kosten per inwoner, op Malta na. Die toezichthouder kostte per inwoner nét iets minder dan de AP.
De uitschieter waar wel een goede verklaring voor is, is de Ierse Data Protection Commission. Die krijgt dit jaar een budget van 28,1 miljoen euro, terwijl het land zo'n 5,3 miljoen inwoners telt. Dat is omgerekend 5,32 euro per persoon per jaar, meer dan twee keer zoveel als in Nederland. Dat is een positieve ontwikkeling voor de AVG in zijn geheel, want Ierland is daar altijd de bottleneck geweest. Veel grote techbedrijven hebben hun hoofdkantoor in dat land zitten, vaak vanwege belastingredenen, maar ook deels vanwege de privacytoezichthouder. De Ierse DPC kreeg in het verleden veel kritiek vanwege zijn lakse houding tegen grote techbedrijven als Alphabet, Meta en Amazon. Die kritiek kwam van privacyactivisten, maar ook van andere toezichthouders in Europa die hardere actie eisten van hun Ierse collega's. Dat liep zelfs zo hoog op dat het Europees Hof van Justitie eraan te pas moest komen. Dat concludeerde in 2021 dat andere toezichthouders een onderzoek mochten overnemen als de hoofdtoezichthouder zou verzaken. In de praktijk bleek dat vaak Ierland te zijn.
De Ierse privacytoezichthouder heeft in de afgelopen vier jaar een opvallende groei in zijn budget gezien: dat steeg van 16,9 miljoen euro in 2020 naar 19,1 miljoen, 23,2 miljoen, 26 miljoen en uiteindelijk 28,1 miljoen euro in 2021, 2022, 2023 en 2024. Die structurele stijging is hoger dan de meeste landen in Europa, behalve weer in Nederland, waar het budget ook procentueel als een van de hoogste in Europa steeg.
Nederland en Ierland laten zich daarmee goed vergelijken. Het feit dat Nederland een dure toezichthouder heeft, ligt volgens de Autoriteit Persoonsgegevens zelf aan het feit dat Nederland veel techbedrijven heeft, sterk gedigitaliseerd is en een goede digitale infrastructuur heeft. "Nederland loopt op veel vlakken voorop als het gaat om digitalisering", zei AP-voorzitter Aleid Wolfsen in 2022 in een interview met Tweakers als reactie op de vraag waarom de toezichthouder zo duur is. "We doen gemiddeld veel meer digitale betalingen en er is hier veel en snel internet. Bovendien zitten veel hoofdkantoren van techbedrijven in Nederland. Daarmee hebben we ook veel verantwoordelijkheden."
:strip_exif()/i/2005128200.jpeg?f=imagenormal)
Hoge of juist lage boetes
In 2021 onderzocht Tweakers ook het aantal boetes dat Europese toezichthouders uitdeelden. Het artikel richtte zich op het achterhalen of Nederland en België in vergelijking met hun Europese tegenhangers hoog of juist laag straften. Uit de resultaten bleek dat de Nederlandse AP relatief weinig boetes uitdeelde, maar dat die naar verhouding wel opvallend hoog lagen.
Tweakers vroeg voor dit artikel bij alle privacytoezichthouders naast hun budgetten ook om een overzicht van boetes die zij uitdeelden. Het was al lastig om alle informatie bij de jaarbudgetten te verzamelen, maar eind 2024 is het praktisch onmogelijk geworden om volledige en juiste data over Europese AVG-boetes te verzamelen. Dat heeft een paar redenen. Veel toezichthouders geven aan geen beschikbare overzichten te hebben, of in ieder geval niet te kunnen delen, van alle boetes die zij sinds 2018 uitdeelden. In plaats daarvan verwijzen ze vaak naar jaarverslagen.
Ze variëren sterk. De Hongaarse privacyautoriteit verwijst bijvoorbeeld naar de vijf jaarverslagen die sinds 2018 zijn gepubliceerd, maar die zeggen allemaal iets anders over uitgedeelde boetes. In het jaarverslag over 2021 staat bijvoorbeeld een lijst met alle uitgedeelde boetes, maar in het verslag over 2022 staat alleen een totaalbedrag genoemd en in dat van 2023 worden alleen een paar opvallende boetes genoemd, inclusief een hoogste en een laagste boete. De Noorse toezichthouder verwijst naar een nieuwspagina 'die redelijk actueel zou moeten zijn', naar eigen zeggen. Dat klinkt weinig hoopgevend. De Tsjechische Úřad pro ochranu osobních údajů zegt letterlijk dat 'zulke statistieken niet voorhanden zijn'.
Sommige toezichthouders reageerden helemaal niet op Tweakers' verzoek om informatie. Ook hebben zij nergens online een overzicht van boetes staan.
Externe datasets
De informatie van toezichthouders zelf komt in veel verschillende vormen en is vaak onvolledig
In Tweakers' vorige overzicht is uitgegaan van externe datasets. Er zijn meerdere partijen die zelf een overzicht bijhouden van AVG-boetes in Europa, zoals het Belgische Dailybits of advocatenkantoor CMS dat de gezaghebbende GDPR Enforcement Tracker bijhoudt. Die data is inmiddels een heel stuk minder betrouwbaar dan in 2021. De datasets worden gecureerd door bijvoorbeeld publicaties en rechtszaken bij te houden of, in het geval van Dailybits, door rss-feeds te volgen bij privacytoezichthouders. Het is juist dat proces dat minder toegankelijk is geworden en dat zie je terug in de data.
Neem de Roemeense toezichthouder. Die zegt in antwoord op vragen van Tweakers dat er in 2023 73 boetes werden uitgedeeld met een totale hoogte van 2.348.265 lei, omgerekend 471.837 euro. In CMS' Enforcement Tracker staan slechts 51 boetes, voor een totaalbedrag van 403.400 euro. In 2022 deelde de Roemeense toezichthouder naar eigen zeggen 69 boetes uit á 212.757 euro, maar de Enforcement Tracker meet er slechts 47 voor in totaal 179.100 euro. Dat is bij veel andere toezichthouders het geval; de openbare cijfers zijn soms heel anders dan wat er privé wordt aangegeven. De Letse toezichthouder deelt een lijst met 20 boetes, maar online worden er maar 8 weergegeven. De Luxemburgse toezichthouder reageert met enkel een overzicht van totale bedragen die het aan boetes uitdeelde, maar die bedragen zijn twee keer zo hoog als de totalen die openbare databases aanhouden. In 2022 deelde de Commission nationale pour la protection des données naar eigen zeggen voor 48.375 euro aan boetes uit, maar in de Enforcement Tracker worden boetes voor in totaal 26.000 euro geregistreerd.
Boetes in de rechtszaal
Een belangrijke oorzaak voor die discrepantie is dat meer boetes en sancties worden aangevochten door bedrijven en in sommige gevallen overheden, al doen die laatste dat steeds minder. Bedrijven kunnen aangeven dat ze het niet eens zijn met een boete en dan naar de rechter stappen. In zo'n geval kan een toezichthouder het boetebesluit openbaar maken; er lopen op dit moment nog meerdere rechtszaken tegen AP-boetes terwijl daar wel al een besluit over is gepubliceerd. Bedrijven kunnen echter ook aan de rechter vragen het besluit in zijn geheel of tijdelijk niet te openbaren. In sommige gevallen loopt er een rechtszaak, zonder dat het publiek weet dat er eerder een boete is uitgedeeld. Een tussenweg is dat het boetebesluit wel wordt geopenbaard, maar dan wel geanonimiseerd. Een van de eerste AVG-boetes in Nederland kwam voor rekening van een bedrijf dat vingerafdrukscanners gebruikte voor het in- en uitklokken van werknemers. Het is nog steeds niet bekend welk bedrijf dat is.
Veel bedrijven vechten boetes aan in de rechtszaal, waardoor ze onzichtbaar blijven
Daarnaast speelt mee dat sommige boetes na het uitdelen weer worden afgezwakt door de rechter. In Nederland gebeurde dat regelmatig. Onder andere de eerste AP-boete ooit, voor het HagaZiekenhuis, werd in 2021 door de rechter verlaagd. Ook een boete voor de politie uit 2022 bleek te hoog en de boetes voor de gemeente Enschede en DPG Media werden vernietigd omdat de AP te streng oordeelde. Zulke bezwaartrajecten kunnen jaren duren, waardoor het beeld dat ontstaat in openbare databases mogelijk vertekend is.
Desondanks lijken openbare databases zoals de Enforcement Tracker vrij structureel boetes uit alle landen zo'n dertig procent te laag in te schatten. Daaruit valt ongeveer af te leiden hoe de Nederlandse privacytoezichthouder zich qua boetes verhoudt tot andere landen.
Uit die cijfers blijkt bijvoorbeeld dat Spanje met kop en schouders boven andere toezichthouders uitsteekt in het aantal boetes: dat zijn er maar liefst 899. Dat steekt schril af tegen de 28 Nederlandse boetes in de Enforcement Tracker-database en al helemaal tegen de 6 boetes die Estland daar heeft geregistreerd. Maar het is ook meer dan twee keer zoveel boetes als Italië, dat er 389 uitdeelde en daarmee de op een na actiefste toezichthouder is. Nederland valt, vergeleken met andere landen, ergens in de middenmoot qua activiteit.
Ook valt Roemenië op, die als toezichthouder relatief het goedkoopst is van alle Europese toezichthouders. Met een budget van iets meer dan 1,1 miljoen euro, 0,06 euro per inwoner per jaar, wist de toezichthouder in de afgelopen zes jaar 193 boetes uit te delen, veel meer dan de meeste andere landen.
Weinig boetes, maar wel hoge
Drie jaar geleden viel op dat de Nederlandse Autoriteit Persoonsgegevens relatief weinig, maar wel opvallend hoge boetes uitdeelde. De AP beboette veel minder vaak een bedrijf of overheid, maar als het dat deed, lagen de boetebedragen altijd gemiddeld veel hoger dan elders in Europa. Daaruit kon je destijds concluderen dat de AP heel gericht op zoek ging naar overtredingen en daar ook hoge boetes voor gaf. Inmiddels is dat beeld veranderd. Nederland deelt in vergelijking met andere landen nog steeds niet veel, maar zeker ook niet weinig boetes uit.
Wel kun je inmiddels de conclusie trekken dat de boetes van de AP afgezet tegen het jaarbudget veel meer kosten dan in vrijwel alle andere Europese landen. De 28 boetes van Nederland tegenover het jaarbudget van 45 miljoen euro komen op 1,6 miljoen euro aan onkosten per boete uit. Die berekening moet je op zichzelf niet al te serieus nemen; het is bijvoorbeeld oneerlijk het totale aantal boetes van zes jaar tegenover het jaarbudget van één jaar te zetten, maar als je dezelfde rekensom doortrekt naar andere landen, kun je wel duidelijk zien dat Nederland veel meer geld per boete 'kost' dan andere landen.
Er zijn veel kanttekeningen bij die conclusie te plaatsen, waardoor je er ook geen eenduidige oorzaak voor kunt aanwijzen. Dat begint bijvoorbeeld al bij het feit dat landen met hogere salarissen, zoals Nederland, vanzelfsprekend een duurdere toezichthouder hebben. Maar het is ook zo dat boetes geen hoofddoel zijn van toezichthouders. Die kunnen zelf bepalen waar ze hun accenten leggen. Voor sommige toezichthouders, zoals de Spaanse, ligt dat klaarblijkelijk meer bij boetes, maar andere toezichthouders kunnen er bijvoorbeeld voor kiezen hun middelen te besteden aan voorlichting of een van de vele andere wettelijke taken die ze vanuit de AVG hebben. Zo moeten toezichthouders ook vergunningen verlenen voor dataoverdrachten, zijn ze aanspreekpunten voor functionarissen voor gegevensbescherming en moeten ze privacyklachten afhandelen.
Tot slot kan het ook zo zijn dat de ene toezichthouder de AVG coulanter interpreteert dan de ander en bijvoorbeeld eerder waarschuwingen of voorwaardelijke boetes geeft. Wat in ieder geval geen rol speelt, is dat boetes voor AVG-overtredingen naar de nationale schatkist gaan. Ze worden niet gebruikt om het budget van toezichthouders aan te vullen.
Hoogste versus laagste
Nederlands laagste boete is nog steeds hoger dan in de meeste landen
Als je gaat kijken naar de hoogste en laagste boetes, dan valt Nederland ook op. Het is ongeveer dezelfde conclusie als Tweakers in 2021 al konden trekken: Nederland geeft relatief hoge boetes. De laagste boete in Nederland ligt op 6000 euro. Er zijn maar twee andere landen die niet lager beboeten dan Nederland: Denemarken en Letland. In sommige landen zoals Slowakije, Tsjechië of Hongarije worden regelmatig boetes van enkele tientallen euro's uitgedeeld, vaak aan individuen. Nederland doet dat niet; de AP richt zich vanwege zijn beperkte capaciteit vooral op grote, symbolische zaken.
Het heeft verder weinig zin om te kijken naar de gemiddelden van boetes in Europa. Het gemiddelde ligt bijvoorbeeld in Ierland miljoenen euro's boven dat van andere Europese landen, maar dat komt bijvoorbeeld omdat het land vorig jaar een boete van 1,2 miljard euro oplegde aan Meta en ook veel hoge boetes heeft opgelegd aan andere bedrijven. Ook het Nederlandse gemiddelde aan boetes is relatief hoog in vergelijking met andere landen, maar dat cijfer wordt grotendeels vertekend door een boete van 290 miljoen euro eerder dit jaar aan Uber.
:strip_exif()/i/2002794784.jpeg?f=imagenormal)
Conclusie
In tegenstelling tot een aantal jaar geleden, is het eind 2024 een stuk moeilijker voor buitenstaanders om te duiden hoe Europese privacytoezichthouders straffen opleggen. Complete, kloppende en actuele data over boetes is steeds moeilijker te vinden omdat zelfs toezichthouders ze niet altijd publiek beschikbaar maken, waardoor ze door derde partijen moeilijk kunnen worden gecategoriseerd. Ook speelt mee dat steeds meer beboete bedrijven een, vaak langdurig, bezwaartraject in gaan en daarom vaak niet openbaar zijn.
Uit data die wel beschikbaar is, komt een beeld naar voren dat heel anders ligt dan in 2021, toen Tweakers voor het laatst keek naar hoe Nederland boetes uitdeelt. Inmiddels blijkt dat de Nederlandse Autoriteit Persoonsgegevens een gemiddeld aantal boetes uitdeelt, al lijken dat er relatief weinig te zijn als je kijkt naar het budget dat de AP jaarlijks ontvangt. Dat budget is het op een na hoogste budget van de hele Europese Unie. Alleen Italië geeft iets meer geld uit aan zijn privacytoezichthouder, maar daar staat wel tegenover dat dat land bijna veertien keer zoveel boetes uitdeelt. Ook per hoofd van de bevolking heeft Nederland nog steeds een dure toezichthouder. Nederland betaalt 2,47 euro per persoon per jaar aan de AP. Slechts een handjevol kleine landen, specifiek Liechtenstein, Luxemburg en IJsland, betalen meer voor hun toezichthouder. Ook Ierland betaalt meer: 5,32 euro per persoon per jaar. Nederland mag dan sterk gedigitaliseerd zijn, maar het budget dat de AP krijgt, ligt nu al hoger dan je in het overgrote deel van Europa ziet.
/i/2004735554.png?f=fpa)
:strip_exif()/i/2004806902.jpeg?f=fpa)
:strip_exif()/i/2004743102.jpeg?f=fpa)
/i/2004673104.png?f=fpa)
:strip_exif()/i/2003623082.jpeg?f=fpa)
/i/2007005678.png?f=fpa)
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
/u/10248/phoenix.png?f=community){kind=small}
:strip_exif()/u/1094057/crop5b492428c0704.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/1878/iconburngot.jpg?f=community){kind=small}
):strip_exif()/u/26152/INV_Misc_Gem_Emerald_01.gif?f=community){kind=small}
/u/173821/crop5942840a66f85_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/312772/crop63d3a8d18ee78_cropped.jpg?f=community){kind=small}
:strip_exif()/u/5722/ocf81_avatar_3.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/60597/crop5e56eb57d66d4_cropped.png?f=community){kind=small}
/u/28680/crop5ece0d3cd66fc.png?f=community){kind=small}
:strip_exif()/u/106005/animated%2520garfield.gif?f=community){kind=small}
/u/216161/crop5daf72732a011.png?f=community){kind=small}
:strip_exif()/u/44074/avatar001.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/174878/SCKnightMicro.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/539153/avatar_2.jpg?f=community){kind=avatar}
/u/159815/crop580f717442e00_cropped.png?f=community){kind=small}