Nederlandse AVG-boetes zijn hoog

De Autoriteit Persoonsgegevens heeft in de afgelopen drie jaar relatief weinig AVG-boetes uitgedeeld, maar die boetes vallen over het algemeen veel hoger uit dan in andere Europese landen. De laagste boete van de AP is hoger dan de hoogste boete van zestien andere EU-landen.

Tweakers bekeek de cijfers van 26 Europese landen waar de Algemene Verordening Gegevensbescherming van kracht is. Daaruit blijkt dat de Autoriteit Persoonsgegevens gemiddeld erg hoge boetes uitdeelt aan vooral bedrijven. De AP valt in de middenmoot als het gaat om de hoeveelheid uitgedeelde boetes. Daarin zit veel verschil tussen landen.

De AVG, in Europees verband de General Data Protection Regulation of GDPR, is van kracht sinds 2016. Sinds 25 mei 2018 wordt de wet gehandhaafd door toezichthouders, en dat betekent dat er boetes kunnen worden uitgedeeld voor overtredingen. Een bedrijf kan de AVG op meerdere manieren overtreden, bijvoorbeeld door geen geldige reden te hebben om gegevens in de eerste plaats te verzamelen, maar ook omdat het zich bijvoorbeeld niet aan de bewaartermijn houdt of omdat het toezichthouders te laat informeert over een datalek.

Data

Tweakers bekeek de boetes die zijn uitgedeeld in de verschillende EU-landen waar de AVG van toepassing is. Daarvoor maakten we gebruik van verschillende databronnen, maar wel met de kanttekening dat de gegevens daardoor mogelijk niet helemaal volledig zijn. Er is namelijk geen centrale database van AVG-boetes, ook niet van de European Data Protection Board, het samenwerkingsverband van toezichthouders. Dat verwijst naar de individuele toezichthouders, maar ook die hebben vaak geen open data beschikbaar en verwijzen naar lijsten met publicaties waar ook bijvoorbeeld persberichten tussen staan. Wel zijn er verschillende onafhankelijke websites die de boetes bijhouden, bijvoorbeeld de Enforcement Tracker of het Vlaamse DailyBits. Die laatste maakt gebruik van rss-feeds van verschillende toezichthouders, maar dat levert een incompleet overzicht op. Zo staan bijvoorbeeld de meest recente Nederlandse boetes, voor de PVV Overijssel en LocateFamily.com, niet in die overzichten. Mogelijk zijn er dus ook in andere landen boetes niet meegenomen die wel zijn uitgedeeld.

Sommige boetes worden niet openbaar gemaaktSommige boetes die wel zijn uitgedeeld, zijn bovendien niet openbaar. Zo heeft de Autoriteit Persoonsgegevens drie boetes opgelegd die niet openbaar zijn. Dat kan bijvoorbeeld zijn omdat de ontvanger via de rechter anonimiteit heeft afgedwongen. Ook in andere landen zijn boetes mogelijk niet openbaar gemaakt. In Nederland gebeurde dat tot nu toe drie keer.

Tot slot hanteren toezichthouders verschillende begrippen van boetes, waarschuwingen, en lasten onder dwangsom. In Nederland stelt de Autoriteit Persoonsgegevens zelf bijvoorbeeld dat het in november 2018 een AVG-boete heeft gegeven aan Uber, maar technisch gezien was dat geen AVG-overtreding. Die vond namelijk plaats in 2016 toen de AVG in Nederland nog de Wet bescherming persoonsgegevens was. De websites die boetes bijhouden nemen daarnaast vaak twee andere zaken mee dan boetes: lasten onder dwangsom, en schadevergoedingen. In Nederland is één last onder dwangsom van 50.000 euro geïnd bij verzekeraar Menzis. Er zijn nog nooit schadevergoedingen opgelegd door de Nederlandse privacytoezichthouder.

In dit overzicht hebben we alleen boetes meegenomen die openbaar zijn en waarvan het bedrag en de overtreding dus bekend is gemaakt.

Eerste boetes

De Autoriteit Persoonsgegevens deelde in juni 2019 de eerste Nederlandse AVG-boete uit. Het ging om een boete van 460.000 euro voor het Haagse HagaZiekenhuis. Medewerkers konden daar makkelijk in patiëntendossiers kijken en deden dat ook. De boete kwam op een moment dat veel andere landen ook begonnen met het uitdelen van hun eerste AVG-boetes. Een handvol landen begon daar medio en eind 2018 al mee, maar de meeste deden dat halverwege 2019. Daar is Nederland dus heel gemiddeld in.

Dat is in lijn met wat de privacytoezichthouder daar eerder zelf over zei. Voorzitter Aleid Wolfsen zei vorig jaar in een interview met Tweakers dat het eerste jaar van de wet bewust was bedoeld om 'het accent te leggen op informatievoorziening, voorlichting en bijsturen'. "Het tweede jaar jaar hebben we meer invulling gegeven aan de handhaving", zei Wolfsen.

Aantal boetes

Nederland heeft relatief weinig boetes uitgedeeld in vergelijking met andere landen, maar er zit veel verschil in de cijfers. Tot nu toe deelde de AP twaalf boetes uit. Drie daarvan zijn niet openbaar. Daarvan is dus niet bekend aan wie ze zijn uitgedeeld, en hoe hoog die zijn. Opvallend is wel dat de laatste vier boetes van de AP kort op elkaar volgden en recent zijn uitgedeeld. Booking.com, de gemeente Enschede, de PVV Overijssel en sinds vandaag LocateFamily.com kregen hun boetes in de afgelopen anderhalve maand.

Met name door die laatste vier besluiten komt het aantal Nederlandse AVG-boetes iets bovengemiddeld uit als je kijkt naar het totale aantal Europese boetes. Veertien landen deelden méér boetes uit, dertien juist minder. Daarbij valt op dat veel van die laatste landen vooral kleine landen zijn. De drie Baltische staten, Slowakije, IJsland en Malta zitten daartussen. Ook opvallend is ook dat in Groot-Brittannië nog maar vier boetes zijn uitgedeeld, maar daar zit dan wel een boete bij van 22 miljoen euro, gelijk een van de hoogste in Europa tot nu toe.

Er zit erg veel verschil in hoeveel boetes Europese landen uitdelen. Een aantal kleine landen zoals Malta heeft maar een enkele of een handvol boetes uitgedeeld, in veel gevallen minder dan tien. Maar grotere landen delen tientallen boetes uit. België gaf er al 25, Duitsland 30 en Italië 72. Spanje spant de absolute kroon met 221 verschillende boetes, waarvan de hoogste meer dan acht miljoen euro bedroeg.

Hoogte van boetes

Waar Nederland echt met kop en schouders boven de rest uitsteekt, is met de hoogte van boetes. Tot afgelopen dinsdag waren die stuk voor stuk opvallend hoog. Dinsdag kreeg de PVV Overijssel een boete van 7500 euro. Vóór die boete lag de laagste Nederlandse boete op 440.000 euro voor het OLGV-ziekenhuis in Amsterdam. Wel verlaagde een rechter een eerdere boete van 460.000 euro voor het HagaZiekenhuis naar 350.000 euro omdat de AP volgens de rechtbank te streng had geoordeeld.

Dat de AP streng kijkt, bevestigen de cijfers. De boetes lopen, op die aan de PVV na, uiteen van 440.000 tot 830.000 euro, en hoewel die laatstgenoemde niet tot de top vijf van hoogste boetes in Europa behoort, lijkt het gemiddelde dat wel te zijn. Zonder de PVV-boete erbij bedroegen de boetes van de AP gemiddeld 572.500 euro. Ook werd een keer een last onder dwangsom geïnd bij een zorgverzekeraar die na een waarschuwing de beveiliging van gegevens niet verbeterde. In België ligt de hoogste boete op 600.000 euro.

Slechts zeven landen deelden hogere boetes uit dan Nederlands hoogste. Dat waren bijzondere uitschieters: Frankrijk gaf bijvoorbeeld een boete van 100 miljoen euro aan Google, en een Duitse toezichthouder deelde 35 miljoen euro boete uit aan H&M.

Maar wat nog veel meer opvalt dan de hoge boetes zijn de lage boetes. Tot dinsdag deed Nederland daar vrijwel niet aan. De Nederlandse privacywaakhond pakte in de afgelopen jaren alleen nog relatief grote bedrijven of instanties aan om vervolgens met één megaboete een signaal af te geven aan andere sectoren. Dat is niet te vergelijken met andere landen. Vrijwel iedere andere nationale toezichthouder heeft wel een of meerdere boetes uitgedeeld aan individuen of aan kleine verenigingen of organisaties, van lage bedragen.

Neem België als voorbeeld. Daar gaf de Gegevensbeschermingsautoriteit vorig jaar in november een boete van 1500 euro aan een particulier stel omdat die beveiligingscamera's aan hun huis hadden gehangen waarmee ze de openbare weg filmden. Daarmee hoopte de toezichthouder 'burgers wakker te schudden'. De GBA wilde er een signaal mee afgeven dat de AVG niet alleen van toepassing is op bedrijven maar ook op individuele burgers.

Andere voorbeelden komen uit Estland, waar de Andmekaitse Inspektsioon een boete van 48 euro gaf aan een individuele politieagent voor het ongeoorloofd bekijken van het dossier van een bekende, of uit Oostenrijk waar een man 150 euro boete kreeg voor het maken van beelden van een vrouw op een toilet. In Hongarije kreeg Google geen boete, maar moest het bedrijf wel 28 euro schadevergoeding betalen na een uitspraak van de Nemzeta Adatvédelmi és Információszabadság Haóság.

In Nederland is dat tot nu toe nog niet gebeurd. De laagste boete was tot gisteren nog steeds hoger dan de hoogste boete in zestien andere Europese landen.

De boete voor de Overijsselse PVV is mogelijk een keerpunt in het boetebeleid van de Autoriteit Persoonsgegevens. Daarmee laat de privacywaakhond zien dat het bereid is ook lagere boetes te geven voor relatief kleine overtredingen, maar of dat de nieuwe koers gaat worden moet nog blijken. Volgende week spreekt Tweakers met AP-voorzitter Aleid Wolfsen over onder andere de boetes die tot nu toe zijn uitgedeeld.

Foto: grandriver / Pe3check / Getty Images.