De Autoriteit Persoonsgegevens heeft het zwaar. De privacywaakhond klaagt al jaren steen en been over het budget dat het jaarlijks krijgt. Dat is bij lange na niet genoeg om de toenemende stroom aan privacyklachten en -meldingen in behandeling te nemen. De Nederlandse toezichthouder staat daarin niet alleen. In het merendeel van Europese landen klagen nationale toezichthouders dat hun budget te laag is om effectief op te kunnen treden als beschermer en handhaver van privacyrechten. Hoe staat het dan met die budgetten? Tweakers dook de cijfers in.
Die cijfers zijn afkomstig uit een rapport van de European Data Protection Board, het samenwerkingsverband van de 29 Europese toezichthouders. De Nederlandse AP-voorzitter Aleid Wolfsen is tevens vicevoorzitter van de EDPB. De overkoepelende organisatie deelde de cijfers eerder dit jaar na een vraag vanuit het Europees Parlement. Ook hebben we jaarverslagen van toezichthouders gelezen. Daaruit ontstaat een beeld van toezichthouders die in bijna alle landen van de Europese Economische Ruimte vragen om meer geld omdat ze niet genoeg mensen en middelen hebben voor goed toezicht op de AVG. Het rapport onderschrijft dat; bij navraag van de EDPB gaven slechts vijf toezichthouders aan genoeg budget te krijgen. Dat waren bovendien kleine toezichthouders: die van Oostenrijk, Cyprus, Hongarije, Liechtenstein, en Luxemburg. Opvallend is dat die laatste drie in 2021 veel minder budget ontvingen dan een jaar daarvoor.
Onder de Europese privacywetgeving moet er in ieder land een officiële, nationale toezichthouder zijn die klachten, meldingen en vragen in behandeling neemt, en die sancties mag opleggen aan bedrijven of overheden die de wet overtreden. Er zitten veel verschillen in hoe die toezichthouders te werk gaan en wat hun wapenfeiten zijn; Tweakers zag eerder al dat Nederland relatief weinig, maar wel hoge boetes oplegde voor overtredingen. Er lijkt ook geen direct verband te zijn tussen het budget, het aantal werknemers en het aantal boetes die Europese toezichthouders opleggen. Belangrijk om te melden is dat de boetebedragen in de meeste Europese landen direct naar de schatkist gaan. Ze worden niet op de balans van de toezichthouder gezet, want dat zou kunnen zorgen voor een perverse prikkel om meer of hogere boetes uit te delen.
De cijfers
Voor dit artikel zijn we in de meeste gevallen uitgegaan van de cijfers in het EPDB-rapport. Die wijken soms af van wat landelijke toezichthouders zelf zeggen. Neem Nederland als voorbeeld: het rapport stelt dat de Autoriteit Persoonsgegevens in 2020 175 fte in dienst had, maar de AP heeft het zelf over 179. Ook het aantal datalekmeldingen verschilt: dat ligt in het rapport iets hoger dan wat de AP zelf zegt, maar de afwijking is minimaal.
Duitsland is een vreemde eend in de bijt, omdat het land naast een federale toezichthouder ook achttien regionale toezichthouders heeft. Iedere staat heeft zijn eigen toezichthouder. In het EPDB-rapport zijn de cijfers van die toezichthouders samengevoegd.
In sommige gevallen zijn de budgetten van toezichthouders omgerekend naar het inwonersaantal van een land. Die cijfers zijn afkomstig van Worldometers, een samenwerkingsverband van wetenschappers en vrijwilligers dat verschillende databronnen gebruikt.
Budgetten
Een paar dingen vallen direct op aan de cijfers. De Nederlandse autoriteit krijgt opvallend veel budget: 26,3 miljoen euro in 2021, waarbij alleen de toezichthouder van Italië met 35,6 miljoen euro als individueel land nog meer krijgt. Duitsland spant binnen Europa echter de kroon. Niet alleen hebben de achttien toezichthouders gezamenlijk een budget van 94,8 miljoen euro, ze hebben met 1083 fte's ook meer dan zes keer zo veel fte als Nederland. De Belgische Gegevensbeschermingsautoriteit heeft met 9 miljoen euro minder budget, maar de GBA moet het ook doen met slechts 67 fte.
Aantal werknemers
De AP heeft grootse plannen voor uitbreiding. De organisatie wil zijn budget verviervoudigd zien en wat fte betreft zou een toename van 184 in 2021 naar 470 in 2025 nodig zijn. De toezichthouder is nu al een van de grootste van Europa. Naast de Duitse lokale toezichthouders hebben alleen Polen, Frankrijk en Spanje een grotere nationale toezichthouder. België zit met 67 fte ergens in de middenmoot. Opvallend is vooral dat Nederland ongeveer net zoveel fte in dienst heeft als de Ierse toezichthouder. Die Data Protection Commission heeft de ondankbare taak om de meeste onderzoeken te doen naar grote techbedrijven, omdat die veelal in Ierland zijn gevestigd. Juist daar heeft de toezichthouder een beperkte slagkracht.
Kosten per inwoner
De Autoriteit Persoonsgegevens kost de Nederlandse belastingbetaler relatief veel. Omgerekend naar hoofd van de bevolking is de Nederlandse toezichthouder duur. Een Nederlander betaalt op jaarbasis zo'n 1,53 euro voor de privacywaakhond, terwijl dat in de meeste EU-landen minder is. Alleen in Liechtenstein, Luxemburg, IJsland en Ierland betalen burgers meer per jaar. Vooral Liechtenstein valt op; daar betalen inwoners gemiddeld bijna 30 euro per jaar voor de Datenschutzstelle. Roemenië is het goedkoopst; de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal kost burgers daar een stuiver per jaar. België valt in het midden. De Gegevensbeschermingsautoriteit kost een Belg 77 eurocent per jaar.
Kosten per werknemer
De AP is eveneens duur als je het budget omrekent naar het aantal fte. Toegegeven, de Nederlandse toezichthouder heeft net zoveel fte als de Ierse en slechts vier andere Europese toezichthouders hebben er meer, maar per fte krijgt de AP relatief veel geld. Voor de 175 fte's krijgt de AP in 2021 26 miljoen euro, wat neerkomt op 150.140 euro per fte. Alleen Liechtenstein en Italië betalen met respectievelijk 163.285 en 267.874 euro méér per fte. Ook België scoort daar trouwens hoog; het komt met 134.361 per fte na Nederland op de lijst.
Dat wil uiteraard niet meteen zeggen dat Nederlandse ambtenaren hogere salarissen krijgen, en het resultaat zegt ook weinig over de effectiviteit van de toezichthouder. Een verklaring kan bijvoorbeeld zijn dat de Nederlandse toezichthouder buitengewoon veel klachten moet afhandelen, meer dan de meeste landen. Ook gaat uiteraard niet honderd procent van het budget naar werknemers, al gaat het wel om een significant deel. Van de 21 miljoen euro die de Nederlandse AP in 2020 ging een kleine 17 miljoen op aan personeelskosten. Het grootste deel van de rest ging naar ict en andere materiële kosten, blijkt uit het jaarverslag.
Meer of minder budget
Bij navraag door de EDPB zeggen bijna alle toezichthouders hetzelfde als de Autoriteit Persoonsgegevens: ze krijgen te weinig geld. Slechts vijf landen zeggen genoeg te krijgen. De drukte bij de toezichthouders schemert al een klein beetje door als we contact opnemen. Vooral kleine toezichthouders zoals die in Estland of Finland hebben geen persvoorlichting, dus moeten we het algemene e-mailadres benaderen voor vragen. De autoreply is ontmoedigend; het kan 60 dagen duren voor er iemand contact opneemt.
Toch lijken de cijfers niet in alle gevallen een toegenomen drukte te ondersteunen. Het aantal klachten en meldingen stijgt bij veel toezichthouders, maar als je kijkt naar het aantal meldingen van een datalek, dan meldt bijna de helft van de toezichthouders een daling van 2020 ten opzichte van 2019. Data over 2021 is op dit moment nog incompleet. Daar zit wel een kanttekening bij, want verschillende toezichthouders gebruiken verschillende methodes om hun werklast aan te geven. Meldingen, vragen en klachten van burgers worden soms apart geregistreerd, maar soms ook als één geheel. Bovendien nemen sommige toezichthouders de vragen van 'fg's', of functionarissen gegevensbescherming, apart mee in berekeningen. Waar in ieder geval wel een eenduidig beeld is, is het aantal meldingen van datalekken. Te zien is hoe dat aantal in een derde van de landen juist daalt in plaats van stijgt.
| Land | Datalekmeldingen in 2019 | Datalekmeldingen in 2020 | Verschil |
| België | 877 | 1.097 | 25.09% |
| Bulgarije | 65 | 60 | -7.69% |
| Cyprus | 63 | 87 | 38.10% |
| Denemarken | 7.408 | 9.118 | 23.08% |
| Duitsland | 30.938 | 27.652 | -10.62% |
| Estland | 115 | 138 | 20.00% |
| Finland | 3.836 | 4.267 | 11.24% |
| Frankrijk | 29 | 12 | -58.62% |
| Griekenland | 132 | 131 | -0.76% |
| Hongarije | 781 | 871 | 11.52% |
| Ierland | 6.257 | 6.628 | 5.93% |
| Ijsland | 272 | 217 | -20.22% |
| Italië | 1.443 | 1.387 | -3.88% |
| Kroatië | 106 | 106 | 0.00% |
| Letland | 107 | 113 | 5.61% |
| Liechtenstein | 16 | 20 | 25.00% |
| Litouwen | 175 | 181 | 3.43% |
| Luxemburg | 379 | 379 | 0.00% |
| Malta | 126 | 95 | -24.60% |
| Nederland | 27.095 | 24.055 | -11.22% |
| Oostenrijk | 923 | 860 | -6.83% |
| Polen | 6.039 | 7.507 | 24.31% |
| Roemenië | 229 | 184 | -19.65% |
| Spanje | 79 | 81 | 2.53% |
| Tsjechië | 416 | 292 | -29.81% |
| Zweden | 6 | 3 | -50.00% |
De toezichthouders mogen dan wel tegen de EDPB zeggen dat ze te weinig geld krijgen, in lang niet alle jaarverslagen is dat terug te lezen. De Autoriteit Persoonsgegevens is bijvoorbeeld vocaal, net zoals de Hongaarse autoriteit, die toegeeft nog 8467 zaken open te hebben staan, maar veel andere autoriteiten zoals die in Griekenland, Estland, Denemarken of de Franse melden niets over achterstanden in hun jaarverslagen. Ook autoriteiten die wél genoeg budget zeggen te krijgen, zoals Valstybinė duomenų apsaugos inspekcija, schrijven niets over eventuele overbezetting in hun jaarverslag.
Budgetverhogingen
Het is niet alsof nationale overheden helemaal niet luisteren naar hun toezichthouders. De meeste krijgen ieder jaar wel degelijk meer budget. Ook Nederland kreeg van 2020 op 2021 meer geld, al was het bij lange na niet de verhoging waar de AP om vroeg. In extreme gevallen steeg het budget met tientallen procenten, zoals Cyprus en Oostenrijk die respectievelijk 28 en 50 procent meer geld kregen in het afgelopen jaar.
In andere gevallen, waaronder uitgerekend Hongarije waar de toezichthouder klaagt over achterstanden, ging het jaarlijkse budget juist omlaag. Dat gebeurde bij zes toezichthouders. Van hen geeft alleen de Luxemburgse Datenschutzstelle aan dat zijn budget toereikend is.
Conclusie
Het is lastig om harde conclusies te trekken uit de bovenstaande gegevens, in ieder geval waar het gaat om oorzaken en gevolgen. Het is niet mogelijk een causaal verband te leggen tussen de budgetten die Europese privacytoezichthouders krijgen en hun resultaten of effectiviteit. We concludeerden eerder al dat er een groot verschil zit tussen Europese landen als het gaat om het uitdelen van boetes. Sommige landen delen er veel uit, maar met lage bedragen. Anderen, zoals Nederland, doen het tegenovergestelde.
Wel is te zeggen dat Nederland in totaal en per hoofd van de bevolking relatief veel betaalt voor de toezichthouder in vergelijking met veel andere landen, maar de verschillen zijn in ieder geval per inwoner op jaarbasis slechts een paar cent. Bovendien is Nederland een sterk gedigitaliseerd land, waardoor er logischerwijs meer aandacht voor technologie, datamisbruik en privacy is.
Hoewel de meeste privacytoezichthouders tegenover hun overkoepelende samenwerkingsorganisatie zeggen dat ze te weinig geld krijgen om hun werk uit te voeren, is dat in jaarverslagen lang niet altijd terug te lezen. Wel hebben de meeste toezichthouders in de afgelopen jaren meer geld gekregen om hun taken uit te voeren.
:strip_icc():strip_exif()/i/2006852536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005129424.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004805998.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004354720.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003614478.jpeg?f=fpa_thumb)
:strip_exif()/i/2004806902.jpeg?f=fpa)
/i/2004735554.png?f=fpa)
/i/2000900259.png?f=fpa)
:strip_icc():strip_exif()/u/159450/crop677d3609511e3_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/30425/crop5906f20a03bb0_cropped.jpeg?f=community){kind=small}
/u/381607/have%2520a%2520nice%2520day%2520-%2520small.png?f=community){kind=small}
:strip_icc():strip_exif()/u/148671/skyaero_small_tweakers.jpg?f=community){kind=small}