In totaal is in 31 Europese landen voor 272,5 miljoen euro aan boetes opgelegd. Daarbij gaat het om zeer uiteenlopende overtredingen van de Europese wetgeving op het gebied van gegevensbescherming. Het aantal datalekken groeide sinds 28 januari 2020 met negentien procent. Het totale boetebedrag steeg met 39 procent ten opzichte van de voorgaande periode van twintig maanden.

Het advocatenkantoor voert dit onderzoek over geldboetes en datalekken in verband met de AVG jaarlijks uit voor de 27 lidstaten van de Europese Unie plus het Verenigd Koninkrijk, Noorwegen, IJsland en Liechtenstein. Sinds de invoering van de AVG zijn in totaal meer dan 281.000 datalekken in verband met persoonsgegevens gemeld aan toezichthouders. Het Verenigd Koninkrijk eindigt met 30.536 meldingen op plek drie. Frankrijk en Italië, met respectievelijk 67 miljoen en 62 miljoen inwoners, hadden in dezelfde periode slechts 5.389 en 3.460 meldingen van datalekken. Afgewogen per hoofd van de bevolking kende Denemarken de meeste gemelde datalekken met 155,6 per 100.000 inwoners. Ook hier volgde Nederland op een tweede plaats, met 150 meldingen per 100.000 inwoners.

Boetes

In Nederland legde de Autoriteit Persoonsgegevens voor 2,5 miljoen euro aan boetes op. Koploper in de ranglijst is de Italiaanse toezichthouder met in totaal ruim 69,3 miljoen euro aan opgelegde boetes. Ook Duitsland en Frankrijk kennen een hoog totaal boetebedrag met in totaal respectievelijk 69,1 miljoen en 54,4 miljoen euro. Het totale aantal dagelijkse kennisgevingen van datalekken in Europa steeg voor het tweede jaar op rij met dubbele cijfers: 331 meldingen per dag sinds 28 januari 2020 tegen 278 meldingen in het jaar daarvoor, een stijging van negentien procent.

Volgens Richard van Schaik, privacy partner bij DLA Piper, blijkt uit de cijfers dat er culturele verschillen bestaan in hoe de onderzochte landen omgaan met meldingen en boetes. ‘In Nederland bestond er voor de AVG werd ingevoerd al sinds januari 2016 een meldplicht datalekken. Organisaties en bedrijven zijn hier dus al langer gewend om een melding te maken. Ook is van belang hoe de toezichthouder omgaat met meldingen. Bij verreweg de meeste meldingen onderneemt de toezichthouder geen vervolgactie. In Nederland zie je dan ook dat er bij twijfel of er wel of niet gemeld moet worden, dit zekerheidshalve vaak wel gedaan wordt. Dit gebeurt in andere landen minder, wellicht deels ook uit angst voor de strenge toezichthouder.’

Bezwaar

Een uitgedeelde boete kan worden opgelegd omdat een datalek wordt gemeld, maar ook door het niet of niet tijdig melden van een datalek. Er is dus geen direct verband tussen de hoogte van het totale boetebedrag en het aantal gemelde datalekken in een land, aldus DLA Piper. De hoogste AVG-boete tot nu toe bedraagt 50 miljoen euro, door de Franse toezichthouder gegevensbescherming opgelegd aan Google wegens vermeende schending van het transparantiebeginsel en een gebrekkige geldige toestemming van gebruikers. In Nederland werd ‘slechts’ voor 2,5 miljoen euro aan boetes opgelegd.

In een aantal bezwaren tegen een opgelegde boetes werd door de rechter de hoogte van de boete fors verlaagd. Het is voor organisaties dan ook vaak raadzaam om bezwaar aan te tekenen, zegt Van Schaik. ‘De toezichthouder heeft bij de invoering van de AVG een boetebeleid opgesteld, dat in een aantal rechtszaken nu voor het eerst door de rechter wordt getoetst. Een aantal bezwaren is al succesvol geweest, dus het kan absoluut de moeite waard zijn om dit te doen.’

Redactie Advocatenblad

Profile page
Advertentie