Vandaag is het precies drie jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. In die tijd hebben de nationale privacytoezichthouders meer dan 600 bestuurlijke boetes uitgedeeld aan bedrijven en organisaties die de Europese privacywetgeving hebben overtreden. Door het uitdelen van de boetes zijn honderden miljoenen euro’s opgehaald.
Dat blijkt uit cijfers van de GDPR Enforcement Tracker van CMS Law en GDPR Fines Tracker van Privacy Affairs.
AVG-boetes brengen honderden miljoenen euro’s op
Zoals gezegd is het vandaag precies drie jaar geleden dat de AVG in werking trad. De wet is in het leven geroepen om de privacy van Europese burgers te beschermen tegen grote techbedrijven en andere organisaties. De AVG regelt dat alle Europese lidstaten een nationale toezichthouder hebben die kijkt of bedrijven zich aan de spelregels houden en niet excessief data verzamelen zonder nadrukkelijke instemming van gebruikers.
Het succes van de AVG bepalen is lastig. Als we kijken naar het aantal boetes dat de afgelopen drie jaar is opgelegd op basis van de Europese privacywet, dan mogen we concluderen dat de wetgeving geen tijger zonder tanden is. Volgens de GDPR Enforcement Tracker zijn er in totaal 636 boetes uitgedeeld die gezamenlijk ruim 283 miljoen euro hebben opgebracht. De GPDR Fines Tracker van Privacy Affairs komt uit op 661 boetes, met een totaalbedrag van 292 miljoen euro. Welke cijfers je ook hanteert, het aantal AVG-boetes ligt ontzettend hoog.
Dit zijn de hoogste AVG-boetes op een rij
Toezichthouders die constateren dat een bedrijf de AVG-regels overtreedt, mogen een bestuurlijke boete van maximaal 20 miljoen euro opleggen. Of een sanctie die 4 procent van de wereldwijde jaaromzet bedraagt, afhankelijk van welk bedrag hoger is. De hoogste AVG-boete tot op heden komt op naam van de Franse Commission Nationale de l’ Informatique et des Libertés (CNIL). Die legde Google in 2019 een boete van 50 miljoen euro op voor het tekortschieten bij de informatievoorziening over het verwerken en opslaan van gegevens voor gerichte advertenties, en voor het op niet-geldige wijze verkrijgen van toestemming hiervoor. De laagste AVG-boete die tot nu toe is opgelegd, bedraagt 28 euro.
De top vijf van de hoogste AVG-boetes ziet er als volgt uit:
- Google: 50 miljoen euro (Frankrijk)
- H&M online webshop: 35,3 miljoen euro (Duitsland)
- TIM Telecom provider: 27,8 miljoen euro (Italië)
- British Airways: 22 miljoen euro (Verenigd Koninkrijk)
- Marriott Hotel: 20,4 miljoen euro (Verenigd Koninkrijk)
Toezichthouders hebben moeite met handhaving AVG
Op basis van deze cijfers zou je geneigd zijn om te concluderen dat de AVG zijn vruchten afwerpt. Tegelijkertijd horen we regelmatig geluiden dat nationale toezichthouders niet in staat zijn om alle AVG gerelateerde privacyklachten af te handelen. Onze Autoriteit Persoonsgegevens is er daar één van.
AP-bestuursvoorzitter Aleid Wolfsen heeft meer dan eens publiekelijk gezegd dat zijn organisatie met het budget en de huidige bezetting niet in staat is om haar wettelijke taak naar behoren uit te voeren. Op dit moment leidt slechts 0,11 procent van de ruim 25.000 privacyklachten tot een boete. En slechts 0,15 procent van de gemelde datalekmeldingen wordt daadwerkelijk onderzocht. Eerder deze maand pleitte Wolfsen nog voor een ‘structurele financiering’ van 100 miljoen euro per jaar.
Ook de Ierse Data Protection Commission (DPC) heeft moeite om het hoofd boven water te houden. De meeste grote technologiebedrijven die in Europa actief zijn, hebben hun hoofdkantoor gevestigd in Dublin. Denk aan onder meer Apple, Facebook, Google en Twitter. Het éénloketsysteem schrijft voor dat de toezichthouder van het land waar het hoofdkantoor van het bedrijf staat, een onderzoek moet instellen als er een privacyklacht wordt ingediend, ook als de overtreding in een ander EU-land plaatsvindt. Dat betekent dat de Ierse toezichthouder zijn bord vol heeft. De Europese fracties van de PvdA en D66 pleitten er onlangs voor om één overkoepelende Europese privacytoezichthouder in het leven te roepen.
Wolfsen: ‘Privacy en innovatie gaan prima hand-in-hand’
AP-bestuursvoorzitter Wolfsen staat eveneens stil bij het driejarig bestaan van de AVG. Hij schrijft in een blog dat het stimuleren van de data-economie een van de eerste overwegingen van de privacywet was. “Want in Europa omarmen we vooruitgang, zolang de mens maar wel centraal blijft staan. En niet -zoals in de VS of China- het bedrijfsleven of de overheid. Die zijn er beide immers voor de mens.” Het is in zijn woorden ‘een bewuste keuze’ geweest van Brussel om mensen controle te geven over technologische toepassingen met persoonsgegevens door ‘een nieuw en modern grondrecht’ in het leven te roepen.
“Want in Europa willen we niet dat de overheid alles van ons te weten komt”, zo schrijft Wolfsen in zijn blog. “U en ik willen ook niet dat het bedrijfsleven en de techgiganten langzamerhand de macht over ons krijgen. Doordat ze alles van ons weten en daarmee ons gedrag kunnen beïnvloeden. En we willen al helemaal niet dat we vanwege onze persoonsgegevens – zoals ons online zoekgedrag, politieke of seksuele voorkeur, ons opleidingsniveau of culturele afkomst – in een hokje worden geplaatst, zonder dat we dit weten of ons daartegen kunnen verzetten. We zijn tenslotte mensen die niet te vangen zijn in een stapeltje persoonsgegevens.”
Privacy, digitalisering en innovatie gaan volgens de bestuursvoorzitter prima samen. Ons lans is daar een goed voorbeeld van: “Nederland is wereldwijd een van de koplopers als het gaat om ICT en digitalisering”, zegt de AP-topman. Hij ziet dan ook dat bedrijven en organisaties neer tijd en aandacht besteden aan het zorgvuldig verwerken van persoonsgegevens dan vóór de AVG.
Tot slot doet Wolfsen een oproep aan alle organisaties en ontwikkelaars om voor iedere datagedreven oplossing gegevensbescherming als voorwaardelijke eis mee te nemen. “En daar gedurende het hele proces kritisch op te blijven. Als rode draad in uw ontwikkeltraject. Want als u een oplossing bedenkt voor de mens, wilt u daarmee geen nieuw probleem creëren door grondrechten te schenden.”
