Europese privacywaakhonden zijn niet langer tandeloos. Afgelopen jaar is het aantal boetes dat de toezichthouders oplegden met maar liefst 120% gegroeid, blijkt uit een analyse van advocatenkantoor CMS. Het boetebedrag liep tussen maart vorig jaar en maart dit jaar zelfs op tot bijna €267 mln.

De Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP) speelt binnen Europa een eigenzinnige rol, stelt CMS-advocaat Erik Jonkman. 'Het aantal Nederlandse boetes is niet groot en er zijn ook nog geen boetes geweest van een miljoen of hoger, terwijl de wet die optie wel biedt', vertelt hij.

Anderzijds is de Nederlandse privacywaakhond volgens Jonkman origineel bij de keuze welke organisaties en welke overtredingen worden aangepakt. 'Ze ontzien niemand. Wellicht een manier om met een beperkte capaciteit toch veel lawaai te maken.'

Beperkte verbetering

De Algemene verordening gegevensbescherming (AVG, ook bekend onder de Engelse afkorting GDPR) bevat regels óf en zo ja hóé persoonsgegevens verwerkt mogen worden, maar stelt ook eisen aan de beveiliging van die gegevens. De privacywet trad drie jaar geleden in werking en heeft effect: bedrijven zijn tegenwoordig veel meer met privacy bezig en veel organisaties hebben verbeteringen geboekt in hun privacybeleid.

BitSight, dat bedrijven daarvoor een rating geeft, merkt dat de cyberveiligheid bij Europese ondernemingen gestaag verbeterd is. In Noord-Amerika en Australië was die trend niet zichtbaar.

Niettemin zijn er nog altijd veel problemen. 'We merken dat 38% van de boetes wordt opgelegd vanwege het ontbreken van een geldige juridische basis om überhaupt persoonsgegevens te mogen gebruiken voor een bepaald doel. Dat vind ik schokkend. Het laat zien dat er nog te veel onduidelijk is over wat wel en niet mag', zegt Jonkman.

Meeste boetes in Spanje

Het rapport van CMS toont grote verschillen in de manier waarop landen de privacywet handhaven. Zo legt de Spaanse toezichthouder AEPD juist veel boetes op. Ongeveer een derde van de 287 boetes die afgelopen jaar in de Europese Unie werden uitgedeeld, kwam uit Spanje. Vaak gaat het om kleine bedragen, maar de toezichthouder deelde ook grotere boetes uit. Zo kreeg de Spaanse Caixabank begin dit jaar een boete van €6 mln voor het verwerken van persoonsgegevens zonder de juiste grondslag.

Duitsland en het Verenigd Koninkrijk mikken op grote bedrijven en durven daarbij stevige boetes op te leggen. Zo gaf de Duitse toezichthouder modebedrijf H&M begin dit jaar nog een boete van ruim €35 mln voor het bijhouden van privégegevens van medewerkers, zoals ziekte. In het VK kreeg British Airways een boete van €22 mln voor onvoldoende beveiliging van gegevens.

Tonnenwerk

Dat de Nederlandse AP de afgelopen jaren nog geen enkele miljoenenboete heeft opgelegd, verbaast Jonkman wel. 'Het blijft hier toch tonnenwerk, terwijl het niet zo is dat Nederland geen grotere bedrijven heeft die voor AP-onderzoeken in aanmerking zouden komen. Ook heb ik niet het idee dat Nederlandse bedrijven hun zaakjes beter voor elkaar hebben dan in bijvoorbeeld Duitsland, waar steviger wordt gehandhaafd.'

De AP reageert volgens Jonkman sterk op wat er in de media gebeurt. Tegenover technologiesite Tweakers zei voorzitter Aleid Wolfsen met andere toezichthouders te praten over de handhaving. Bovendien is de AP betrokken bij onderzoeken in andere landen en probeert die met beperkte capaciteit zo effectief mogelijk te zijn. Soms lukt dat het beste met boetes, maar vooral bij kleinere zaken kan een berisping volgens de AP ook helpen. Daarnaast probeert de toezichthouder met voorlichting de wet voor het voetlicht te brengen.

'Budget moet omhoog'

Budgetten voor toezichthouders verschillen onderling sterk. Dat leidt ook tot verschillen in de bezetting. Zo moet Oostenrijk het doen met veertig medewerkers, terwijl het landelijke bureau in Duitsland 220 medewerkers telt en er ook nog eens zestien regionale toezichthouders zijn.

In Nederland heeft de AP, die ook toezicht moet houden op de vele hoofdkantoren van de multinationals die Nederland telt, 184 fte. Dat is aanzienlijk minder dan andere toezichthouders in Nederland. De Autoriteit Consument en Markt (ACM) beschikt over 600 fte en de Autoriteit Financiële Markten (AFM) over 641 fte.

De AP zou graag zien dat het budget omhooggaat, maar vindt tot nu toe geen gehoor. Afgelopen week nog pleitte de waakhond bij informateur Mariëtte Hamer voor een groei van het budget van de huidige €25 mln naar €100 mln.