De nationale toezichthouders uit de verschillende EU-lidstaten hebben afgelopen jaar bijna 1,1 miljard euro aan boetes opgelegd aan bedrijven en organisaties die de Europese privacywetgeving overtraden. Dat is bijna zeven keer zoveel als je dat vergelijkt met de boetes in 2020. Dat het boetebedrag vorig jaar zo hoog uitviel, komt door een tweetal boetes.
Dat blijkt uit onderzoek van advocatenkantoor DLA Piper.
Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet werd in het leven geroepen om de privacy van Europese burgers te beschermen. De verordening beschrijft onder meer wat (bijzondere) persoonsgegevens zijn en op welke grondslagen bedrijven deze data mogen verzamelen.
De privacywet stelt nadrukkelijk dat gebruikers toestemming moeten geven om persoonsgegevens te verzamelen en dat ze recht hebben op inzage, wijziging of verwijdering. Verder moeten organisaties aan een strenge (digitale) beveiliging voldoen alvorens ze persoonsgegevens mogen verwerken en moeten ze aannemelijk maken dat deze ‘inbreuk op onze privacy’ gerechtvaardigd is.
De AVG geeft nationale toezichthouders de mogelijkheid om boetes op te leggen aan bedrijven en organisaties die zich niet aan deze privacyspelregels houden. De hoogte kan oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.
Van die bevoegdheid hebben de nationale toezichthouders afgelopen jaar goed gebruik gemaakt. In totaal legden de privacywaakhonden voor bijna 1,1 miljard euro aan AVG-boetes op. Een gigantisch groot bedrag, maar hij valt eenvoudig te verklaren. Zo waren Amazon en WhatsApp gezamenlijk al goed voor bijna één miljard euro.
In juli 2021 kreeg Amazon van de Luxemburgse toezichthouder CNPD te horen dat het jarenlang de persoonlijke data van klanten en partners heeft verwerkt op een manier die niet is toegestaan volgens de AVG. Daarvoor kreeg het bedrijf een boete van 746 miljoen euro. De online retailer tekende in oktober vorig jaar bezwaar aan tegen de sanctie.
De Ierse Data Protection Commission (DPC) lanceerde in 2018 een onderzoek naar WhatsApp om te kijken of het zich aan de transparantieverplichtingen van de AVG hield. Eind 2020 rondde de toezichthouder het onderzoek af. De conclusie was dat de aanbieder van de chatapplicatie op verschillende manieren de Europese privacywetgeving overtrad. Daarom vond de toezichthouder een boete van 225 miljoen euro op zijn plaats. WhatsApp kondigde direct daarop aan de boete te zullen aanvechten.
Het advocatenkantoor heeft berekend dat er afgelopen jaar dagelijks gemiddeld 356 datalekken zijn gemeld bij de nationale toezichthouders. Dat is een stijging van 8 procent ten opzichte van 2020, toen er dagelijks gemiddeld 331 datalekken aan het licht kwamen. In totaal werd er vorig jaar meer dan 130.000 keer aangifte gedaan van een datalek. De meeste datalekken werden gemeld in Nederland: gemiddeld 150 lekken per 100.000 inwoners. In Griekenland, Tsjechië en Kroatië deden zich de minste lekken voor.
De onderzoekers vrezen dat we komend jaar nog wel eens een stuk meer boetes kunnen verwachten. Dat heeft alles te maken met het Schrems-II arrest. In de zomer van 2020 zette het Hof van Justitie van de Europese Unie een streep door het Privacy Shield. Dit verdrag regelde de uitwisseling van persoonsgegevens en andere data tussen de EU en de VS. Het Hof was van mening dat deze regeling in strijd was met de AVG.
Daarin staat namelijk dat niet-Europese bedrijven en organisaties gelijkwaardige opslag- en beveiligingsmaatregelen treffen als in de EU. Dit wordt ook wel het evenredigheidsbeginsel genoemd. Het hof concludeerde dat het Privacy Shield niet hetzelfde beschermingsniveau buiten de EU garandeerde. Daarmee was het verdrag niet langer rechtsgeldig. Om bedrijven te helpen die hiermee worstelen, stelde de European Data Protection Board (EDPB) op om gegevens uit te wisselen met niet-EU-landen.
De Autoriteit Persoonsgegevens heeft in 2021 in totaal zeven keer een privacyboete opgelegd. In februari kreeg het Onze Lieve Vrouwe Gasthuis (OLVG) een boete van 440.000 euro, omdat het Amsterdamse ziekenhuis jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen.
In maart kreeg Booking.com een boete van 475.000 euro, omdat het een datalek te laat meldde bij de toezichthouder. Om dezelfde reden moest de PVV Overijssel een bedrag van 7.500 euro betalen. In mei kreeg Locatefamily.com een tik op de vingers, omdat het zonder medeweten toestemming persoonsgegevens van mensen publiceerde. Daar moest het bedrijf een bedrag van 525.000 euro ophoesten.
Afgelopen zomer kreeg TikTok een boete van 750.000 euro opgelegd voor het jarenlang schenden van de privacy van jonge, Nederlandse kinderen. In november was het de beurt aan Transavia. De luchtvaartmaatschappij kreeg toen te horen dat ze 400.000 euro moest betalen, omdat de beveiliging van persoonsgegevens niet op orde was. Tot slot kreeg de Belastingdienst een boete van 2,75 miljoen euro aan zijn broek voor het jarenlang onrechtmatig registreren van de (dubbele) nationaliteitsgegevens van mensen die kinderopvangtoeslag aanvroegen.