Nederland tweede van Europa in aantal gemelde datalekken sinds invoering AVG
Totale boetebedrag in Europa afgelopen jaar met 39 procent gestegen
22 januari 2021 -
Nederland staat met 66.527 incidenten op de tweede plek met het hoogst aantal gemelde datalekken in Europa sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018. Alleen Duitsland deed meer officiële meldingen van datalekken (77.747).
In totaal is in 31 Europese landen voor 272,5 miljoen euro aan boetes opgelegd voor zeer uiteenlopende overtredingen van de strenge Europese wetgeving op het gebied van gegevensbescherming. Daarnaast groeide het aantal datalekken sinds 28 januari 2020 met NEGENTIEN procent en het totale boetebedrag zelfs met 39 procent ten opzichte van de voorgaande periode van twintig maanden.
Dit becijferde internationaal advocatenkantoor DLA Piper in het jaarlijkse rapport over geldboetes en datalekken in verband met de AVG voor de 27 lidstaten van de Europese Unie plus het Verenigd Koninkrijk, Noorwegen, IJsland en Liechtenstein.
Groot aantal meldingen datalekken in Nederland, opgelegd boetebedrag nog laag
Sinds de invoering van de AVG op 25 mei 2018 zijn in totaal meer dan 281.000 datalekken in verband met persoonsgegevens gemeld aan toezichthouders. Het meeste in Duitsland (77.747), gevolgd door Nederland (66.527) en het Verenigd Koninkrijk (30.536). Frankrijk en Italië, met respectievelijk 67 miljoen en 62 miljoen inwoners, hadden in dezelfde periode slechts 5.389 en 3.460 meldingen van datalekken. Afgewogen per hoofd van de bevolking, kende Denemarken de meeste gemelde datalekken met 155,6 per 100.000 inwoners. Ook hier volgde Nederland op een tweede plaats, met 150 meldingen per 100.000 inwoners.
In Nederland legde de Autoriteit Persoonsgegevens voor 2,5 miljoen euro aan boetes op. Koploper in de ranglijst is de Italiaanse toezichthouder met in totaal ruim EUR 69,3 miljoen euro aan opgelegde boetes sinds de toepassing van de AVG. Ook Duitsland en Frankrijk kennen een hoog totaal boetebedrag met in totaal respectievelijk 69,1 miljoen en 54,4 miljoen euro. Het totale aantal dagelijkse kennisgevingen van datalekken in Europa steeg voor het tweede jaar op rij met dubbele cijfers: 331 meldingen per dag sinds 28 januari 2020 tegen 278 meldingen in het jaar daarvoor, een stijging van negentien procent.
Volgens Richard van Schaik, Privacy partner bij DLA Piper, blijkt uit de cijfers dat er culturele verschillen bestaan in hoe de onderzochte landen omgaan met meldingen en boetes: "In Nederland bestond er voor de AVG werd ingevoerd al sinds januari 2016 een meldplicht datalekken. Organisaties en bedrijven zijn hier dus al langer gewend om een melding te maken. Ook is van belang hoe de toezichthouder omgaat met meldingen. Bij verreweg de meeste meldingen onderneemt de toezichthouder geen vervolgactie. In Nederland zie je dan ook dat er bij twijfel of er wel of niet gemeld moet worden, dit zekerheidshalve vaak wel gedaan wordt. Dit gebeurt in andere landen minder, wellicht deels ook uit angst voor de strenge toezichthouder."
Relatief mild boetebeleid in Nederland
Een uitgedeelde boete kan worden opgelegd omdat een datalek wordt gemeld, maar net zo goed door het niet of niet tijdig melden van een datalek. Er is dus geen direct verband tussen de hoogte van het totale boetebedrag en het aantal gemelde datalekken in een land. De hoogste AVG-boete tot nu toe bedraagt 50 miljoen euro, door de Franse toezichthouder gegevensbescherming opgelegd aan Google wegens vermeende schending van het transparantiebeginsel en een gebrekkige geldige toestemming van gebruikers. In Nederland werd ‘slechts’ voor 2,5 miljoen euro aan boetes opgelegd. Er is dan ook een verschil in striktheid onder de toezichthouders in Europese landen. Van Schaik: "Een aantal buitenlandse toezichthouders is strenger en deelt ook hogere boetes uit. De AP heeft jaren geleden in Nederland ook hoge boetes aangekondigd, maar vooralsnog valt dit mee. Wel zien we dat de toezichthouder actiever is geworden en dat naar verwachting zal blijven. Ik denk dat organisaties na de invoering van de AVG eerst de tijd kregen om te voldoen aan de nieuwe regelgeving en dat er nu ook daadwerkelijk wordt opgetreden. Er zijn ook geen excuses meer voor organisaties en bedrijven om niet te voldoen."
In een aantal bezwaren tegen een opgelegde boetes werd door de rechter de hoogte van de boete fors verlaagd. Het is voor organisaties dan ook vaak raadzaam om bezwaar aan te tekenen, volgens Van Schaik. "De toezichthouder heeft bij de invoering van de AVG een boetebeleid opgesteld, dat in een aantal rechtszaken nu voor het eerst door de rechter wordt getoetst. Een aantal bezwaren is al succesvol geweest, dus het kan absoluut de moeite waard zijn om dit te doen."
NB: Niet alle lidstaten van de Europese Economische Ruimte maken de gegevens over de meldingen van datalekken openbaar. Enkele landen verschaffen onvolledige statistische gegevens of gegevens voor slechts een deel van de periode waarop dit verslag betrekking heeft; daarom zijn cijfers naar boven afgerond en in sommige gevallen geëxtrapoleerd om de beste benadering te kunnen maken. Evenzo worden niet alle AVG-boetes openbaar gemaakt en hebben sommige gegevens slechts betrekking op een deel van de verslagperiode.