Met 66.527 meldingen telt Nederland het op een na hoogste aantal gemelde datalekken in Europa sinds de invoering van de AVG in mei 2018. Dat heeft DLA Piper berekend, aldus een persbericht van het advocatenkantoor. Alleen Duitsland deed meer officiële meldingen van datalekken (77.747).
Sinds de Algemene verordening gegevensbescherming (AVG) van kracht is, zijn er in ruim dertig Europese landen voor 272,5 miljoen euro aan boetes opgelegd voor uiteenlopende overtredingen op het vlak van gegevensbescherming, meldt DLA Piper. Het aantal lekken steeg sinds 28 januari 2020 met 19%; het totale boetebedrag zelfs met 39% vergeleken met de voorgaande twintig maanden.
Dit alles is becijferd voor een jaarlijks rapport over geldboetes en datalekken in verband met de AVG voor de 27 lidstaten van de Europese Unie, plus het Verenigd Koninkrijk, Noorwegen, IJsland en Liechtenstein. Een kanttekening is wel dat sommige lidstaten niet alle meldingen openbaar maken; hier en daar komt het aan op schattingen en naar boven afronden.
In totaal zijn er in deze landen sinds de invoering van de AVG meer dan 281.000 datalekken in verband met persoonsgegevens gemeld aan toezichthouders. Na koplopers Duitsland en Nederland volgt het Verenigd Koninkrijk met 30.536 meldingen. Opvallend is dat Frankrijk en Italië, met respectievelijk 67 miljoen en 62 miljoen inwoners, in dezelfde periode slechts 5.389 en 3.460 meldingen van datalekken tellen.
Afgewogen per hoofd van de bevolking kende Denemarken de meeste gemelde datalekken met 155,6 per 100.000 inwoners. Ook zo bezien komt Nederland een tweede plaats toe, met 150 meldingen per 100.000 inwoners.
Cultuurverschillen
In Nederland legde de Autoriteit Persoonsgegevens voor 2,5 miljoen euro aan boetes op. Dat is slechts een fractie vergeleken met de koploper in deze ranglijst; de Italiaanse toezichthouder legde ondanks het veel kleinere aantal meldingen bijna 70 miljoen euro’s aan boetes op. De totale boetebedragen in Duitsland en Frankrijk zijn respectievelijk 69,1 miljoen en 54,4 miljoen euro.
Het totale aantal dagelijkse kennisgevingen van datalekken in Europa steeg voor het tweede jaar op rij met dubbele cijfers: 331 meldingen per dag sinds 28 januari 2020 tegen 278 meldingen in het jaar daarvoor, een stijging van 19%.
Volgens Richard van Schaik, partner privacyrecht bij DLA Piper in Amsterdam, komen uit deze cijferregen sterk culturele verschillen naar voren over hoe de onderzochte landen omgaan met meldingen en boetes. “In Nederland bestond er voor de AVG al sinds januari 2016 een meldplicht datalekken,” zegt hij. “Organisaties en bedrijven zijn hier dus al langer gewend om een melding te maken. Ook is van belang hoe de toezichthouder omgaat met meldingen. Bij verreweg de meeste meldingen onderneemt de toezichthouder geen vervolgactie. In Nederland zie je dan ook dat er bij twijfel of er wel of niet gemeld moet worden, dit zekerheidshalve vaak wel gedaan wordt. Dit gebeurt in andere landen minder, wellicht deels ook uit angst voor de strenge toezichthouder.”
Nederland kent nog mild boetebeleid
Het tot nu toe in Nederland totaal aan boetebedragen is kortom vrij laag. Van Schaik: “Een aantal buitenlandse toezichthouders is strenger en deelt hogere boetes uit. De AP heeft jaren geleden in Nederland ook hoge boetes aangekondigd, maar vooralsnog valt dit mee. Wel zien we dat de toezichthouder actiever is geworden en dat naar verwachting zal blijven. Ik denk dat organisaties na de invoering van de AVG eerst de tijd kregen om te voldoen aan de nieuwe regelgeving en dat er nu ook daadwerkelijk wordt opgetreden. Er zijn ook geen excuses meer voor organisaties en bedrijven om niet te voldoen.”
Volgens DLA Piper is er geen direct verband tussen de hoogte van het totale boetebedrag en het aantal gemelde datalekken in een land. Er kan immers net zo goed een boete worden uitgedeeld voor het niet – of niet tijdig melden – van een datalek. De hoogste AVG-boete tot nu toe bedraagt 50 miljoen euro, en is opgelegd aan Google door de Franse toezichthouder gegevensbescherming, wegens vermeende schending van het transparantiebeginsel en een gebrekkige geldige toestemming van gebruikers.
In een aantal bezwaren tegen een opgelegde boete heeft de rechter de hoogte van zo’n boete alsnog verlaagd. Volgens Van Schaik is het voor organisaties daarom raadzaam om bezwaar aan te tekenen. “De toezichthouder heeft bij de invoering van de AVG een boetebeleid opgesteld, dat in een aantal rechtszaken nu voor het eerst door de rechter wordt getoetst. Een aantal bezwaren is al succesvol geweest, dus het kan absoluut de moeite waard zijn om dit te doen.”