Nieuws 19 januari 2021

Nederland tweede van Europa in aantal gemelde datalekken sinds invoering AVG

Nederland staat met bijna 67 duizend incidenten op de tweede plek met het hoogst aantal gemelde datalekken in Europa sinds de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018. Alleen Duitsland deed meer officiële meldingen van datalekken, bijna 78 duizend.

In totaal is in 31 Europese landen voor 272,5 miljoen euro aan boetes opgelegd voor zeer uiteenlopende overtredingen van de strenge Europese wetgeving op het gebied van gegevensbescherming. Daarnaast groeide het aantal datalekken sinds 28 januari 2020 met 19 procent en het totale boetebedrag zelfs met 39 procent ten opzichte van de voorgaande periode van twintig maanden.

Dit blijkt uit het jaarlijkse onderzoek van advocatenkantoor DLA Piper naar geldboetes en datalekken in verband met de AVG voor de 27 lidstaten van de Europese Unie plus het Verenigd Koninkrijk, Noorwegen, IJsland en Liechtenstein.

Groot aantal meldingen in Nederland

Sinds de invoering van de AVG op 25 mei 2018 zijn in totaal meer dan 281 duizend datalekken in verband met persoonsgegevens gemeld aan toezichthouders. Het meeste in Duitsland (77.747), gevolgd door Nederland (66.527) en het Verenigd Koninkrijk (30.536). Frankrijk en Italië, met respectievelijk 67 miljoen en 62 miljoen inwoners, hadden in dezelfde periode slechts 5.389 en 3.460 meldingen van datalekken.

Afgewogen per hoofd van de bevolking kende Denemarken de meeste gemelde datalekken met 155,6 per 100 duizend inwoners. Ook hier volgde Nederland op een tweede plaats, met 150 meldingen per 100 duizend inwoners.

In Nederland legde de Autoriteit Persoonsgegevens (AP) voor 2,5 miljoen euro aan boetes op. Koploper in de ranglijst is de Italiaanse toezichthouder met in totaal ruim 69,3 miljoen euro aan opgelegde boetes. Ook Duitsland en Frankrijk kennen een hoog totaal boetebedrag met respectievelijk 69,1 miljoen en 54,4 miljoen euro.

Het totale aantal dagelijkse kennisgevingen van datalekken in Europa steeg voor het tweede jaar op rij met dubbele cijfers: 331 meldingen per dag sinds 28 januari 2020 tegen 278 meldingen in het jaar daarvoor, een stijging van 19 procent.

Volgens Richard van Schaik, privacy partner bij DLA Piper, blijkt uit de cijfers dat er culturele verschillen bestaan in hoe de onderzochte landen omgaan met meldingen en boetes. "In Nederland bestond er voor de AVG werd ingevoerd al sinds januari 2016 een meldplicht datalekken. Organisaties en bedrijven zijn hier dus al langer gewend om een melding te maken. Ook is van belang hoe de toezichthouder omgaat met meldingen. Bij verreweg de meeste meldingen onderneemt de toezichthouder geen vervolgactie. In Nederland zie je dan ook dat er bij twijfel of er wel of niet gemeld moet worden, dit zekerheidshalve vaak wel gedaan wordt. Dit gebeurt in andere landen minder, wellicht deels ook uit angst voor de strenge toezichthouder."

Relatief mild boetebeleid in Nederland

Een uitgedeelde boete kan worden opgelegd omdat een datalek wordt gemeld, maar net zo goed door het niet of niet tijdig melden van een datalek. Er is dus geen direct verband tussen de hoogte van het totale boetebedrag en het aantal gemelde datalekken in een land. De hoogste AVG-boete tot nu toe bedraagt 50 miljoen euro, door de Franse toezichthouder gegevensbescherming opgelegd aan Google wegens vermeende schending van het transparantiebeginsel en een gebrekkige geldige toestemming van gebruikers.

In Nederland werd 'slechts' voor 2,5 miljoen euro aan boetes opgelegd. Er is dan ook een verschil in striktheid onder de toezichthouders in Europese landen, aldus Van Schaik. "Een aantal buitenlandse toezichthouders is strenger en deelt ook hogere boetes uit. De AP heeft jaren geleden in Nederland ook hoge boetes aangekondigd, maar vooralsnog valt dit mee. Wel zien we dat de toezichthouder actiever is geworden en dat naar verwachting zal blijven. Ik denk dat organisaties na de invoering van de AVG eerst de tijd kregen om te voldoen aan de nieuwe regelgeving en dat er nu ook daadwerkelijk wordt opgetreden. Er zijn ook geen excuses meer voor organisaties en bedrijven om niet te voldoen."

In een aantal bezwaren tegen een opgelegde boetes werd door de rechter de hoogte van de boete fors verlaagd. Het is volgens Van Schaik voor organisaties dan ook vaak raadzaam om bezwaar aan te tekenen.