Het lijkt jachtseizoen bij de Autoriteit Persoonsgegevens (AP). Snel achter elkaar werd bekend dat Booking.com, de gemeente Enschede, PVV Overijssel en Locatefamily.com allen zijn bestraft voor het overtreden van de privacywet. Meer boetes dan in heel 2020 zijn gepubliceerd. In lijn met eerdere boetes gaat het ook nu, op één kleintje na, allemaal om bedragen die in de vele tonnen euro’s lopen. Welke voorlopige conclusies kunnen we trekken uit de gepubliceerde boetebesluiten, de zwaarte van de boetes en de overtredingen waarop wordt gehandhaafd?
Terug in de tijd met de Autoriteit
Hoewel het leek alsof er vorig jaar bijna geen handhaving plaatsvond, net als het jaar daarvóór, geeft de publicatie van handhavingsbesluiten door de AP een enigszins vertekend beeld. Boete- en andere handhavingsbesluiten worden vaak veel later openbaar gemaakt dan de datum waarop het besluit is genomen. De overtreder is dan natuurlijk wel allang op de hoogte gesteld, en heeft de kans gehad om bezwaar te maken tegen het besluit én tegen publicatie. Enkele van de boetes die recent bekend zijn gemaakt dateren daardoor al van 2020. De AP geeft aan dat er tot eind 2020 12 boetes waren opgelegd. Van de nu gepubliceerde boetebesluiten zijn er 9 van 2020 of eerder. We zijn dus nog in afwachting van ten minste drie besluiten die nog niet bekend zijn gemaakt.
In principe worden alle besluiten van de AP openbaar gemaakt, dat moet immers onder de Wet openbaarheid van bestuur (Wob). Alleen in bijzondere gevallen die in de Wob worden genoemd, zoals de bescherming van de privacy van personen en onevenredige benadeling van een betrokken partij, wordt een besluit voor publicatie aangepast (het bekende ‘weglakken’) of ingetrokken. Dat laatste zal alleen in zeer bijzondere gevallen gebeuren, gezien het belang van de openbaarheid van handhaving. Een bezwaarprocedure of het rekening houden met bijzondere omstandigheden kan er wel toe leiden dat een boete pas veel later bekend wordt.
De waakhond die niet vaak, maar wel hard bijt
Bij een vergelijking van de Europese privacy-toezichthouders, valt allereerst op dat er in ons land nog steeds weinig met boetes wordt gezwaaid. Toezichthouders in landen als Spanje (223 bekendgemaakte boetes op het moment van schrijven), Italië (73) en Roemenië (54) lijken veel actiever bij het onderzoeken en beboeten van overtredingen dan de AP. Een belangrijke reden daarvoor is ongetwijfeld het bekende capaciteitsgebrek. In een KPMG-rapport van vorig jaar, in opdracht van de AP zelf, werd het risico om als ‘ineffectieve toezichthouder’ te worden gezien expliciet benoemd, als gevolg van te weinig capaciteit.
De AP deelt weliswaar niet snel een boete uit, de opgelegde bedragen doen ongetwijfeld wel pijn. Met gemiddeld ongeveer een half miljoen euro is een Nederlandse boete een stuk duurder dan een gemiddelde Spaanse boete, gemiddeld € 135.000, of een Roemeense, gemiddeld slechts € 13.000. In die landen wordt dus veel vaker een kleine boete opgelegd, van enkele duizenden euro’s, dan een grote klapper. De AP lijkt ervoor te kiezen om veelvoorkomende ‘kleine’ overtredingen niet met een lage boete te bestraffen, maar zich te richten op grove misstanden. Daarbij houdt de AP zich vrij strikt aan de basisboetes in de eigen boetebeleidsregels. De landen waar al een megaboete is uitgedeeld halen het gemiddelde bedrag uiteraard flink omhoog. Zo hebben het Verenigd Koninkrijk, Frankrijk en Duitsland boetes van vele miljoenen opgelegd aan respectievelijk British Airways, Google en H&M.
Een kleine dosis afschrikwekkend effect voor iedereen
Gezien het prille bestaan en de brede toepassing van de AVG is het niet zo vreemd dat er nog geen duidelijke handhavingsstrategie te ontdekken is in de boetes die tot nu toe zijn opgelegd. De overtredingen variëren van het niet (tijdig) melden van datalekken tot het ontbreken van een grondslag en het ontbreken van passende beveiliging. Ook wat type overtreder betreft gaat het alle kanten op: het bedrijfsleven heeft de nodige boetes gekregen, maar ook ziekenhuizen en overheden worden niet gespaard.
Het wordt interessant om te zien of de Focus AP 2020-2023 daar verandering in brengt. De effecten van de focus op datahandel, digitale overheid en artificial intelligence (AI) zullen mogelijk merkbaar worden in de boetes naar aanleiding van onderzoeken van 2020 en later. Uit de huidige boetebesluiten is af te leiden dat zo’n onderzoek geregeld vele maanden duurt. Er zit dus ongetwijfeld nog van alles in de zogenaamde ‘pijplijn’. Handhaven kan bovendien ook op andere manieren dan met een boete, bijvoorbeeld met een last onder dwangsom of schadevergoeding. Het is hoe dan ook zaak om als organisatie niet in spanning af te wachten waar de volgende sanctie valt, maar te zorgen dat je – aantoonbaar – zorgvuldig met persoonsgegevens omgaat.
