Toen de General Data Protection Regulation (GDPR) in 2018 van kracht werd, luidde dit een nieuw tijdperk van gegevensbescherming in de EU in. Tenminste op papier. Consumenten kregen de middelen om op te komen voor hun fundamentele rechten, terwijl autoriteiten serieuze onderzoeksbevoegdheden kregen en de mogelijkheid om inbreuken te bestraffen met hoge boetes. Bijna 7 jaar later is de realiteit veel somberder. Ter gelegenheid van de Dag van de Gegevensbescherming op 28 januari dit jaar, noyb de huidige EDPB-statistieken geanalyseerd over de (in)activiteit van nationale gegevensbeschermingsautoriteiten. Uit de gegevens blijkt dat gemiddeld slechts 1,3% van de zaken voor de gegevensbeschermingsautoriteiten tot een boete leiden. Echter, gegevensbeschermingsprofessionals zeggen dat boetes de meest effectieve manier zijn om ervoor te zorgen dat bedrijven de wet naleven.
Strikte GDPR-handhaving alleen op papier. Toen de General Data Protection Regulation (GDPR) in mei 2018 van kracht werd, beloofde deze een verschuiving naar een serieuze aanpak van gegevensbescherming. Europese consumenten die het slachtoffer werden van privacyschendingen, kregen de nodige instrumenten om een klacht in te dienen bij hun nationale gegevensbeschermingsautoriteiten (DPA's) - die werden uitgerust met de nodige bevoegdheden om alle soorten schendingen te onderzoeken en administratieve boetes op te leggen om soortgelijke overtredingen in de toekomst te voorkomen. Helaas is de afgelopen 7 jaar gebleken dat dit vooral wishful thinking was. Dit wordt bevestigd door een nieuwe noyb analyse van EDPB-statistieken over de activiteiten van de autoriteiten tussen 2018 en 2023: Gemiddeld leidt slechts 1,3% van de zaken voor de gegevensbeschermingsautoriteiten daadwerkelijk tot een boete. Dit komt overeen met onze eigen praktijkervaring: De meeste zaken slepen zich meerdere jaren voort, voordat ze worden afgesloten met een schikking of helemaal worden verworpen.
Max Schrems: "Europese gegevensbeschermingsautoriteiten hebben alle benodigde middelen om GDPR-schendingen adequaat te bestraffen en boetes uit te delen die soortgelijke schendingen in de toekomst zouden voorkomen. In plaats daarvan slepen ze de onderhandelingen vaak jarenlang voor zich uit - om vervolgens maar al te vaak in het nadeel van de klager te beslissen."
Geen echt positief voorbeeld. Hoewel sommige gegevensbeschermingsautoriteiten veel meer boetes lijken op te leggen dan andere, liggen de cijfers allemaal in de orde van eencijferige percentages - of zelfs lager. Met boetes in 6,84% van alle gevallen (zowel klachten als onderzoeken op eigen initiatief meegerekend) tussen 2018 en 2023, voert de Slowaakse gegevensbeschermingsautoriteit de statistieken aan. Het wordt gevolgd door Bulgarije (4,19%), Cyprus (3,12%), Griekenland (2,65%) en Kroatië (2,54%). Aan de andere kant van het spectrum heeft de Nederlandse autoriteit boetes uitgedeeld in 0,03% (!) van alle gevallen, op de voet gevolgd door Frankrijk (0,10%), Polen (0,18%), Finland (0,21%), Zweden (0,25%) en natuurlijk Ierland (0,26%). De overige landen zitten daar ergens tussenin.
Klik hier om de volledig interactieve versie van de kaart hieronder te bekijken.
Klik hier om de volledig interactieve versie van bovenstaande kaart te bekijken.
Een fenomeen dat specifiek is voor gegevensbescherming. Dit schijnbare gebrek aan serieuze consequenties voor wetsovertredingen lijkt heel specifiek te zijn voor gegevensbescherming. Laten we Spanje als voorbeeld nemen: In 2022 ontving de Spaanse gegevensbeschermingsautoriteit 15.128 klachten ontvangenmaar slechts 378 boetes. Dit betekent dat, statistisch gezien, slechts 2,5% van alle klachten eindigde in een boete. Dit omvat duidelijke overtredingen zoals onbeantwoorde toegangsverzoeken of onrechtmatige cookiebanners, die - in theorie - snel en op een gestandaardiseerde manier kunnen worden afgehandeld. Ter vergelijking: 3.7 miljoen snelheidsovertredingen in Spanje in 2022 (exclusief Baskenland en Catalonië). Een soortgelijke vergelijking kan worden gemaakt voor andere EU-lidstaten.
Max Schrems: "Op de een of andere manier zijn het alleen gegevensbeschermingsautoriteiten die niet gemotiveerd kunnen worden om de wet waarmee ze belast zijn daadwerkelijk te handhaven. Op elk ander gebied leiden wetsovertredingen regelmatig tot geldboetes en sancties. Op dit moment lijken de gegevensbeschermingsautoriteiten vaak te handelen in het belang van bedrijven in plaats van de betrokken personen."
Uit de gegevens blijkt: meer boetes = meer naleving. Hoewel deze cijfers nauwelijks verrassend zijn, zijn ze toch alarmerend. A noyb onderzoek onder gegevensbeschermingsprofessionals toont aan dat juist geldboetes bedrijven motiveren om de wet na te leven. Gevraagd naar de meest effectieve handhavingsmaatregelen, zei 67,4% van de respondenten dat DPA-besluiten tegen hun eigen bedrijf die een boete inhouden, besluitvormers zullen beïnvloeden om te kiezen voor meer naleving. Interessant is dat 61,5% van de respondenten zei dat zelfs DPA-boetes tegen andere organisaties van invloed zouden zijn op de GDPR-compliance van hun eigen bedrijf.
Klik hier om de volledig interactieve grafiek hieronder te bekijken.
Klik hier om de volledig interactieve grafiek hierboven te bekijken.
Opgelegde boetes zijn een lachertje. Een nadere blik op het bedrag aan boetes dat de nationale autoriteiten elk jaar opleggen, maakt de kwestie nog duidelijker. Ierland (€475.902.000 gemiddeld boetebedrag/jaar) en Luxemburg (€124.395.729 gemiddeld boetebedrag/jaar) voeren de statistieken tussen 2018 en 2023 veruit aan. Op het eerste gezicht klinkt dat misschien als veel geld. Maar dat is het niet. Bijna alle grote techbedrijven zoals Apple, Google, Meta en Microsoft zijn gevestigd in Ierland, waardoor de Ierse DPC de hoofdautoriteit is voor enkele van de grootste zaken ooit. Luxemburg daarentegen is verantwoordelijk voor bedrijven als Amazon. In werkelijkheid moet het DPC het van zijn eigen geluk hebben. noybtwee grootste zaken tegen Meta moesten een omweg maken naar de EDPB voordat de DPC het bedrijf uiteindelijk een boete oplegde van in totaal bijna €1,6 miljard. Als je dit bedrag weghaalt, blijft er niet veel over.
Meer budget, meer beslissingen? Sommige autoriteiten beweren herhaaldelijk dat ze alleen maar meer budget en middelen nodig zouden hebben om meer tijdige - en impactvolle - beslissingen te nemen. Kijkend naar de EDPB-statistiekenis het budget van de autoriteiten tussen 2020 en 2024 met 130% gestegen. De Nederlandse autoriteit, bijvoorbeeld, registreerde een budgetverhoging van 62% binnen vier jaar - zonder een significante stijging van de opgelegde boetes. Om dit in perspectief te plaatsen: In 2023 had het Nederlandse OM een budget van bijna €37 miljoen, maar legde het slechts €1,98 miljoen aan boetes op. Dit is een verschil van bijna 35 miljoen euro, wat een enorm gat slaat in de staatsbegroting. Dit tekort kan echter worden gecompenseerd door een krachtige handhaving. GDPR boetes gaan naar de staat van de leidende autoriteit.
Klik hier om de volledig interactieve grafiek hieronder te bekijken.
Klik hier om de volledig interactieve grafiek hierboven te bekijken.
Bijna 40% van alle boetes dankzij noyb. Dit patroon is in de hele EU te zien: Tussen 2018 en 2023 hebben alle gegevensbeschermingsautoriteiten in de EU samen in totaal 4,29 miljard euro aan boetes opgelegd - waarvan 1,69 miljard euro het gevolg was van noyb rechtszaken. Met andere woorden: Bijna 40% van alle GDPR-boetes is terug te voeren op noyb. Dit betekent dat er in werkelijkheid eerder een gebrek aan politieke wil lijkt te zijn om op te staan tegen techgiganten dan een gebrek aan mogelijkheden om op te treden.
