In Europa is tussen maart 2022 en maart 2023 voor 1,19 miljard euro aan boetes opgelegd voor niet-naleving van de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit de vierde editie van het jaarlijkse Enforcement Tracker Report van internationaal advocatenkantoor CMS. Vorig jaar kende het hoogste bedrag aan boetes sinds de inwerkingtreding van de AVG in 2018 en hiermee komt het totaalbedrag aan boetes op meer dan 2,7 miljard euro.
Het rapport van CMS bevat een analyse van alle informatie die publiek beschikbaar is met betrekking tot AVG-boetes in heel Europa. Afgelopen jaar werden er 545 nieuwe boetes opgelegd. De belangrijkste oorzaak van de waardestijging waren verschillende zaken met boetes van driecijferige miljoenen tegen grote techbedrijven, die door de Ierse gegevensbeschermingsautoriteit zijn opgelegd.
"Ons jaarlijkse rapport geeft een mooi inkijkje in het handhavingsgedrag in de rest van de EU. Deze editie bevestigt opnieuw dat onze Autoriteit Persoonsgegevens zich allerminst in de kopgroep bevindt. Integendeel: qua boeteoplegging kijken we in Nederland terug op een opvallend rustig jaar. Een mogelijke verklaring hiervoor zijn de aanhoudende klachten over het gebrek aan mankracht en financiële middelen die de AP ter beschikking heeft."
Erik Jonkman, Hoofd Privacy & Cybersecurity bij CMS in Nederland
Verwerking zonder rechtsgrond meest voorkomende overtreding
De meest voorkomende overtreding dit jaar was opnieuw de ontoereikende rechtsgrond (zoals toestemming of de aanwezigheid van een gerechtvaardigd belang) voor gegevensverwerking, goed voor vijf van de tien hoogste boetes in Europa. Andere redenen voor boetes waren niet-naleving van de zogenaamde "algemene gegevensbeschermingsbeginselen" en onvoldoende maatregelen om de informatiebeveiliging te waarborgen.
B2C grootste risicosector
Bedrijven uit de business-to-consumersector zijn vaker het doelwit van de autoriteiten. In de sectoren Industrie & Handel en Technologie, Media en Communicatie werden respectievelijk 358 en 213 boetes opgelegd; in totaal meer dan de helft van alle boetes in de huidige analyseperiode. Naast boetes kunnen gegevensbeschermingsautoriteiten de gegevensverwerking beperken of verbieden, zoals de Italiaanse gegevensbeschermingsautoriteit Garante onlangs heeft aangetoond in het geval van een aanbieder van generatieve AI.
- Klik hier voor het volledige GDPR Enforcement Tracker Report
- Klik hier voor de GDPR Enforcement Tracker boetedatabank
