Deze column staat in Het Financieele Dagblad van 14 juni 2022. Volg deze link voor mijn eerdere FD columns.

Sinds de invoering van de Europese privacywet AVG in 2018 loopt het boetebeleid van de toezichthouders in de verschillende landen sterk uiteen. Nieuwe Europese richtlijnen moeten meer eenduidigheid brengen, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

De Luxemburgse datawaakhond CNPD kondigde in juli vorig jaar een boete van €746 mln aan voor techreus Amazon wegens vermeende schendingen van de Europese privacywet AVG. De dertien boetes die de Autoriteit Persoonsgegevens (AP) tot nu toe aan het bedrijfsleven oplegde kwamen niet verder dan een duizendste daarvan.

Ook in andere Europese landen strooien datatoezichthouders met forse sancties; naast bigtechbedrijven kregen een Italiaanse telecomprovider, een Amerikaanse hotelketen, een Britse luchtvaartmaatschappij en het Zweedse modehuis H&M boetes van tientallen miljoenen euro’s opgelegd.

Decennialang was privacytoezicht in Europa meer van de wortel dan van de stok. Het leidde tot een structurele verwaarlozing van het grondrecht, vooral online, en aanzienlijke maatschappelijke onrust. De mogelijkheid in de AVG om megaboetes op te leggen was in 2018 dan ook een van de beloftes van de politiek aan de bezorgde burger. Desalniettemin stelde de AP een opvallend mild boetebeleid op, en zijn afschrikwekkende boetes in Nederland in vier jaar tijd uitgebleven.

Nieuwe realiteit
Mede door de grote verschillen tussen de lidstaten, publiceerden de gezamenlijke Europese toezichthouders half mei richtlijnen die tot uniformering van privacyboetes moeten leiden. De grootste verandering is dat de jaaromzet van een onderneming niet langer een kleine eindcorrectie omhoog of omlaag kan opleveren binnen een vooraf vastgestelde bandbreedte. De jaaromzet wordt het startpunt voor de bepaling van een boete. Bedrijven met een jaaromzet van meer dan €50 mln en die onder AP-toezicht vallen, moeten zich dus schrap zetten voor een nieuwe realiteit, waarin niet langer de wortel maar de stok op de voorgrond treedt.

Rond de inwerkingtreding van de AVG in 2018 was ook in Nederland veel beroering over de nieuwe boetemogelijkheden. Toch wekten de eerste resultaten van het boetebeleid van de AP, in 2019, vooral verbazing bij de Nederlandse bedrijven en multinationals die de AP onder het Europese één-loketmechanisme als leidende toezichthouder voor de AVG hebben. Uiteraard viel te lezen dat de AP bij de vaststelling van boetes rekening zou houden met abstracte factoren zoals proportionaliteit, effectiviteit en afschrikwekkende werking. En natuurlijk sloot de AP de mogelijkheid van de AVG, om boetes op te leggen van 4% van de wereldwijde jaaromzet, niet uit. Die verplichte woorden stonden ook al in de AVG zelf.

‘De privacy- bewuste en calculerende Nederlandse burger zal de strengere richtlijnen zeker toejuigen’

Maar als centrale uitgangspunt besloot de AP daarnaast vier boetebandbreedtes te verzinnen, waarin zij alle mogelijke schendingen onderverdeelde. Met basisboetes die startten bij €100.000 voor lichte vergrijpen en €725.000 voor de ernstigste schendingen. Vanuit dat startbedrag zou de AP binnen een beperkte bandbreedte iets stijgen of zakken. Sinds dat besluit is de AP nauwelijks meer boven die hoogste basisboete uitgekomen. Alleen voor de Belastingdienst maakte de AP een noemenswaardige uitschieter omhoog, met boetes van €3,7 mln en €2,75 mln voor de onrechtmatige bijdrage van de fiscus aan de toeslagenaffaire.

Ondertussen legde de Luxemburgse CNPD Amazon een boete van €746 mln op, en rijgen Franse, Duitse, Ierse en Italiaanse toezichthouders, na een langzame start, sinds 2020 privacyboetes van tientallen miljoenen aan elkaar. Vanuit het oogpunt van rechtszekerheid en een gelijk speelveld binnen Europa, zagen met name de strengere toezichthouders de noodzaak ook elders in Europa de teugels aan te trekken.

Vergeleken met het milde Nederlandse boetebeleid van basisboetes en lage bandbreedtes wordt in de nieuwe richtlijnen de jaaromzet niet meer het eindpunt, maar het startpunt van de berekening van een boete. Onder het huidige beleid van de AP begint een schending met een laag privacyrisico, door een bedrijf met een miljardenomzet, bij een boete van €100.000. Met een maximum van €200.000. In een rekenvoorbeeldje van de Europese collega’s start die boete nu bij €32 mln. Toch zo’n 320 keer hoger.

Nog voor de nieuwe Europese richtlijnen twee weken terug ter consultatie gingen, floten verschillende Europese toezichthouders, met name de Duitse en Franse, hun mildere collega’s terug vanwege de te lage boetes.

Denk aan de controversiële boete van de Ierse datawaakhond als leidende Europese toezichthouder voor WhatsApp van €225 mln, die nu bij de Europese rechter voorligt in beroep. De Ierse toezichthouder begon bij een voorgestelde boete van €30 mln tot maximaal €50 mln. Ontstemde concullega’s protesteerden hevig binnen hun Europese overlegorgaan voor toezichthouders, waardoor de Ieren zich gedwongen voelden om de boete met een factor 4,5 tot 8 te verhogen. Ook op de inhoud werd de Ierse toezichthouder gedwongen om tot een strenger oordeel te komen.

Veel bijval
De invloed van de strengere Europese collega’s op het boetebeleid en de toezichtspraktijk van hun mildere collega’s laat zich steeds meer gelden. De privacybewuste en calculerende Nederlandse burger zal de ontwikkeling toejuichen. Nederlandse bedrijven en multinationals die de AP als leidende toezichthouder voor Europa hebben, moeten zich voorbereiden op een nieuwe realiteit.

Weliswaar hoor je in de juridische wereld nog regelmatig het adagium ludex non calculat (de rechter rekent niet). Maar feit is dat de rekensommetjes van Europese toezichthouders ertoe doen, zowel voor bedrijven als hun consumenten. Onder Europese invloed kunnen de vooralsnog milde privacyboetes van de AP met drie nullen vóór de komma stijgen.