Bedrijven worden steeds braver, maar overheden maken er een potje van.

Sinds de inwerkingtreding van de Europese privacywet GDPR (in Nederland bekend als AVG) heeft de Autoriteit Persoonsgegevens (AP) voor miljoenen euro's aan voorwaardelijke en feitelijke boetes opgelegd.

Bedrijven die een loopje nemen met de privacy van klanten voelen de strafmaatregelen die in de honderdduizenden euro's kunnen lopen. Ook publieke organisaties en overheidsinstellingen zijn terug te vinden in de lijst met hoogste GDPR-boetes.

Dit blijkt uit onderzoek van VPNdiensten.nl, dat gegevens van de AP, data van Enforcement Tracker en nieuwsberichten analyseerde.

De hoogste GDPR-boetes die in Nederland zijn opgelegd tikken net niet de 1 miljoen euro aan. De grootste privacyboosdoener sinds de invoering van de wetgeving is het UWV, dat naast een voorwaardelijke boete van 900.000 euro ook een tweede boete van bijna 500.000 euro opgelegd kreeg in een andere zaak.

"De hoogte van de boetes laat zien dat het de Autoriteit Persoonsgegevens menens is als het gaat om bescherming van de privacy," aldus Abel Baas van VPNdiensten.nl.

Het lijkt er niet op dat de Autoriteit Persoonsgegevens een voorkeursbehandeling geeft aan andere publieke organisaties of overheidsinstellingen. "Het is opmerkelijk dat enkele van de hoogste boetes aan publieke of overheidsgerelateerde organisaties zijn opgelegd," aldus Baas. "Goed te zien dat de AP een beleid van gelijke monniken, gelijke kappen nastreeft als het gaat om privacyhandhaving en niet alleen private bedrijven op het matje roept. Aan de andere kant kun je je afvragen waar de boetegelden terechtkomen, en in hoeverre er sprake is van een vestzak-broekzakoperatie voor de overheid."

Het aantal GDPR-klachten neemt in Nederland gestaag af. Dit geldt echter vooral voor private zaken. De overheid is steeds vaker onderwerp van privacyklachten, in meer recente tijden met name in het kader van het coronabeleid. Zo worden ondernemers verplicht gegevens van bezoekers en klanten op te slaan, terwijl er door de urgentie en volatiliteit van de maatregelen niet verwacht kan worden dat dit GDPR-proof gebeurt.

Abel Baas: "Het is begrijpelijk als ondernemers van mening zijn dat de overheid de pot is die de ketel verwijt dat hij zwart ziet. De publieke sector heeft al een twijfelachtige naam als het gaat om digitale vraagstukken, en bij privacybescherming is het niet anders."