Europese landen hebben tot nu toe 114 miljoen euro aan privacyboetes uitgedeeld, blijkt uit een inventarisatie van advocatenkantoor DLA Piper. Het gaat om boetes die zijn uitgedeeld onder de Europese privacywet GDPR, in Nederland bekend onder de naam Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 in werking is getreden.
De hoogste boete werd in Frankrijk uitgedeeld en ging naar Google, dat 50 miljoen euro moet betalen. De Franse privacywaakhond legde daarnaast ook andere organisaties een boete op. Het land wordt gevolgd door Duitsland, waar de privacyautoriteit in totaal voor 24,5 miljoen euro aan boetes heeft opgelegd.
Daarnaast hebben Oostenrijk (18,1 miljoen), Italië (11,6 miljoen), Bulgarije (3,2 miljoen) en Spanje (1,4 miljoen) meer dan een miljoen euro aan boetes opgelegd. In Nederland heeft de Autoriteit Persoonsgegevens (AP) vooralsnog één boete opgelegd. Die ging naar het HagaZiekenhuis in Den Haag en betrof 460.000 euro.
De AP had onder de voorganger van de AVG al het recht om boetes uit te delen – en deed dat ook eenmaal aan Uber – maar onder de GDPR hebben de privacyautoriteiten in alle Europese landen die bevoegdheid gekregen. De boetes kunnen oplopen tot 4 procent van de jaaromzet van een onderneming.
Naast de al opgelegde geldstraffen hangt British Airways een boete van 183,4 miljoen pond (215,1 miljoen euro) boven het hoofd. Ook de hotelketen Marriott moet mogelijk 99,2 miljoen pond betalen. De gegevens van miljoenen klanten van beide bedrijven waren inzichtelijk door hackers, waarna de Britse privacywaakhond vaststelde dat de organisaties de data niet goed hadden beschermd.