Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: AVG in praktijk: Nederland vs. Italië

dinsdag 21 april 2026

De Algemene verordening gegevensbescherming (AVG), internationaal bekend als de General Data Protection Regulation (GDPR), geldt als rechtstreeks werkende Europese wetgeving binnen alle lidstaten. Toch verschilt de praktische toepassing aanzienlijk per land.

Whitney Naomi van den Brand, adviseur bij L2P en woonachtig in Rome, neemt je mee in de verschillen tussen Nederland en Italië. Niet vanuit theorie, maar vanuit de dagelijkse praktijk, waarin juridische kaders en feitelijke uitvoering elkaar niet altijd naadloos raken. 

Binnen de Europese Unie wordt vaak uitgegaan van harmonisatie: één norm, één niveau van bescherming. Toch spelen nationale interpretatie, toezicht en nalevingscultuur een doorslaggevende rol in hoe die norm daadwerkelijk wordt toegepast. Nederland staat bekend om een proactieve benadering van privacy compliance, waarbij organisaties investeren in governance, risicobeheersing en het vooraf inrichten van processen. In Italië lijkt in de dagelijkse praktijk vaker te worden uitgegaan van een benadering waarin naleving ook reactief kan worden ingericht, waarbij minder nadruk ligt op structurele, voorafgaande implementatie. 

Dit verschil wordt zichtbaar in de omgang met kernbeginselen zoals dataminimalisatie, doelbinding en beveiliging. Waar deze in Nederland vaak vooraf zijn ingebed in beleid en systemen, krijgen ze in Italië vaker vorm op het moment dat zich een concrete situatie of aanleiding voordoet. 

Verschillen in naleving en handhaving 

Hoewel beide toezichthouders opereren binnen hetzelfde juridische kader, verschilt de manier waarop toezicht zichtbaar wordt. In Nederland ligt de nadruk sterk op preventie. Denk aan DPIA’s, interne controles en een relatief hoge meldingsbereidheid van datalekken. In Italië manifesteert de toezichthouder zich juist nadrukkelijk via handhaving, waarbij substantiële boetes worden opgelegd wanneer sprake is van overtredingen. 

Recente sancties illustreren dat deze handhaving allesbehalve symbolisch is. Zo legde de Garante1 in 2026 een boete van €31,8 miljoen op aan Intesa Sanpaolo2 na een datalek waarbij een medewerker gedurende langere tijd ongeautoriseerd toegang had tot klantgegevens. De toezichthouder stelde vast dat interne controles onvoldoende functioneerden en dat ongeautoriseerde toegang niet tijdig werd gedetecteerd. In dezelfde periode werd de bank bovendien afzonderlijk beboet met €17,6 miljoen3 wegens onrechtmatige verwerking en profilering van klantgegevens bij de overgang naar een digitale bankomgeving.  

Ook in andere sectoren worden hoge sancties opgelegd. Zo kreeg energiebedrijf Enel Energia een boete van ruim €26,5 miljoen wegens agressieve telemarketingpraktijken zonder geldige rechtsgrond4 5, terwijl in een andere zaak zelfs een boete van meer dan €79 miljoen werd opgelegd voor vergelijkbare overtredingen. 

Dat deze handhaving structureel plaatsvindt, blijkt ook uit Europese cijfers. Uit het jaarverslag van de European Data Protection Board blijkt dat Italië in de betreffende periode 190 boetes heeft opgelegd, tegenover 4 boetes in Nederland. Deze cijfers laten zien dat de Italiaanse toezichthouder aanzienlijk vaker zichtbaar is via sanctionerende handhaving.6 

Deze combinatie van een minder sterk preventief ingerichte praktijk en tegelijkertijd stevige handhaving achteraf maakt dat compliance in Italië vaak zichtbaar wordt op het moment dat het misgaat, in plaats van structureel vooraf. 

Non compliance in de praktijk 

Die verschillen worden nog concreter wanneer je kijkt naar de dagelijkse praktijk. 

Zo werd in een restaurant in Italië toegang tot de menukaart alleen mogelijk nadat ik mijn naam, e-mailadres en telefoonnummer had ingevuld. Zonder die gegevens geen menu. Een privacyverklaring was daarbij niet zichtbaar. Vanuit AVG-perspectief roept dit direct vragen op over noodzaak, proportionaliteit en de geldigheid van toestemming. En was deze toestemming wel vrijelijk gegeven? 

Ook in de zorg kwam ik situaties tegen waarin gegevensverwerking anders is ingericht dan we in Nederland gewend zijn. Röntgenbeelden werden bijvoorbeeld alleen voorzien van een datum, waarna identificatie plaatsvond via een papieren agenda. Functioneel, maar lastig te controleren en kwetsbaar vanuit beveiligingsperspectief. 

Daarnaast zag ik dat persoonsgegevens regelmatig worden gedeeld via informele communicatiekanalen zoals WhatsApp, zonder aanvullende beveiliging of duidelijke afspraken. Ook uit eigen ervaring blijkt hoe laagdrempelig met gevoelige persoonsgegevens wordt omgegaan. Voor het aanvragen van een codice fiscale (vergelijkbaar met het Nederlandse BSN) kon ik mijn paspoort eenvoudig per e-mail versturen naar verschillende overheidskantoren in Rome, via algemene info-adressen. Een beveiligd portaal of aanvullende verificatiestappen ontbraken. De codice fiscale werd vervolgens per e-mail toegezonden. Deze werkwijze laat zien dat gegevensuitwisseling in de praktijk plaatsvindt zonder structurele waarborgen zoals versleuteling of gecontroleerde toegang. 

Bij verhuur via Airbnb worden persoonsgegevens van gasten vaak in volledige vorm verwerkt. In de praktijk gaat het daarbij regelmatig om onbewerkte kopieën van identiteitsdocumenten die lokaal worden opgeslagen door de eigenaar van het appartement en vervolgens worden gebruikt voor registratie in het politieregister. Dit betekent dat meer gegevens worden verwerkt dan strikt noodzakelijk, wat vragen oproept over dataminimalisatie, beveiliging en bewaartermijnen. Tegelijkertijd, is de eigenaar van het appartement strafbaar onder Italiaans recht als hij deze gegevens niet uploadt in het politieregister. 

Deze ervaringen laten zien dat gegevensbescherming in de dagelijkse praktijk niet altijd een expliciet aandachtspunt is, maar eerder een aspect dat wordt meegenomen wanneer daar aanleiding toe is. 

Organisatorische en culturele factoren 

De verschillen tussen Nederland en Italië zijn niet uitsluitend juridisch te verklaren, maar hangen samen met bredere organisatorische en culturele factoren. 

In Nederland is privacy compliance vaak een integraal onderdeel van de bedrijfsvoering, met duidelijke rollen, structurele training en uitgebreide documentatie. Processen zijn ingericht om risico’s vooraf te beheersen. 

In Italië ligt de nadruk in veel gevallen sterker op operationele uitvoerbaarheid. Privacy krijgt daardoor niet altijd dezelfde structurele, vooraf ingerichte aandacht, maar wordt vaker benaderd vanuit concrete situaties en verplichtingen. Tegelijkertijd laat de handhavingspraktijk zien dat overtredingen serieus worden aangepakt. Ook de mate van digitalisering speelt een rol. Nederland kent een verder ontwikkelde digitale infrastructuur, wat het standaardiseren van privacymaatregelen ondersteunt. Italië kent nog relatief veel hybride of analoge processen, wat invloed heeft op de wijze waarop gegevensbescherming wordt toegepast. 

Conclusie

De AVG biedt een uniform juridisch kader, maar de toepassing ervan verschilt per lidstaat. Nederland kenmerkt zich door een proactieve en gestructureerde benadering van gegevensbescherming, terwijl Italië een reactieve praktijk laat zien waarin pragmatiek en stevige handhaving samenkomen. 

De voorbeelden van hoge boetes tonen aan dat naleving in Italië serieus wordt afgedwongen. Tegelijkertijd benadrukken de verschillen in uitvoering dat effectieve gegevensbescherming niet alleen afhankelijk is van wetgeving, maar vooral van implementatie, prioritering en dagelijkse praktijk.