Waakhond of lokvogel?

Toezicht houden is een echt vak. Dat vraagt dus om kunde en wijsheid. Aan een toezichthouder mogen hoge professionele eisen gesteld worden. Dat geldt ook voor de Autoriteit Persoonsgegevens (AP), de instantie die gaat over de nette omgang met persoonsgegevens in Nederland.

Sinds de komst van de Algemene Verordening Gegevensbescherming, de Europese privacyregels waaraan bedrijven, overheden en andere organisaties op 25 mei dit jaar moeten voldoen, komt de vraag op wat we van de AP als toezichthouder mogen verwachten. Die vraag wordt aangewakkerd door de bij menigeen levende angst voor de miljoenenboetes die de AP mag opleggen als de spelregels worden geschonden.

Dus: hoe ziet de AP haar rol? Ligt de focus eenzijdig op het controleren op de stipte naleving van de regels? Of stelt de AP het belang van een zorgvuldige omgang met persoonsgegevens meer centraal? Is de AP de hard blaffende waakhond die onverwachts tegen je opspringt en wellicht zelfs haar scherpe tanden in je kuiten zet? Of is het de charmante lokvogel die met wijsheid en empathie bedrijven en organisaties tracht te verleiden om stapjes te zetten op weg naar een behoorlijke opslag en correct gebruik van persoonsgegevens?

Luister naar Aleid Wolfsen, voorzitter van de AP in het tv-programma Nieuwsuur, en je weet direct uit welke hoek van het dierenrijk de AP komt. Ik citeer: “We hebben nu nog geen boete opgelegd. Maar na mei gaat dat veel meer gebeuren, omdat we nu alleen een biete kunnen opleggen als er sprake is van opzet. Dat gaat dan vervallen. Dus, wat fout is, dat is fout.” Daar zit geen woord Spaans bij. De zweep erover! Juridisering staat voorop: wet is wet.

Vraag je het mij, dan ligt een rol van de AP als grote verleider meer voor de hand. Welwillende bedrijven en organisaties worstelen met een oerwoud van complexe, vage en deels onbegrijpelijke toverformules uit de AVG. Zij weten nauwelijks waar te starten en te eindigen met de implementatie. Een ander deel heeft de tienduizenden euro’s niet om de benodigde know-how in te huren. Enige empathie voor die knelpunten zou de AP sieren.

Faciliteren en verbinden in plaats van blaffen. Kan dat? Tuurlijk! Kijk naar de CNIL, de Franse toezichthouder, die onlangs een handig modelletje voor een Privacy Impact Assessment (PIA) publiceerde. Of zie de Belgische toezichthouder, die een template voor het verplichte interne dataregister op haar site plaatste. Die snappen het! Los van een onbenullig derderangs AVG-stappenplan laat de AP Nederland vrijwel geheel aan zijn lot over.

Als kind had ik het niet zo op honden. Tegenwoordig is dat niet veel minder.

Peter van Schelven is juridisch adviseur inzake ICT

Download iBestuur magazine nummer 25 (PDF)

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren