Voor wie het nu nog niet weet: vanaf 25 mei geldt de Algemene verordening gegevensbescherming (AVG). Organisaties moeten daarna niet rekenen op veel clementie als ze hun privacyzaken niet op orde hebben. “Het gaat hier wel om grondrechten.”
Beeld: Lex Draijer/De Beeldredaktie
“Nee, we zullen niet snel met AP-jasjes ‘s morgens vroeg organisaties binnenvallen”, zegt Aleid Wolfsen. De vraag was of we na 25 mei FIOD-achtige invallen kunnen verwachten van de Autoriteit Persoonsgegevens (AP). De voorzitter: “Bij de FIOD gaat het erom dat er geen bewijsmateriaal wordt weggemoffeld. Bij ons moet men juist iets aantonen. Hooguit zou men snel gegevens kunnen vernietigen die illegaal zijn verzameld of bewaard. Maar dan hebben we ook het gewenste effect bereikt.”
Uit een seminar dat iBestuur kort geleden organiseerde, bleek dat lang niet alle bedrijven en overheidsinstellingen volledig AVG-compliant zijn. Wat is uw boodschap aan die organisaties?
“Mijn boodschap is dat iedereen de wet moet naleven. De wet is al vier jaar geleden aangekondigd en twee jaar geleden van kracht geworden. Toen is er een overgangstermijn ingegaan en die eindigt op 25 mei. Iedereen heeft dus de tijd gehad. Het gaat hier niet om een parkeerboete, maar om fundamentele grondrechten. Die moet je willen naleven, en niet alleen omdat er een boete op staat. Na 25 mei is er geen gedoogsituatie meer. Dat kan ik u verzekeren.”
Dat kan zo zijn, maar er kunnen goede redenen zijn waarom organisaties straks niet helemaal klaar zijn. Bijvoorbeeld dat er een overgang naar nieuwe systemen is voorzien, en dat het compliant maken van de oude situatie tot een grote desinvestering leidt.
“Dan komen we op de casuïstiek. Wij zijn best streng, maar willen ook redelijk zijn. Niemand is gehouden tot het onmogelijke. Als je alles hebt gedaan om zoveel mogelijk compliant te worden en het lukt net niet, dan wegen we natuurlijk alle omstandigheden. Maar wel met een vast doel: iedereen moet zich houden aan de wetgeving. Men weet al jaren dat dit eraan komt. We leven in een rechtstaat. Daarin is fundamenteel dat overheden zich houden aan het recht. Anders verspeel je ook het recht om burgers aan te spreken.”
Wat kunnen we verwachten na 25 mei? Wat is uw eerste speerpunt?
“Waar we natuurlijk mee beginnen, is checken of alle overheidsinstellingen, ziekenhuizen en andere instellingen die daarvoor in aanmerking komen, een Functionaris Gegevensbescherming (FG) hebben aangesteld. Als ze die dan nog niet hebben, dan moet je vrezen voor de rest.”
En verder? Op welke elementen gaat u het accent leggen?
“Waar we vervolgens de nadruk op gaan leggen, hangt grotendeels af van wat er op onze weg komt. Welke klachten zijn er? Wat voor risico’s dienen zich aan? Welke vermoedens hebben we? We zullen net als andere toezichthouders gaan werken. En er moet natuurlijk een element van verrassing in blijven zitten.”
Is uw organisatie er zelf eigenlijk klaar voor? De AP is al tijden personeel aan het werven.
“Het personeelsbestand is ongeveer verdubbeld vergeleken met de situatie toen ik hier anderhalf geleden aantrad. Er zijn nu ongeveer 140, 150 formatieplekken. Of dat voldoende is weet ik niet. Dat hangt erg van de klachten af. We hebben een afspraak met justitie dat we verder kunnen uitbreiden als dat nodig is. Het is net als voor al mijn Europese collega’s in deze fase nog enigszins aftasten wat er op ons af zal komen.”
Begrijp ik dat de AP voornamelijk gaat acteren op basis van meldingen en klachten?
“Nieuw onder de AVG is dat iedereen vanaf 25 mei een privacyklacht bij ons kan indienen. Het in behandeling nemen van klachten wordt een belangrijk onderdeel van ons werk. Daaruit kunnen we ook aflezen waar mensen zich zorgen over maken en bij welke branches, thema’s of bedrijven een verhoogd risico is. Dat zorgt voor input voor vervolgacties. We houden niet alleen reactief maar ook actief toezicht. Daarvoor hebben we de afdeling systeemtoezicht. Die stappen op bedrijven af en controleren daar hoe ze met persoonsgegevens omgaan. Ook nieuw voor ons is dat we toezicht gaan houden op het interne toezicht bij bedrijven. De FG is onze voorpost, de interne toezichthouder. Daar hebben we een speciale relatie mee. Als wij er vertrouwen in hebben dat bij hem of haar het toezicht goed is geborgd, dan kunnen wij wat meer op afstand blijven.”
De AVG heeft veel publiciteit gekregen vanwege de astronomische boetes die bedrijven in beginsel kunnen worden opgelegd. Elke Europese lidstaat kon zelf bepalen of ook overheden beboet zouden kunnen worden. In Nederland is daartoe besloten. Hoe staat u daartegenover?
“Dat wordt inderdaad geregeld in de Uitvoeringswet die binnenkort in het parlement wordt behandeld. Ik vind dat heel wijs. Je moet één lijn trekken voor bedrijven en overheden. Wij hebben ook gepleit voor het handhaven van de last onder dwangsom. En gelukkig is die in het huidige wetsvoorstel opgenomen. Zo’n voorwaardelijke boete geeft ons meer mogelijkheden tot maatwerk, zowel publiek als privaat.”
Naming and shaming werkt onvoldoende bij publieke organisaties?
“Dat wil ik niet zeggen. Kijk eens naar het werk van de Nationale ombudsman. Dat is sterk verwant met ons toezicht, met dit verschil dan hem geen instrumenten ter beschikking staan om organisaties direct aan te pakken. Toch heeft hij veel invloed. Zijn kritisch oordeel valt moeilijk te negeren. Wij verwachten dat dit bij ons ook zo zal werken.”
Om als schrikreactie de meest veilige route te kiezen is niet altijd de beste weg
Ik kom nogmaals terug op organisaties die niet tijdig klaar zijn. Wat kunnen die het beste doen? Dat vooraf aankaarten?
“Dat is lastig te zeggen. Transparantie is altijd goed. Als de FG ons belt nemen we natuurlijk de telefoon op. Maar dat geeft geen garantie dat we komen tot een gedoogsituatie. Veel hangt ook af van eventuele klachten van burgers. Een klacht nemen we altijd in behandeling. Je weegt vervolgens in je beoordeling mee wat de organisatie allemaal heeft ondernomen om gebreken te voorkomen. Maar zonder meer gedogen van een onwettige situatie, dat kan niet. Organisaties weten al jaren dat dit eraan komt. Wat je vaak ziet is dat ze te veel gegevens verzamelen en ze bovendien te lang bewaren. Men zou jaarlijks zoiets als een grote voorjaarsschoonmaak moeten houden.”
Wat is uw algemene indruk over de bekendheid van de nieuwe privacywetgeving?
“Dat is sterk wisselend. Een jaar geleden waren we echt bezorgd over het gebrek aan bewustwording. Maar het laatste halfjaar zie ik een kentering. En gelukkig is er niet alleen veel aandacht voor de boetes, maar daalt ook het besef in dat het om belangrijke maatschappelijke waarden gaat. In onze digitale samenleving is de bescherming van persoonsgegevens nog urgenter geworden. Samenvattend: de bewustwording is laat op gang gekomen, maar het momentum lijkt er nu te zijn.”
Waar krijgt u de meeste vragen over?
“Veel vragen zijn er over beveiliging, over wanneer je verplicht bent om een data protection impact assessment (DPIA) te houden of wanneer een organisatie wel of geen verwerkingsregister bij moet houden. Ook over de rol van de FG krijgen we veel vragen net als over verwerkingsovereenkomsten.”
Bij een aantal in het oog springende privacykwesties uit het recente verleden draaide het om de al dan niet rechtmatige overdracht van gegevens tussen partijen. Zoals Translink dat reisgegevens van studenten aan DUO gaf, of parkeerbedrijven die camerabeelden aan de Belastingdienst verstrekten. Verwacht u meer terughoudendheid bij overheden nu de AVG van kracht wordt?
“Ik verwacht wel een zorgvuldiger afweging. Maar om als schrikreactie de meest veilige route te kiezen is niet altijd de beste weg. De burger verwacht ook dat je je dienstverlening zo goed mogelijk doet. Het kan dan ook in het belang van de burger zijn om juist wel gegevens uit te wisselen. In die afweging is de FG enorm belangrijk. En als die FG twijfelt, dan belt hij ons. Wij zijn dan verplicht om hom of kuit te geven: het kan wel of het kan niet.”
Die FG wordt een belangrijke functionaris en min of meer een verlengstuk van de toezichthouder. Welke eisen stelt u aan de FG? Komt er een curriculum voor?
“Er is in Europees verband een richtsnoer. Daarin staan dingen als: de FG moet de privacywetgeving kennen, over materiekennis van de organisatie en voldoende opleiding beschikken, rechtstreeks toegang tot de leiding hebben. Maar het is moeilijk om echt een lijst kwalificaties op te stellen. Het hangt ook erg van de context af wat nodig is. Bij de ene organisatie zijn privacykwesties veel complexer dan bij de andere. We hebben om die reden ook geen curriculum opgesteld. Maar wij zullen denk ik ook tegen FG’s aanlopen waarvan we zeggen: daar moet een tandje bij. We kunnen een verplichting tot meer opleiding opleggen.”
Organisaties blijken zich behoorlijk zorgen te maken over het inzagerecht dat onderdeel is van de AVG. De vrees bestaat dat dit net als bij de WOB querulanten aantrekt, die er uitsluitend op uit zijn een schikkingsvoorstel uit te lokken. Wie gaat beoordelen of iemand een redelijk verzoek doet?
“Uiteindelijk wij. Maar de eerste afweging maakt de verwerkingsverantwoordelijke, en daarna de FG. Maar daar zit niet heel veel ruimte in. Als iemand een organisatie verzoekt te laten zien wat men van hem weet, moet men daar inzage in geven. Dat gezegd hebbende: er zit wel een antimisbruikbepaling in de AVG. Die WOB kent die overigens ook, maar overheden hebben daar in het verleden nauwelijks gebruik van gemaakt. Maar in beginsel moet een organisatie openheid van zaken geven. Laatst hadden we een bedrijf dat weigerde een klant inzage te geven vanwege het argument: u krijgt die gegevens niet want u gaat die gebruiken om te procederen tegen mij. Dat is dus geen reden. We hebben dat bedrijf een dwangsom opgelegd. Elke burger heeft er recht op om te weten wat een organisatie van hem weet.”
Download iBestuur magazine nummer 26 als PDF
De uitvoeringswet is al door de Tweede Kamer vastgesteld, inclusief een amendement van de SGP.