Interview Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens
De letter van de wet laat vaak ruimte over voor interpretatie. Dat geldt zeker voor de GDPR. ICT-leveranciers hebben behoefte aan uitleg en – op termijn – jurisprudentie omtrent de GDPR, zodat ze hun dienstverlening beter op de werkelijkheid kunnen afstemmen. We willen graag weten waar we nu aan toe zijn. Over deze en andere issues sprak ICT/Magazine met Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.
“De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens.” Zo staat het op hun website. Andere taken van de AP zijn het doen van onderzoek en adviseren over nieuwe regelgeving. Zie kader voor een volledig overzicht van de taken. Dat zijn met de aanstaande handhaving van de GDPR – per 25 mei 2018 – schone taken. En het lijkt erop dat de urgentie van deze wetgeving eindelijk tot het bedrijfsleven begint door te dringen. “Bij ict-leveranciers is de ernst van de zaak wel duidelijk”, vertelt Wolfsen, “maar bij het bedrijfsleven nog onvoldoende. Daarom ben ik zo blij met dit interview en met dat voorpagina-artikel in het FD van 14 augustus[1]. Uit recent onderzoek van de NOS blijkt dat het nogal tegenvalt met hoe bekend mensen zijn met GDPR. Onlangs bij een bijeenkomst van bankcommissarissen werd het mij wel duidelijk dat iedereen het nut en de noodzaak ervan inziet. Alles is data, alles is ICT. Maar ik schrok toch wel toen mij werd gevraagd: ‘Ja, maar Aleid, is er nog een overgangstermijn?’ Deze wetgeving is al in 2009 opgestart, er is vier jaar lang binnen Europa over onderhandeld. Het is ongeveer het meest belobbyde wetgevingstraject waar alle brancheclubs bij zijn betrokken. Nadat het in 2016 is aangenomen en in werking is getreden, kreeg iedereen nog eens ruim twee jaar de tijd om zaken te regelen. Hoezo, nog een overgangstermijn?”
De officiële takenlijst AP per 25 mei 2018
- Voorlichting & advisering (telefonisch)
- Voorafgaande raadpleging
- Systeemtoezicht
- Datalekken
- Klachten Nederland
- Klachten EU
- Ambtshalve onderzoeken NL
- Ambtshalve geïnitieerd toezicht EU
- Internationaal
- Strategie & beleid
- Staftaken juridisch
- Sanctionering
- Bezwaar
- Beroep
- Wetgevingsadvisering
- Communicatie intern en extern
Blijft toch de vraag, hoe hard is 25 mei 2018 nu werkelijk?
“Keihard! We hebben binnenkort allerlei sessies in het land voor VNO-NCW, om maar zoveel mogelijk voorlichting te geven. Want 25 mei staat als een huis. Wij kunnen daar ook niet mild over zijn, omdat burgers vanaf 25 mei het recht hebben een klacht in te dienen over onrechtmatig gebruik van zijn of haar privacy. Dat geldt voor alle Europese burgers met betrekking tot overheidsinstellingen en bedrijven waarvan de hoofdvestiging in Nederland zit. Of dat nu een datalek betreft, of dat een bedrijf over teveel informatie beschikt, of de toestemming is niet goed. Wij zijn verplicht iedere klacht te onderzoeken, ‘to the extent appropriate’, zoals het zo mooi in de wetgeving staat. Wij worden dus een soort Ombudsman voor de privacy. En de burger mag tegen iedere afdoening van ons appelleren bij de rechter. Als wij een bepaalde klacht ongegrond achten, kan de klager naar de rechter stappen. Daarom kunnen wij ook helemaal niet meer mild zijn.”
In gesprekken ict-leveranciers komen opmerkingen naar voren als: ‘Het is onduidelijk wat er met de meldingen gebeurt’, ‘Er zijn hooguit wat tikjes op vingers gegeven’, ‘Waarom niet vanaf het begin laten zien dat het menens is?’, ‘Het trekken van gele kaarten mist na enige tijd doel.’ Graag uw reactie hierop.
“In Europa was Nederland de eerste die, anticiperend op de GDPR, de meldplicht heeft ingevoerd. Onder de huidige wetgeving is het ‘melden als’. Dat wil zeggen als het gaat om persoonsgegevens van gevoelige aard, of als er ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens kunnen zijn. Onder de GDPR wordt dat ‘melden, tenzij’. De nieuwe definitie maakt dat de bewijslast meer dan nu bij de organisatie komt te liggen. Deze moet bewijzen dat het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de bescherming van persoonsgegevens. Dat zal in de praktijk vaak lastig zijn. Heb je als organisatie geen 100 procent bewijs in handen, dan moet je melden. Ook kunnen wij nu alleen een boete opleggen wanneer er sprake is van opzet of grove schuld. De drempel om boetes op te leggen is dus hoog, en dat is prima, want boetes opleggen is niet het doel. Het doel is uiteraard goede gegevensbescherming. Maar die drempel van opzet en grove schuld valt straks weg, al denken veel mensen misschien dat het wel los zal lopen. Dat is echt niet zo, en daar zullen mensen straks wel van schrikken. Fout is gewoon fout. Het argument van ‘ik wist niet dat ik dit moest melden’ is straks niet meer relevant. Ook ligt de bewijslast nu nog bij ons, maar straks ligt die bewijslast bij de organisatie. Je meldt, waarbij je zelf moet aantonen dat er geen ernstige gevolgen zijn geweest. Wij hebben inderdaad hier en daar tikjes uitgedeeld, dwingende aanwijzingen gegeven, maar we zijn ook serieus opgetreden tegen bedrijven en overheden, alleen hangen we de namen van deze instellingen niet aan de schandpaal.”
Waarom niet?
“Dat is in alle eerlijkheid wel een dilemma voor ons. Toch willen we geen schandpaal, maar we willen dat organisaties compliant werken. Er is geen lijst van melders, omdat een melding op zich niet wil zeggen dat er iets fout is bij die bedrijven. Zij houden zich aan de meldplicht, niets meer, niets minder. Wij maken iets pas openbaar als het volledige onderzoek is afgerond en er een sanctie is opgelegd. Daar gaat uiteraard een uitvoerig proces van hoor en wederhoor aan vooraf. Er lopen nu enkele onderzoeken waar misschien een boete uit zal komen. Als dat inderdaad gaat gebeuren, maken we het openbaar. De lijst met bedrijfsnamen waar wij waarschuwingen aan hebben gegeven – ongeveer 150 organisaties – is evenmin openbaar. Dat is ook logisch, want de hele meldplicht staat of valt met onze vertrouwelijke omgang.”
Veel aandacht binnen GDPR gaat uit naar de juridische en technische kant. Slechts een enkeling heeft het over de ethiek van het hele verhaal. Volgens hen zal de klant uiteindelijk overtreders zelf straffen.
“Geweldig! Dat is de goede toon en de uiteindelijke ratio achter de wetgeving. In mijn toespraken begin ik altijd over de achterliggende waarden: onze grondrechten, zoals vrijheid, gelijkwaardige behandeling enzovoort. De analoge privacy van voorheen zat in ons hoofd, maar nu zit het allemaal in data, openlijk of te interpreteren. Juist daarom spreekt het mij zo aan dat er ook over ethiek wordt gesproken. Privacy is een van de fundamenten van onze rechtsorde.”
Met de huidige technologische ontwikkelingen en de overvloed aan data, wordt wel beweerd dat privacy dood is.
“Daar ben ik zeer mee oneens. Regelmatig luister ik aan de telefoon mee met mensen die ons bellen. Al kunnen mensen nog niet officieel een klacht indienen, voor tips of suggesties of vragen zijn wij al bereikbaar. Daar hoor ik continu verhalen over mensen die klem komen te zitten, omdat hun privacy wordt aangetast. Van een medisch dossier dat niet goed is beveiligd en een half ziekenhuis is doorgegaan, of een werkgever die de data van wearables van zijn werknemers opeist, tot aan identiteitsfraude. Als je een uurtje aan die telefoon hebt gezeten dan praat je nooit meer relativerend over privacy.”
Dat is dan toch juist een bevestiging van de stelling: privacy bestaat niet meer? De groei van de hoeveelheid data is nauwelijks meer te beheersen, zoals nauwelijks meer te bevatten is wat er mee kan worden gedaan.
“Die moed geef ik nog niet op. Ik ken de verhalen van het correleren van data, waardoor een zorgverzekeraar op basis van iemands levensstijl een hogere premie zou rekenen of juist een bepaald product helemaal niet aanbiedt. Dat begint met transparantie. Daar is de GDPR nu juist zo goed voor. Stel dat een supermarkt boodschappendata zou doorverkopen zonder instemming van de consument, en zonder gerechtvaardigd belang, dan hebben ze met ons een zeer groot probleem. Omdat de negatieve gevolgen zo groot kunnen zijn, en daarom mag dat niet.”
Daar zit de aanname in dat GDPR echt gaat werken en dat eventuele fouten ook boven water komen.
“Als u merkt dat er misbruik van uw gegevens wordt gemaakt, dan kunt u vanaf 25 mei 2018 bij ons een klacht indienen. Als wij het gaan onderzoeken kunnen wij overal in en overal bij. Ik schrok zelf ook van die draconische boetes. Ik dacht eerst dat het een typefout was met al die nullen, maar ik begrijp het wel. Want als een groot internationaal actief bedrijf willens en wetens de privacy van klanten schendt, dan werkt dat kwadratisch. Daar moeten we echt heel erg fors tegen op kunnen treden. Anders wordt het voor de grote bedrijven gewoon een calculatie, zolang de winst maar groter blijft dan de boetes. Dat is nu toch anders met die draconische boetes. Want 4 procent van de wereldwijde omzet dat is heel erg veel. Bovendien is de restrictie in het gewone strafrecht – waarbij korting wordt gegeven bij meerdere overtredingen – hier niet van kracht. Iedere overtreding kan volledig worden beboet. Uiteraard hopen we dat het niet zover komt, maar ik ben ervan overtuigd dat wij echt adequaat kunnen optreden als dat nodig mocht blijken.”
Gaat de handhaving, die veel mensenhanden en ict-kennis vereist, een probleem worden?
“Dat weten we nog niet. Tot nog toe waren we te klein en te kwetsbaar, mede vanwege de moeilijke economische tijden die we achter de rug hebben. Toen wij die taak van de datalekken erbij kregen, hebben we er geen extra mensen bij gekregen. Ook het proactief controleren gebeurt minder dan we zouden willen. Toen ik benoemd werd, heb ik met de toenmalige minister, Ard Van der Steur, een proces afgesproken om tot een adequate bezetting te komen. Wij lieten een externe, onafhankelijke rapporteur onderzoeken hoe groot wij moeten zijn om de GDPR goed te kunnen handhaven. Daaruit kwam dat wij 2,5 tot 3,5 keer zo groot moeten zijn als nu. Momenteel hebben we ongeveer 90 medewerkers. Van de Kamer en het departement hebben we toestemming om te gaan werven, waar we nu mee bezig zijn. We gaan een afdeling technologie en beveiliging opzetten, die onder meer actief op niet-melders gaat letten. Zo ontvingen wij onlangs uit een bepaalde sector ineens heel veel meldingen. Als je dan nooit een datalek meldt, val je op. Dus daar kunnen we dan zelf op afstappen. Is het op orde dan is er natuurlijk niets aan de hand.
En in zekere zijn krijgen we ook hulp. Bedrijven en overheidsinstellingen kunnen of moeten een FG in dienst hebben, een functionaris gegevensbescherming. Zij zijn eigenlijk een interne toezichthouder, een mini-AP’tje binnen een bedrijf zo je wilt. Zij weten precies wat wel en wat niet gemeld moet worden.
Onlangs sprak ik Hans de Boer (red: voorzitter VNO-NCW) die mij ervoor waarschuwde dat wij geen showstopper voor innovatie moeten worden. Daar ben ik het volledig mee eens. Tegelijkertijd mag innovatie niet leiden tot het schenden van grondrechten. Door goede begeleiding en communicatie willen wij helderheid verschaffen over de algemene normeringen binnen de GDPR. Dat gaan we actiever doen. Bedrijven in de ict-sector hebben ook een taak in het verhogen van deze bewustwording door actief te laten zien wat ze doen voor privacy.”
Heeft de Autoriteit Persoonsgegevens ook een internationale rol?
“Ja, die zie ik om twee redenen. De GDPR schrijft de EDPB voor, European Data Protection Board, een formeel overleg van alle voorzitters van de nationale autoriteiten. Nu is dat nog een adviescollege, maar straks is het een formeel besluitvormend bestuur. Daarnaast moppert het internationale bedrijfsleven over het feit dat bedrijven in ieder land weer met een ander orgaan te maken hebben. Straks zijn er Lead Authorities, wat betekent dat elk bedrijf in Europa straks te maken krijgt met één autoriteit. Dus voor bedrijven die in Nederland hun hoofdvestiging hebben, zijn wij de Lead. Wij zullen ook, zoals gezegd, de klachten behandelen die niet-Nederlandse burgers hebben over die Nederlandse bedrijven.”
De Facebooks en de Googles van deze wereld konden vanwege het ontbreken van een GDPR rustig hun gang gaan. Zijn die vanaf nu out of business?
“Dat data de nieuwe olie zijn, mag wel duidelijk zijn. De vijf grootste bedrijven ter wereld zijn ict/data-organisaties en allemaal hebben ze ook een Europese hoofdvestiging. Nu wordt het land van die hoofdvestiging weliswaar de lead authority, maar daarin trekken we wel samen op. Die grote bedrijven raken namelijk echt alle landen. Dus als wij in de EDPB zouden vinden dat één toezichthouder te vriendelijk optreedt, dan wordt daar gezamenlijk over overlegd. Voor heel Europa gelden dezelfde regels. En nogmaals, de klachten die de burger mag indienen, die zijn een prachtig vangnet. Overigens, ik heb geen exacte informatie, maar mijn indruk is dat deze bedrijven wel zeer doordrongen zijn van het belang om GDPR-proof te zijn. Laat hen dat dan ook maar laten zien!”
Tot slot benadrukt Wolfsen nog eens de onderliggende waarde van de GDPR: “Het is een grondrecht van alle burgers dat ze niet in de knel mogen komen omdat data zich tegen hen keren. Daarbij mogen we ons best realiseren hoe goed we het hebben in de Westerse wereld, met onze grondwetten en ons oprechte streven naar rechtvaardigheid. Juist daarom moeten we zo hechten aan die grondwet en daarom is privacy zo belangrijk.”
[1] “Bedrijven in paniek over Europese privacywet. Sancties dreigen door onderschatting nieuwe regels voor bescherming persoonsgegevens.” Johan Leupen en Jeroen Segenhout, FD, 14 augustus 2017.
