Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens:
Het is bijna D-Day voor de GDPR/AVG. In de aanloop naar 25 mei, de datum waarop de nieuwe richtlijn voor bescherming van persoonsgegevens zal worden gehandhaafd, is er een waar media-offensief ontstaan. Nog nooit was er zoveel aandacht voor de privacy van burgers. Tijd voor een laatste ‘opfriscursus’.
In de ICT/Magazine van september 2017 stond een interview met Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Met de handhavingsdatum voor de deur leek het ons goed hem nogmaals enkele vragen voor te leggen. Ondanks zijn enorm drukke werkschema kon hij aan ons verzoek voldoen.
Er zijn vele berichten die beweren dat ‘het bedrijfsleven’ nog niet klaar is voor de AVG op 25 mei. Baart u dat zorgen?
Wij zien de datum van 25 mei met vertrouwen tegemoet. Dan geldt de AVG inderdaad voor alle organisaties in Nederland, zonder uitzonderingen. Wij realiseren ons dat het voor organisaties veel werk is om alle processen en producten op tijd aan te passen en AVG-proof te zijn. Tegelijkertijd zijn ook al gedurende vier jaar grote organisaties en brancheorganisaties, zoals VNO-NCW, betrokken geweest bij de totstandkoming van de AVG. Ze hebben gevraagd om een overgangstermijn en die ook gekregen (van mei 2016 tot mei 2018). Iedereen heeft dus ruim voldoende tijd gehad om zich voor te bereiden. We horen verschillende geluiden van bedrijven en organisaties. Sommigen zijn al jaren bezig met de voorbereidingen en lijken hun zaakjes goed op orde te hebben. Andere komen van ver, en hebben nog veel te doen.
25 mei is een harde datum. De AP houdt toezicht op naleving van de AVG en zal indien nodig handhaven. Strikt bezien kunnen én mogen we er ook niet voor kiezen om het handhaven van de AVG uit te stellen. De verordening heeft rechtstreeks werking en het hele idee is dat er binnen de EU één uniform kader gaat gelden. Dat verhoudt zich niet met eigen keuzes omtrent invoering enzovoort. Bovendien kunnen mensen vanaf 25 mei een privacy-klacht bij ons indienen. Wij zijn verplicht iedere klacht in behandeling te nemen.
Wat kan de AP hieraan doen?
De Autoriteit Persoonsgegevens probeert zoveel mogelijk begeleiding te bieden aan organisaties die zich voorbereiden op de start van de AVG. We zijn een voorlichtingscampagne gestart gericht op ondernemers, we staan op beurzen en geven veel presentaties door het land. Daarnaast werken wij in de voorlichting veel samen met grote brancheorganisatie, zoals de VNO-NCW. Bovendien bieden we praktische hulpmiddelen zoals een interactieve regelhulp die ondernemers stap voor stap meeneemt in de invoering van de AVG voor zijn of haar bedrijf. We hebben ook een 10-stappenplan opgesteld dat als leidraad kan dienen.
Ook hebben we guidelines ontwikkeld om praktische uitleg over de nieuwe privacyregels te geven. We merken dat het aantal telefonische vragen bij onze afdeling publieksvoorlichting toeneemt. Wij zijn op dit moment heel ruim telefonisch bereikbaar voor alle vragen die leven rondom de invoering van de AVG, ook voor ondernemersvragen.
Heeft u advies voor bedrijven die zich zorgen maken om hun achterstand?
Het advies is om er vooral voor te zorgen dat alle mensen binnen je organisatie de nieuwe privacyregels kennen.Dat begint bij bewustwording. Breng in kaart welke gegevens je verwerkt en leg dit vast. Zorg dat je datahuishouding op orde is. De verantwoordelijkheid blijft liggen bij de bedrijven om straks aan te kunnen tonen dat ze zich aan de wet houden.
Hoe kijkt u aan tegen de achterstand van de Belastingdienst? Daar is de ICT niet op orde, laat staan dat er AVG-compliancy is.
De AVG geldt voor alle organisaties, dus ook de Belastingdienst moet net als iedere andere organisatie per 25 mei aan de AVG voldoen. Zeker omdat de Belastingdienst enorm veel persoonsgegevens verwerkt en dus veel van ons weet. Daarom juist voor organisaties zoals de Belastingdienst is het van groot belang dat zij per 25 mei aan de AVG wet voldoen. Laat het volstrekt helder zijn dat er geen uitzonderingen gelden.
Hoe zal de handhaving verlopen?
Ik wil benadrukken dat een sanctie geen doel op zich is. Het doel is dat de persoonsgegevens van iedereen goed beschermd worden en dat privacy-schendingen zo snel mogelijk stoppen. Dat betekent dat we steeds kijken welk handhavingsmiddel het meeste effect heeft. Soms kan een snelle interventie het beste werken: dus een brief of telefoontje naar de organisatie dat men mogelijk in overtreding is en soms is een sanctie in de vorm van een last of een boete beter op zijn plaats. De boetebevoegdheden van de AP worden onder de AVG uitgebreid: het opleggen van boetes wordt laagdrempeliger: We hoeven niet meer te bewijzen dat er opzet in het spel is. De boetehoogte is pittig. De boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de jaaromzet.
Wat gaan we daarvan zien? Wat is de rol van de AP in de AVG?
De Autoriteit Persoonsgegevens is de organisatie die toezicht houdt op naleving van de privacywetgeving. Een belangrijke nieuw taak is dat de AP ook voorlichting geeft over de nieuwe regels. Bij de Autoriteit Persoonsgegevens werken redelijke mensen die een groot maatschappelijk belang behartigen. Het recht op privacy is een grondrecht van iedere Nederlander, en wij beschermen dat grondrecht. Bij een overtreding zullen we de situatie zorgvuldig onderzoeken. We kijken dan naar de beste manier om de wet na te leven.
Onze rol zal veranderen nu we ook meer bevoegdheden krijgen als autoriteit. Onze voornaamste taken zijn:
- Klachtbehandeling: hierbij zijn wij verplicht elke klacht die binnenkomt te behandelen en te onderzoeken.
- Naast het klassieke ambtshalve onderzoek zullen wij ook systeemtoezicht toepassen. Hierbij kijken we naar de opzet, reikwijdte en werking van (kwaliteits)systemen en bedrijfsprocessen bij organisaties. Het is een vorm van tweedelijns toezicht, ofwel toezicht op het toezicht van de organisatie zelf. Systeemtoezicht maakt gebruik van het aanwezige interne toezicht in een organisatie, bijvoorbeeld in de vorm van een functionaris voor de gegevensbescherming. Dus als het toezicht door de sector (denk aan gedragscodes) of een organisatie (FG) goed geregeld is, zal de AP wat meer op afstand toezicht houden.
- De AP is behalve toezichthouder ook wetgevingsadviseur.
In ons vorige interview verbaasde u zich erover dat sommige bedrijven nog altijd in de veronderstelling verkeerden dat er wel uitstel mogelijk zou zijn. Hebt u de indruk dat bedrijven nu beter doordrongen zijn van de hardheid van de deadline van 25 mei?
Door alle voorlichting en overige communicatie van de afgelopen tijd merken wij dat organisaties enorm druk bezig zijn om eventuele achterstanden in te halen en hun organisatie AVG-proof maken. We merken dit ook aan het hoge aantal vragen dat bij ons binnenkomt. Het bewustzijn neemt absoluut toe.
In de berichtgeving wordt vooral aandacht besteed aan bedrijven. De rechten van de burgers worden hooguit aangestipt. Zijn de burgers volgens u voldoende op de hoogte van hun rechten?
Zeker niet alle mensen zijn op de hoogte van wat de nieuwe wetgeving voor hen kan betekenen. Uit onderzoek weten wij dat mensen hun privacy belangrijk vinden, maar het vaak beschouwen als een verloren zaak. Onterecht. De bescherming van persoonsgegevens is een grondrecht. Een recht dat met de AVG versterkt wordt. Terecht, want schendingen van de privacy raken de fundamenten van onze rechtsorde; de gelijkwaardigheid van mensen, de solidariteitssystemen, de vrijheidsrechten en de democratische rechtsstaat.
Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacy-rechten worden namelijk versterkt en uitgebreid.
Wij informeren zoveel mogelijk via onze website en via de media. In mei starten wij met een radiocampagne gericht op de burger. Daarnaast staan wij bij vragen dagelijks mensen telefonisch te woord.
Kun u inschatten of zij ‘en masse’ gebruik zullen maken van recht op inzage, recht om vergeten te worden en andere rechten?
Daar kunnen wij nu nog geen uitspraken over doen. Ongetwijfeld zullen er vragen komen die wij uiteraard zo goed mogelijk zullen beantwoorden en afhandelen, maar op dit moment kunnen we daar weinig over zeggen.
Hoe reëel is dit voor bedrijven die hier voorzieningen voor moeten treffen?
Heel reëel, zij kunnen met ingang van 25 mei hier door mensen op bevraagd worden. Als zij hier niet aan kunnen voldoen, dan overtreden zij de wet. De positieve kant van het verhaal is dat wie zijn zaakjes goed op orde heeft, een aantrekkelijke partner is voor potentiële klanten en consumenten.
Wat is volgens de AP belangrijker: ‘Het handhaven van de wet’ of ‘Het stimuleren van privacy-awareness in de samenleving’?
Dit is een schijnbare tegenstelling. Onze primaire taak is om de persoonsgegevens van alle Nederlanders te beschermen. Om die bevoegdheden in te zetten, om die bescherming te garanderen, heb je een aantal instrumenten nodig om op te treden wanneer de wet wordt overtreden. Het uitdelen van boetes is voor ons geen doel op zich, maar een laatste redmiddel.
Speelt de AP nog een rol in het recente Facebook-schandaal met Cambridge Analytica? Zo ja, welke rol is dat dan?
Deze zaak is nu in handen van de Britse privacy-toezichthouder. En zij zijn inmiddels gestart met een onderzoek[1]. Een werkgroep van de samenwerkende Europese privacy toezichthouders gaat kijken hoe social media-platformen aan hun gegevens komen en hoe ze voorkomen dat anderen daar onrechtmatig toegang toe hebben. De AP wil een actieve rol spelen in deze werkgroep. Door de Europese samenwerking kunnen we steviger optreden tegen overtredingen. Daar is iedereen bij gebaat die social media gebruikt.
De werkgroep gaat in Europees verband een langetermijnstrategie ontwikkelen voor het gebruik van persoonsgegevens door social media. Uitgangspunt is de bescherming van persoonsgegevens tegen onrechtmatig gebruik op social mediaplatforms. De werkgroep kijkt niet alleen naar social media, maar ook naar andere partijen als datahandelaren en app-ontwikkelaars.
Toont dit schandaal niet eens temeer aan dat er achter de schermen nog altijd de mogelijkheid zal blijven om de privacyregels met voeten te treden?
Privacy is een grondrecht. Voor iedereen. Dit voorbeeld toont des te meer het belang aan van de bescherming van de persoonsgegevens. Zeker in de huidige digitale tijdperk. Ik kan niet wachten tot de AVG geldt per 25 mei, omdat we dan door de Europese samenwerking sterker en effectiever kunnen optreden tegen grensoverschrijdende overtredingen .
Is er onderzoek op AP-initiatief, of is het vooral het navolgen van meldingen van datalekken?
Onderzoek kan zijn op eigen initiatief of naar aanleiding van meldingen, signalen, tips en klachten.
[1] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/03/ico-statement-investigation-into-data-analytics-for-political-purposes/
