Aleid Wolfsen, Voorzitter Autoriteit Persoonsgegevens:
Afgelopen 1 september was het precies 100 dagen geleden dat de AVG/GDPR van kracht werd. De nieuwe Europese privacyrichtlijn hield de gemoederen in de aanloop naar 25 mei behoorlijk bezig. Hoe staat er 100 dagen na dato voor? We maken de stand van zaken op met Aleid Wolfsen, Voorzitter van de Autoriteit Persoonsgegevens.
Eind augustus stond de telefoonteller bij de AP op 17.000 telefoontjes bij het Informatie- en Meldpunt Privacy vanaf 1 januari 2018. “Het stabiliseert nu tot ongeveer 600 telefoontjes per week”, zegt Wolfsen. “Gelukkig zijn de wachttijden van vóór 25 mei zo goed als weggewerkt. De bedrijven die ons belden, wilden vooral weten of ze goed bezig waren. Dat gebeurt nu aanzienlijk minder, misschien omdat ze bang zijn voor represailles als ze aan de AP vertellen dat ze nog niet op orde zijn. Veel vragen gaan nu over de open norm. Wat is bijvoorbeeld een hoog risico, of een adequate beveiliging? Vanuit Europa – EDPB – maken we daarover richtlijnen en dat doen wij ook als AP. Zoals gebruikelijk zal de wet per geval, casus en rechtszaak steeds specifieker worden.”
Hoewel het aantal telefoontjes iets is teruggelopen, is het voor de AP nog steeds alle hens aan dek. “Onze capaciteit blijft krap”, aldus Wolfsen. “We zijn dan ook nog steeds aan het uitbreiden. Of onze huidige 140 medewerkers het aankunnen, hangt af van de aard van de klachten die wij binnen krijgen. In ieder geval staat de AVG, mede dankzij de berichtgeving, nog steeds ruim in de belangstelling. De bewustwording groeit dat privacy echt wel ergens over gaat. Mensen nemen tracking cookies, verhandelen van data enzovoort steeds serieuzer.”
Speldenprikactie
Wolfsen vertelt dat de AP recent verschillende speldenprikacties heeft gevoerd. “Daarbij hebben we bijvoorbeeld bij overheden en in de zorgsector gecontroleerd of er daadwerkelijk FG’s waren aangesteld. Bij private partijen hebben we gecontroleerd of zij een privacyboekhouding bijhouden. Dat is een eerste indicatie of een bedrijf privacy-veilig bezig is. De FG’s zijn als het ware onze hulptroepen. Wanneer wij hier een bedrijf ontvangen voor overleg, willen wij dat hun FG ook aan tafel zit. Als het goed is weet een FG wat er speelt binnen een bedrijf. Hij kent de digitale wereld én de privacywetgeving. Om adequaat intern toezicht uit te kunnen oefenen, moet een FG een positie hebben op niveau binnen een bedrijf. Wanneer ons ter ore komt dat dit niet het geval is, of dat een FG zelfs wordt tegengewerkt, dan spreken we dat bedrijf erop aan. Uit die speldenprikacties kwam overigens naar voren dat twee ziekenhuizen nog steeds geen FG hadden aangesteld. Die hebben een brief van ons ontvangen waarin we erop aandringen om het binnen vier weken op orde te hebben. Is het na vier weken nog steeds niet geregeld, dan gaan wij sanctioneren.”
Klachten
Het merendeel van het telefoonverkeer is afkomstig van burgers, die vragen of klachten hebben. Wolfsen vertelt dat er gemiddeld 100 tips en klachten per week binnenkomen. “Burgers krijgen soms moeizaam of helemaal geen toegang tot hun eigen gegevens. Of een bedrijf reageert niet goed op een verzoek van klanten om hun gegevens te vernietigen. In dit kader hebben wij onlangs een bank bestraft. Een burger klaagde dat hij geen inzicht kreeg in zijn eigen gegevens. Toen dit na ons aandringen nog niet was geregeld, hebben wij een dwangsom opgelegd. Omdat de bank nog geen actie ondernam, moest die dwangsom van ongeveer € 40.000 ook daadwerkelijk worden betaald. Dat is gebeurd, maar belangrijker is dat die burger inmiddels inzage heeft gehad. Een individuele klacht kan dus duidelijk een normerende kracht hebben. Andere vragen gaan over het gebruik van camera’s in een openbare ruimte, of van camera’s in voordeuren. De AP heeft onlangs een standpunt ingenomen over camera’s in reclamezuilen. Dat is niet toegestaan, met uitzondering van enkele bijzondere omstandigheden. Momenteel loopt er nog een rechterlijke procedure over camera’s bij buren. Hierover plaatsten we recent nieuwe Q&A’s op onze website. Alleen in de private ruimte mag je camera’s gebruiken voor bewaking, beveiliging van je goederen, maar in de openbare ruimte mag dat niet. Ook weer hier met uitzondering van enkele bijzondere omstandigheden.”
Overheid versus overheid
Een jaar geleden hadden veel bedrijven een achterstand op de compliancy met de AVG. Nu, 100 dagen na de invoering van de richtlijn, stelt Wolfsen dat het met de bewustwording wel goed zit bij veel bedrijven. “Onze controles richten zich met name op sectoren waar veel datahandel plaatsvindt, zoals de overheid en de zorgsector. Uiteraard is ook de Belastingdienst door ons gecontroleerd, en, nee, die zijn nog steeds niet op orde. Wel vind ik het buitengewoon sjiek dat de Belastingdienst daar ook rond voor uitkomt. Ze draaien niet om de hete brij heen en steken zonder meer hand in eigen boezem.” Op de vraag welk breekijzer de AP nu werkelijk heeft richting een falende overheidsinstantie, antwoordt Wolfsen: “Het lijkt misschien weinig effectief dat de ene overheid een boete oplegt aan een andere overheid, maar toch geloof ik dat het wel degelijk effect heeft. Ten eerste is het imagokwestie, het vertrouwen in een specifieke overheid loopt schade op. En toch is ook de boete zelf voelbaar. Het geld wordt echt in mindering gebracht op het budget van die overheid. Het verdwijnt bij die ene overheidsinstantie en gaat naar de rijkskas. En de minister gaat dat echt niet compenseren. Maar ik geef toe dat wij richting het bedrijfsleven met boetes absoluut een hardere vuist kunnen maken.”
Kwaliteitstoets
De vele telefoontjes van burgers fungeren als signaleerfunctie. Zo kunnen niet gemelde datalekken boven water komen. Wolfsen: “Of iemand wijst ons op een bedrijf waarmee hij/zij een kwestie mee heeft. Regelmatig sturen wij dan een zogeheten ‘normuitleggende’ brief waarin ook de waarschuwing staat dat er sancties kunnen volgen wanneer het niet voldoen aan de AVG niet tijdig wordt rechtgezet. Ook kijken wij veel op sociale media. Per slot van rekening hebben 17 miljoen Nederlanders meer ogen en oren dan wij alleen. Datalekken leiden altijd tot een soort van kwaliteitstoets. Wij controleren of betrokkenen zijn geïnformeerd, zodat zij bijvoorbeeld tijdig een wachtwoord kunnen resetten. Is het lek gemeld en wat was de oorzaak van het lek? Wanneer wij een structureel probleem zien of vermoeden, geven wij opdracht om de beveiliging aan te passen. Over de meeste onderzoeken die nu lopen kan ik geen mededelingen doen. Het onderzoek naar een niet gemeld datalek bij Uber is publiekelijk bekend, maar wij zijn er niet om aan naming & shaming te doen. Alleen afgeronde onderzoeken worden bekendgemaakt.”
Wolfsen sluit af met de geruststellende mededeling wat we wat de AVG betreft op koers liggen. “De maatschappelijke bewustwording is goed al is met name in het MKB nog veel voorlichting nodig. Ook ZZP’ers lopen tegen allerlei vragen aan. Er komt extra geld van de Europese Commissie, om deze groepen nog eens extra te informeren omtrent de AVG.”
