De Autoriteit Persoonsgegevens (AP) moet duidelijker uitleggen wat binnen de privacywetgeving wel en niet is toegestaan. Dit concludeert de Begeleidingscommissie Evaluatie Autoriteit Persoonsgegevens na een evaluatie van de privacytoezichthouder. De commissie onderzocht hoe de buitenwereld tegen de rol en het werk van de AP aankijkt en benadrukt dat veranderende tijden een aangepaste aanpak vereisen.
Uit het onderzoek, gebaseerd op interviews, groepsgesprekken en reacties van brancheverenigingen en AP-medewerkers, blijkt dat het publiek de AP vaak associeert met boetes en verboden. Hierdoor ontstaat de indruk dat veel niet mag, terwijl de AP in werkelijkheid slechts de Algemene Verordening Gegevensbescherming (AVG) toepast. “Feitelijk deelt de AP niet eens zoveel boetes uit, al krijgen de hoge boetes van de laatste jaren veel aandacht in de media,” zo stellen de onderzoekers.
Privacyregels
Uit het rapport blijkt verder dat Nederland zich binnen Europa in de middenmoot bevindt als het gaat om boetes voor privacyovertredingen. Privacyorganisatie noyb stelde onlangs zelfs dat de AP zelden boetes oplegt. Toch blijft het beeld bestaan dat de AP strenger is dan in werkelijkheid het geval is. Dit komt volgens de onderzoekers mede doordat de AP niet altijd concreet benoemt wat wél mag. Hierdoor ligt de verantwoordelijkheid bij organisaties om zelf te bepalen wat binnen de privacyregels past, met als risico dat de AP achteraf oordeelt dat een genomen beslissing toch onjuist was.
Voorzichtigheid en terughoudendheid
Deze onduidelijkheid leidt bij bedrijven en organisaties tot voorzichtigheid en terughoudendheid. Uit de gesprekken blijkt dat zij behoefte hebben aan duidelijke richtlijnen en een eenduidig handhavingsbeleid. De onderzoekers adviseren daarom dat de AP explicieter moet communiceren over de normen en handhaving. Daarbij zou de toezichthouder rekening moeten houden met de specifieke kenmerken van de verschillende sectoren.
De AP heeft aangegeven de aanbevelingen over te nemen. “Meer en helderdere communicatie over wat wel en niet mag is essentieel om zowel burgers te beschermen als organisaties duidelijkheid te verschaffen ten aanzien van privacyregels”, aldus de AP in een reactie op het rapport.