De Algemene Verordening Gegevensbescherming vierde deze week zijn vierde verjaardag. Op 25 mei 2018 werd de grote Europese privacywet van kracht. In Nederland is de Autoriteit Persoonsgegevens als officiële toezichthouder de drijvende kracht voor de naleving, maar de waakhond heeft het allerminst makkelijk. Tekorten en achterstanden stapelen zich op en klachten van burgers lijken soms in een zwart gat te verdwijnen. Tweakers sprak met AP-voorzitter Aleid Wolfsen om hem te vragen hoe lang die tekorten nog blijven bestaan, of de voorgenomen algoritmewaakhond wel nodig is en welke rol de toezichthouder heeft in de beruchte nieuwe bestuurscultuur.
Het budget van de Autoriteit Persoonsgegevens stijgt tot aan 2025 met twee miljoen euro per jaar tot een maximale verhoging van acht miljoen euro. Dat is fors minder dan de honderd miljoen euro per jaar waar u vorig jaar bij de kabinetsinformateur voor pleitte. Bent u wel blij met dit extra geld?
"We hebben inderdaad fors meer geld nodig, dat hebben we ook altijd gezegd. Tijdens de coalitieonderhandelingen zeiden we dat we minstens honderd miljoen euro per jaar nodig hebben om als privacytoezichthouder up-to-date te zijn. Tegelijk zijn we wel blij met iedere euro die we extra krijgen. In het regeerakkoord staan ook goede dingen over digitalisering en de grote gevaren daarvan, over bescherming van grondrechten als een reflex op het toeslagenschandaal. Daar zit ook extra budget voor ons bij. Twee miljoen euro per jaar extra is niet veel, maar we kunnen er wat mee doen en daar zijn we sowieso blij mee."
Volgens jullie jaarverslag en uw uitspraken eerder blijkt dat de AP op bijna alle vlakken achterstanden heeft. Wat gaat u met dat extra budget doen, zeker als dat nog steeds niet toereikend is?
"Een aantal dingen, maar heel basaal moet eerst bij ons intern de basis op orde komen. We hebben achterstanden op zaken als automatisering, huisvesting of opleidingen voor onze werknemers. Maar we nemen er ook extra mensen mee aan. Met dat budget kunnen we over de hele linie meer werk doen. We kunnen meer datalekken oppakken, meer klachten afhandelen en meer aan handhaving en aan voorlichting doen."
Blijven op die manier niet nog steeds al jullie werkvelden last hebben van achterstanden? Zou het niet beter zijn om bijvoorbeeld voornamelijk in te gaan zetten op één werkveld, zoals klachtenafhandeling, waar burgers de meeste problemen ervaren?
"Ja en nee. We prioriteren nu al binnen al die verschillende gebieden. Dat blijven we ook doen, maar we hebben nu eenmaal wettelijke taken die we moeten uitvoeren: vergunningen moeten we blijven afgeven en klachten en datalekken moeten we afhandelen. We kunnen niet zeggen dat we een bepaalde taak dan maar helemaal niet meer oppakken. Je kunt wel zeggen dat de situatie die nu is ontstaan niet veel gaat veranderen. De vergunningen voor bedrijven die internationale datadoorgiftes willen doen, de binding corporate rules, worden bijvoorbeeld weggedrukt door onze achterstanden van klachten en datalekken. Dat zal niet veel gaan veranderen, tot onze spijt."
"Onze taak en onze prioriteit ligt in de eerste plaats bij burgers. We zijn een organisatie die opkomt voor grondrechten. Het extra geld dat we straks krijgen, is ook een reactie uit de politiek op het toeslagenschandaal. Die wil dat daar meer tegen gebeurt en zo voelen we dat zelf maatschappelijk ook. Wat er gebeurde bij de Belastingdienst was een groot onrecht; daar moeten we tegen optreden. Dat krijgt bij ons dan voorrang."
Jullie gaven de Belastingdienst onlangs twee grote boetes, van 2,75 miljoen en later van 3,7 miljoen euro. Treedt u bewust harder op tegen de overheid, misschien ook om juist meer budget te krijgen?
"We besloten al in 2019 wat onze prioriteiten moeten zijn. Dat zijn naast datahandel en kunstmatige intelligentie ook de digitalisering bij de overheid. Je ziet nu eenmaal dat daar grote gevaren liggen. Bij de overheid vinden vooral onvrijwillige verwerkingen plaats: je kunt niet naar een andere belastingdienst zoals je bij een bedrijf wel weg kunt als klant. De overheid heeft dus een extra verantwoordelijkheid tegenover burgers. Daar ging de afgelopen tijd veel mis en daarom krijgt dat prioriteit."
De achterstanden bij de AP lopen ieder jaar op; inmiddels zijn het er al meer dan 10.000. Wat gaat u doen om die achterstand weg te werken of op zijn minst te verkleinen?
"Daarvoor moeten we nog scherper prioriteren, maar we worden ook steeds handiger en krijgen meer ervaring in het afhandelen van klachten en meldingen. Klachten die vaker voorkomen, herkennen we sneller en we kunnen makkelijker verwijzen naar de functionaris gegevensbescherming in een organisatie. Ook helpt het goed om klachten te bundelen. Maar, in alle eerlijkheid, we moeten nog te vaak 'nee' zeggen omdat we niet genoeg capaciteit hebben. Dan komen mensen voor een dichte deur te staan, zoals de Nationale Ombudsman onlangs ook al over ons zei."
Die Ombudsman zei vorig jaar ook dat de AP slecht omging met klachtenafhandelingen. Wat hebben jullie daar sindsdien aan gedaan?
:strip_exif()/i/2005128264.jpeg?f=imagemedium)
kritiek op de AP, specifiek op de klachtenafhandeling.
"We hebben meerdere interne acties ondernomen en veel dingen verbeterd. Een van de problemen die de Ombudsman aankaartte, was dat we bij bezwaren nogal eens zeiden: 'Sorry, u bent hier te laat mee.' Dat had te maken met gerechtelijke procedures vanuit de Raad van State waardoor we met maximale bezwaartermijnen zaten. Daar zijn bestuursrechters wel van teruggekomen, dus dat is gelukkig van tafel. Dat is nu dus ook beter; klachten die vroeger te laat bij ons binnenkwamen, behandelen we nu wel. Een ander punt is dat wanneer we een klacht afhandelden, we niet duidelijk aangaven waar en hoe burgers bezwaar konden maken. Dat doen we nu wel."
De AP is als zelfstandig bestuursorgaan onderdeel van de overheid. Burgers hebben steeds minder vertrouwen in de overheid en ook bij jullie stapelen klachten zich op. Hoe ziet u de rol van de AP in het maatschappelijk debat over overheidsvertrouwen en de nieuwe bestuurscultuur?
"We zijn als zbo geen onderdeel ván de Rijksoverheid, maar we houden onafhankelijkheid óp de overheid. We spelen een belangrijke rol bij het herstel van vertrouwen. Dat is ook de reden dat onze nieuwe coalitie zegt dat de AP, maar ook instituten zoals de Nationale Ombudsman, het College voor de Rechten van de Mens of de sociale advocatuur meer geld moeten krijgen om hun taken beter te kunnen doen en daarmee het vertrouwen in de overheid te herstellen. Dat is een goede redenering en we kunnen ook wel wat extra's doen met dat geld, maar uiteindelijk is ons hogere budget nu niet meer dan een voorzichtige eerste stap. Als wij niet kunnen leveren, bevestigt dat het beeld dat 'de overheid niets doet'. Burgers moeten weten dat ze bij de AP terechtkunnen als ze onheus worden bejegend door bijvoorbeeld de overheid. Maar als ze bij ons komen als een last resort en wij leveren niet, dan haken ze definitief af. Het is daarom vooral aan ons om zorgvuldig met die extra miljoenen die we krijgen om te gaan."
Dan kom je toch terug op die achterstanden. Inmiddels blijkt dat jullie vrijwel al jullie onderzoeken naar datalekken startten op basis van meldingen en niet uit eigen onderzoek, terwijl dat laatste een belangrijke taak is.
"Ja, dat klopt wel. We moeten in ieder geval iets doen met alle meldingen die we binnenkrijgen. We willen graag meer ruimte om 'ambtshalve' onderzoek te doen, dus onderzoek dat we uit onszelf beginnen. Soms stuiten we bijvoorbeeld op een verwerking waar burgers geen idee van hebben, bijvoorbeeld een datalek waar slachtoffers niet zijn ingelicht. Maar aan de andere kant blijft die klachtenachterstand die we hebben wel drukken."
"We zijn niet de enige met dat probleem. De andere toezichthouders zitten met hetzelfde dilemma. En ik sprak onlangs een Europese collega, die zei: 'We komen helemaal niet meer toe aan ander werk dan klachtenafhandeling, omdat dat al het andere werk wegdrukt.' Het blijft voor ons schipperen en zoeken naar de juiste balans tussen ambtshalve onderzoek doen en de verplichte klachtenafhandeling uitvoeren, maar ik weet niet of we die balans op dit moment te pakken hebben."
Vorig jaar zei u nog tegen Tweakers dat die balans er begon te komen. Als de kans voor een bedrijf nihil is dat jullie er een onderzoek naar beginnen, waarom zouden ze dan eigenlijk een datalek nog melden?
"Een datalekmelding heeft nog steeds veel zin. Die heeft meerdere functies. We kunnen checken of burgers goed geïnformeerd worden over hun rechten en we kunnen kijken of er niet nog iets meer aan de hand is. Bedrijven hebben er zelf ook baat bij om een datalek te melden. Dat klinkt misschien wat dubbel, maar onze mensen kijken dan mee of slachtoffers op de hoogte moeten worden gebracht. Het kan zo leiden tot juist heel goede dienstverlening van ons aan het bedrijf en daarmee tot voordeel voor de burger. Als we zien dat er iets structureel misgaat, dan geven we geen boete, maar kunnen we bijvoorbeeld een pentest afdwingen. We nemen die bedrijven in een dergelijk geval bij de hand en dat komt burgers ten goede. Ik denk ook niet dat bedrijven calculerend denken of ze iets wel of niet moeten melden. Bovendien, áls we erachter komen dat een datalek niet gemeld is, moeten we stevig beboeten. Je bent dan namelijk fout in het kwadraat. Dat is de afgelopen jaren ook al eens gebeurd."
Tweakers zag vorig jaar dat de AP naar verhouding relatief veel budget kreeg, gerekend naar zowel aantal fte's als naar hoofd van de bevolking. Wat is daar de reden voor?
"Dat is niet helemaal waar. Die bedragen zijn relatief: Ierland heeft een economie die een derde of een kwart is van de Nederlandse, maar hun privacytoezichthouder is bijna net zo groot als dat wij zijn. Duitsland daarentegen is een minder gedigitaliseerd land, maar als het gaat om omvang zijn alle toezichthouders uit hun deelstaten opgeteld veel groter. Nederland loopt op veel vlakken voorop als het gaat om digitalisering. We doen gemiddeld veel meer digitale betalingen en er is hier veel en snel internet. Bovendien zitten veel hoofdkantoren van techbedrijven in Nederland. Daarmee hebben we ook veel verantwoordelijkheden."
Is dat ook de reden dat jullie meer Europees willen samenwerken?
"Ja. Bijna alle Europese toezichthouders zijn te klein. Met samenwerking is daarom veel winst te behalen. Deels wat lastenverlichting betreft, maar ook op het gebied van kennis delen. Als we een onderzoek gezamenlijk uitvoeren en afronden, ben je samen op de hoogte van wat er speelt bij een bedrijf. We willen in de toekomst ook een pool van experts opstellen die onderling meer kennis kunnen uitwisselen. Daar investeren we veel in."
In het regeerakkoord is afgesproken dat er een nieuwe algoritmetoezichthouder komt die onder de AP komt te vallen. Inmiddels heeft staatssecretaris Van Huffelen van Digitalisering gezegd dat die ook toezicht moet houden op algoritmes van bigtechbedrijven. Kan de AP die extra werklast allemaal aan?
:strip_exif()/i/2005017178.jpeg?f=imagemedium)
jaar een algoritmewaakhond aan.
"De algoritmetoezichthouder werd opgezet als reactie op het toeslagenschandaal. Algoritmes grijpen veel om zich heen, dus iedereen, zowel bedrijven als andere toezichthouders, moeten daarmee bezig blijven. Je ziet bijvoorbeeld dat ook toezichthouders zoals de Algemene Rekenkamer dat doen. Maar er zijn bij algoritmes ook veel blinde vlekken waarvan de politiek wil dat een algoritmewaakhond daar iets mee doen. We overleggen daarom momenteel veel met ministers, de andere toezichthouders, experts uit de wetenschap, het bedrijfsleven en de overheid. We willen van hen weten waar bij hen die blinde vlekken liggen. Iedereen moet dat ook in de gaten blijven houden, maar wij moeten dat coördineren: waar kunnen we aanvullend werk doen en waar kunnen we ons eigen toezicht verder intensiveren? We kunnen daar pas vanaf begin volgend jaar definitief mee aan de slag, want dan krijgen we er budget voor."
Vorig jaar zei u nog tegen Tweakers dat u een aparte algoritmetoezichthouder niet nodig vond. Vindt u dat nog steeds?
"Ik zei toen dat er al een dergelijke toezichthouder is: wijzelf. Wij zijn de toezichthouder voor alles waar er persoonsgegevens worden verwerkt, dus ook algoritmes. Ook een recent onderzoek van het ministerie van Binnenlandse Zaken toonde aan dat een dergelijke extra toezichthouder niet nodig was. Maar wat je nu ziet, ook op Europees gebied met bijvoorbeeld de aankomende AI Act, is dat er veel preventief toezicht moet worden gehouden. Stel dat een overheid nu een algoritme wil inzetten waar nog geen persoonsgegevens worden verwerkt, dan kun je nu nog zeggen dat daar niks mee aan de hand is, maar onder de AI Act moet je ook preventief toezicht houden als er een hoog risico is of als een dergelijk algoritme gevaarlijk kán zijn."
"De ontwikkelingen op dit gebied gaan zo snel. Het is toch verstandig als er een aparte entiteit komt, als onderdeel van de AP, die ook de samenwerking met andere toezichthouders kan coördineren."
:strip_icc():strip_exif()/i/2006852536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005967152.jpeg?f=fpa_thumb)
/i/2005045652.png?f=fpa_thumb)
/i/2005015364.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004840756.jpeg?f=fpa_thumb)
/i/2004582292.png?f=fpa_thumb)
/i/2004364124.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004354720.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004127138.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003614478.jpeg?f=fpa_thumb)
/i/2004735554.png?f=fpa)
:strip_exif()/i/2004764928.jpeg?f=fpa)
/i/2004907232.png?f=fpa)
:strip_exif()/i/2004806902.jpeg?f=fpa)
/u/75323/5procentoog.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/335350/crop61a63ee1f224f.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/390893/crop6862e46f4d80e_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/41281/avt.jpg?f=community){kind=small}