De Autoriteit Persoonsgegevens, ofwel AP, bedacht vorig jaar een creatieve oplossing om de grote opeenstapeling van klachten aan te kunnen: ze nam de telefoon gewoon minder vaak op. De Nederlandse privacytoezichthouder is sinds 2023 nog maar twee uur per dag en vier dagen per week bereikbaar. Daardoor daalde het aantal klachten dat nog op de plank ligt van 5723 naar 4576 en kwamen er ongeveer duizend minder klachten binnen dan het jaar ervoor, schreef de toezichthouder in zijn jaarverslag. Maar nog steeds is de AP grof onderbezet en kan ze niet optreden zoals ze zou willen, herhaalt voorzitter Aleid Wolfsen tegen Tweakers. We spraken hem over de tekorten, een nieuwe politieke wind in Den Haag en het gebruik van algoritmes door de overheid, die ondanks schandalen en hoge boetes nog steeds veel voorkomen.
Hoe staat het met de naleving van de AVG in Nederland in 2024? Wat zijn de belangrijkste veranderingen van de afgelopen jaren?
:strip_exif()/i/2002807522.jpeg?f=imagenormal)
"Ik zeg dit elk jaar, en ik blijf dat ook nog even volhouden: we zien progressie. Dat zit in de naleving, de bewustwording en de kennis over de AVG. Je ziet dat bij zowel het bedrijfsleven als publieke partijen. We zijn natuurlijk druk met de opkomst van de AI-verordening en het verder uitbouwen van de afdeling voor algoritmetoezicht."
De AVG is natuurlijk nooit 'af', maar de wet bestaat inmiddels al acht jaar. Is het niet eens tijd dat we verder komen dan alleen 'progressie zien'?
"Je zag tijdens momenten zoals de parlementaire enquêtecommissie naar het fraudebeleid heftige bewustwordingsmomenten. Helaas moesten we in ons recente jaarverslag concluderen dat we soms ook tegels moesten lichten waarbij we toch weer algoritmes ontdekten die discrimineerden. Dat gebeurde bijvoorbeeld bij de Dienst Uitvoering Onderwijs. Dat is toch schrikken. Dan hebben we zoveel onderzoeken gehad en tóch treffen we dat aan."
Jullie schreven in het jaarverslag ook dat er bij de overheid nog steeds weinig bewustwording is wat algoritmes betreft.
"Waarschijnlijk denken toch nog veel ambtenaren: als ik een uitkering of toeslag moet uitdelen, mag ik toch zeker wel bepaalde controles uitvoeren? En natuurlijk mag dat! Maar voor elk onderscheid dat je maakt onder mensen, heb je een objectieve rechtvaardiging nodig. Als die er niet is, ben je aan het discrimineren. Soms gebeurt dat, op basis van geloof, seksuele voorkeur of afkomst, of andere eigenschappen zoals dat bij DUO gebeurde. Daar is vaak geen onderbouwing voor en dat kan natuurlijk niet."
Dat klinkt alsof u zegt dat er inmiddels wel voldoende bewustwording is voor de verwerking van gegevens, maar niet voor de mensenrechtenaspecten die daarbij komen kijken.
"Inderdaad. Het bewustzijn van wat wel en niet mag, is er over het algemeen wel. Maar het inzicht dat je met al die data ook andere grondrechten kunt schenden, zoals non-discriminatiebepalingen of transparantieverplichtingen, daar zijn nog te veel ambtenaren zich niet bewust van. Dat is de kant van de mensenrechten, want grondrechten zijn mensenrechten."
"Zoiets kan ook raken aan andere grondrechten, zoals goede rechtsbescherming. Als je onrechtmatig door een algoritme bent geselecteerd en je weet niet waarom, dan kun je je daar niet goed tegen verdedigen in de rechtbank."
Nieuwe politieke wind
Nederland heeft sinds begin juli een nieuw kabinet. Het is voor het eerst sinds de invoering van de AVG in 2018 dat het kabinet bestaat uit vier andere partijen. Hoe kijkt u naar dat nieuwe kabinet?
"Ik heb daar geen mening over. Het kabinet regeert en wij controleren of de wetgeving voldoet aan de mensenrechten, de AVG en de Wet politiegegevens."
Toch staan die partijen niet bekend om hun privacyvriendelijke voorstellen: de PVV wil een digitale schandpaal voor criminelen en de BBB wil 'minder bescherming van de AVG bij zware criminaliteit', iets dat zelfs in het hoofdlijnenakkoord staat. Bovendien was premier Dick Schoof verwikkeld in een privacyschandaal als hoofd van de NCTV. Dat biedt toch weinig hoop voor een goede privacybescherming?
"Ik heb daar oprecht geen mening over. We hebben van dit kabinet nog geen enkel wetsvoorstel gezien, maar ik schat in dat ongeveer een vierde tot een derde van alle wetsvoorstellen leidt tot de verwerking van persoonsgegevens. Die toetsen wij. Los van de kleur van een kabinet kan zo'n wetsvoorstel dan goed of niet goed zijn. Het maakt ons dan niet uit of een kabinet specifiek met digitalisering bezig is. Ik ben wel heel blij dat de positie van staatssecretaris voor Digitalisering, eerder vervuld door Alexandra van Huffelen, wordt voortgezet."
:strip_exif()/i/2006179056.jpeg?f=imagenormal)
Die staatssecretaris is nu Zsolt Szabó, die die rol namens de PVV vervult. Ook is er een nieuwe minister voor Rechtsbescherming, die over uw budget gaat. Wat denkt u dat er gaat gebeuren met het budget dat u gaat krijgen voor handhaving? Denkt u dat dat nu omhooggaat?
"Dat is inderdaad aan de politiek, maar daar is veel geld beschikbaar. In het hoofdlijnenakkoord staat dat de regering alle aanbevelingen van de eerdere parlementaire enquêtes moet overnemen. Bij de enquête naar fraudebestrijding heeft de commissie aangegeven dat de AP meer geld zou moeten krijgen."
De commissie wijst op een eerdergenoemd bedrag van honderd miljoen euro op jaarbasis. "De commissie beveelt dan ook aan om het jaarbudget van de AP structureel te laten groeien naar minimaal 100 miljoen euro, zodat zij haar wettelijke taak naar behoren kan vervullen", staat in het rapport Blind voor mens en recht van de commissie Fraudebeleid en Dienstverlening dat vorig jaar uitkwam. Dit bedrag van honderd miljoen euro wordt vaker genoemd en komt uit een rapport dat KPMG opstelde in opdracht van de AP en het ministerie van Justitie en Veiligheid.
Het budget van de AP ligt in 2024 op 37,8 miljoen euro. Dat groeit door tot 41,3 miljoen euro in 2027, mits het nieuwe kabinet niet aan die begroting gaat sleutelen.
| Budget 2021 | 2022 | 2023 | 2024 | 2025 | 2026 | 2027 |
| 26.257.000 | 29.020.000 | 34.478.000 | 37.829.000 | 40.694.000 | 41.294.000 | 41.294.000 |
Voor die honderd miljoen euro pleit u al sinds 2021. Een groot deel van de Tweede Kamer wilde u toen al een hoger budget geven, maar die honderd miljoen kreeg u niet. Waarom zou dat nu anders zijn?
"Omdat in het coalitieakkoord specifiek wordt gesproken over extra geld. We krijgen in de komende jaren een oplopend budget tot maximaal 41,3 miljoen euro per jaar, dat ons door het vorige kabinet is toegezegd. Daarbij komt nu de aanbeveling van de parlementaire enquêtecommissie. Het nieuwe kabinet zegt in het hoofdlijnenakkoord honderden miljoenen euro's toe aan versterking van de rechtsstaat en daar vallen wij ook onder."
"Bovendien staat de hele Tweede Kamer hierachter; politieke partijen van links tot rechts zeggen dat de aanbevelingen van de commissie moeten worden overgenomen. Daarvoor is een motie aangenomen. Het kabinet moet er deze zomer mee aan de slag en moet voor Prinsjesdag een begroting maken. Ik mag toch hopen dat de Kamer het niet accepteert als het kabinet die aanbevelingen niet uitvoert."
Ondertussen heeft u nog steeds te weinig geld om al het werk uit te voeren. Dat betekent waarschijnlijk dat u harde keuzes moet maken. Welke keuzes zijn dat en waar leggen jullie de prioriteiten?
"We hoeven niet te bezuinigen, maar we hebben veel meer wettelijke taken en moeten veel meer doen dan waar we geld voor krijgen. Klachten blijven bijvoorbeeld vaak te lang liggen. We werken vaak reactief, bijvoorbeeld bij klachtenafhandeling, het verlenen van vergunningen die worden aangevraagd, beroepsprocedures en internationaal werk. Als we ruimte overhouden om op eigen houtje onderzoek uit te voeren, hebben we onze vaste prioriteiten. Dat zijn AI en algoritmes met persoonsgegevens, vrijheid en veiligheid, datahandel en privacy bij de overheid. Grote techbedrijven hebben ook onze prioriteit, want daar vinden grote dataverwerkingen plaats."
De AP heeft meer wettelijke taken dan alleen het afhandelen van klachten van burgers en het onderzoeken van privacyschendingen; de toezichthouder moet ook wetsvoorstellen keuren, voorlichting geven en vergunningen voor datadelingen buiten de EU uitgeven. Het beleid van de toezichthouder was de afgelopen jaren om al die taken gedeeltelijk uit te voeren, wat heeft geleid tot achterstanden op alle fronten. De AP handelt niet alleen te weinig klachten af, maar is ook traag met onderzoeken. Dit heeft aanzienlijke gevolgen gehad: in 2020 ging VoetbalTV naar eigen zeggen failliet omdat de AP te lang zou hebben gewacht met duidelijkheid over mogelijke overtredingen.
/i/2004027244.png?f=imagenormal)
Zou het, gezien de beperkte middelen, niet beter zijn om één van die taken volledig op te pakken, in plaats van meerdere taken gedeeltelijk? Neem bijvoorbeeld die vergunningen. Daarvan gaven jullie er vorig jaar slechts vijf uit. Zou het niet beter zijn om helemaal te stoppen met het verlenen van vergunningen en de capaciteit volledig aan iets anders, zoals klachtenafhandeling, toe te wijzen? Of juist andersom?
"Ja, dat zou kunnen ... Maar we hebben het in dit geval vaak over grote internationale bedrijven die graag in Nederland willen blijven. Als je hen niet kunt helpen, hinder je die bedrijven enorm, dus dat raakt ook de economie. Het gaat ook wel heel ver om dat helemaal niet te doen; dan komt het al snel neer op rechtsweigering. Bovendien zou dat die bedrijven direct raken, want die kunnen tijdens het wachten niet alvast data buiten de EU verwerken. Als je als burger moet afrijden voor je rijexamen, kun je ook niet zeggen: ik moet zo lang wachten, dus ik ga alvast de weg op. Je wilt niet dat burgers zich afvragen waarom zij de wet moeten naleven als de AP het ook niet doet."
"De wetgever legt ons een wettelijke taak op. We kunnen die keuze dus niet maken. We doen het allemaal langzaam, maar we doen het wel."
Private onderzoeksbureaus
In jullie jaarverslag beschrijven jullie een van de gevolgen van de vertragingen in jullie onderzoek: de overheid zet steeds vaker private onderzoeksbureaus in bij mogelijke overtredingen. Hoe zit dat?
"We zien dat gebeuren bij zaken zoals bij DUO of de Belastingdienst. Dan zie je een heftige schending van grondrechten of een groot datalek en het is dan aan ons om onderzoek te doen. Maar we zien dan vaak dat een minister of een ministerie de opdracht geeft voor een privaat onderzoek aan een commercieel bureau."
"Dat heeft twee grote nadelen. Een daarvan zag je bij de Belastingdienst. Daar gaat een privaat bedrijf door onze belastinggegevens heen. Dat gebeurt onder goede waarborgen, maar je moet je afvragen of je dat wel moet willen. Onze mensen zijn daar ten minste voor gescreend en kunnen daar goed mee omgaan."
"Een ander nadeel is dat het veel dubbel werk is. Wij zijn er druk mee, maar er wordt ook veel geld uitgegeven aan een privaat bureau. Dat levert bovendien een dubbele uitleg van normen op. Dan geeft zo'n onderzoeksbureau een bepaalde interpretatie, zegt wat wel en niet goed is, maar ons onderzoek loopt ook nog. Dan gelden de normen die wij stellen. Dat kan mensen op het verkeerde been zetten."
Waarom doet de overheid dat?
"Dat is vaak een vlucht naar voren. Als er iets gebeurt, is de eerste reactie van een bewindspersoon vaak om meteen te roepen dat de onderste steen boven moet. Dan starten ze zelf een onderzoek. Dan weet je dat je het komende jaar geen vragen meer krijgt van de Tweede Kamer, want 'we wachten het onderzoek nog af'. Dat is geen traineringstactiek, maar wel een reactie die we vaak zien."
Heeft dat ook geen voordelen? Jullie komen misschien niet aan dat onderzoek toe, maar met de inzet van private bedrijven wordt er tenminste nog iets gedaan.
"Ja, maar geef dat geld dan aan ons! Dan hoef je het niet dubbel uit te geven. Dan komt er bovendien een officieel rapport met officiële normen. Uiteindelijk krijg je daar ook meer rechtszekerheid door, want wij bepalen waar de norm ligt."
Toezicht op algoritmes
Jullie hebben er sinds begin vorig jaar een extra taak bij: die van algoritmetoezichthouder. Eind 2022 kregen jullie extra financiering om die uit te bouwen. Hoe staat het daar nu mee?
"Goed, er werken momenteel ongeveer twintig mensen op die afdeling. Dat is de Directie Coördinatie Algoritmes, ofwel DCA, een aparte afdeling binnen de AP. De directie coördineert al het toezicht, iets wat erg gewaardeerd wordt. Eerder deze maand brachten we de Rapportage AI & Algoritmerisico's Nederland uit. Er gebeurt dus genoeg."
/i/2005776610.png?f=imagenormal)
"Ook het contact met andere toezichthouders verloopt goed. We hebben, samen met de Rijksinspectie Digitale Infrastructuur, onlangs een brief aan de Tweede Kamer gestuurd met betrekking tot het toezicht op de AI-verordening, die binnenkort van kracht wordt. Die brief werd goed ontvangen door het oude kabinet en we hopen dat het nieuwe kabinet daar ook enthousiast over is. In die brief schrijven we dat wij het toezicht op AI in Nederland moeten coördineren. We krijgen straks ook aanvullende financiering om dat voor elkaar te krijgen."
Gaat die financiering dan rechtstreeks naar de DCA, de afdeling algoritmetoezicht?
"Daarover zijn we nu aan het nadenken. Ik denk van wel. Dan krijgt de DCA een dubbele taak. Dat is goed, want die hebben de mensen en systemen al om toezicht op AI te houden."
De algoritmetoezichthouder ging in januari 2023 van start, slechts twee maanden nadat de eerste publieke versie van ChatGPT uitkwam. Wat voor invloed heeft de opkomst van generatieve AI op jullie werkzaamheden gehad?
"We zijn nu volop met dat vraagstuk bezig. Toen ChatGPT uitkwam, zijn wij meteen in gesprek gegaan op Europees niveau. We hebben gezegd dat we willen dat er Europese richtlijnen komen over wat wel en niet toegestaan is. Italië was daar bijvoorbeeld al snel mee. We hebben ook snel richtlijnen opgesteld over scraping. We stellen dat dat vrijwel nooit mag. Ook behandelen we grote taalmodellen in onze eerdergenoemde algoritmerapportage. De impact is dus erg groot."
Streng toezicht
Die uitspraak over scraping was opvallend, want die was behoorlijk streng. In het verleden hebben jullie al vaker kritiek gekregen van juristen op jullie interpretatie van direct marketing, en de Europese Commissie vindt dat jullie de AVG te streng interpreteren. Vorig jaar zei u nog heel stellig dat u dat niet vond. Denkt u daar nog steeds hetzelfde over?
"Om te beginnen, de Noorse toezichthouder heeft net een grote boete voor direct marketing uitgedeeld. Ik vind niet dat wij te streng straffen. Als je kijkt naar de Europese boetes, straffen wij zelfs minder dan de meeste toezichthouders. Als je kijkt naar databases zoals de GDPR Enforcement Tracker, dan zie je dat we het er qua aantallen niet goed vanaf brengen. We zitten ergens in het midden als het gaat om het aantal boetes dat we geven. Als wij straffen, is dat voor serieuze overtredingen. In Europees verband zie je dat er veel vaker kleinere boetes worden uitgedeeld."
/i/2006850490.png?f=imagegallery)
De laatste tijd lijkt dat meer te veranderen. Een recruitmentbedrijf kreeg een boete van 6000 euro en de boete voor de gemeente Voorschoten was met 30.000 euro ook relatief laag. Jullie Belgische collega's van de GBA gaan bewust achter kleinere vergrijpen aan. Doen jullie dat ook?
"Nee, het is geen bewust beleid om kleinere boetes uit te delen. Het hangt van de ernst van de overtredingen af. Het komt ook door onze recente capaciteitsuitbreiding dat we nu meer kunnen doen. Meestal proberen we overtredingen op te lossen door te praten of een brief te sturen, maar als er niet gereageerd wordt op ons verzoek, moeten we wel boetes uitdelen."
"Wat ook meespeelt, is dat we veel boetes pas laat openbaar mogen maken. De boete voor recruitmentbedrijf APG deelden we in 2020 uit, maar mogen we nu pas openbaar maken. Soms zie je dat bedrijven boetes krijgen en tot aan de Raad van State doorprocederen om die tegen te gaan. Soms, zoals in dit geval, blijven ze in de tussentijd geheim."
"In het algemeen zie je wel een betere mix ontstaan tussen hoge en lage boetes. Neem bijvoorbeeld de boete van tien miljoen euro voor Uber. Ook daarbij duurde het lang voordat we die konden vrijgeven, want Uber zit door heel Europa. Daarom moesten we het allemaal afstemmen met alle andere toezichthouders."
Ict-problemen
In het jaarverslag van 2021 stond een opvallende passage over een vertraging in een ict-systeem. Een oplettende tweaker merkte op dat diezelfde passage ook in het jaarverslag van 2022 en het jaarverslag van 2023 stond. "De gerealiseerde ict-kosten zijn aanzienlijk hoger dan begroot. De hogere kosten worden veroorzaakt door de vertraagde projectkosten vanwege de inbesteding van de ict-voorzieningen van de AP", schreef de AP over 2022. In 2021 gaf de AP 429.314 euro uit aan de inhuur van externe medewerkers, maar in 2022 was dat aantal gestegen naar 1.524.060 euro.
Wat is dat voor project en waar lag het probleem?
"Dat had te maken met de migratie van onze ict-systemen naar de Justitiële ICT Organisatie, ofwel JIO. Deze organisatie is een dienst van het ministerie van Justitie en Veiligheid. Aanvankelijk hadden wij onze ict volledig in eigen beheer, wat heel kwetsbaar was. Daarom zijn we ict-diensten gaan inkopen bij justitie. Dat duurde even, omdat we ervoor willen zorgen dat alle persoonsgegevens waarmee we te maken krijgen, goed worden afgeschermd en dat niemand er toegang toe krijgt. Het klopt: dat heeft ongeveer een jaar vertraging gekost."
Drie jaar, volgens jullie jaarverslag.
"Te lang, in ieder geval. Dat is niet goed gegaan."
Heeft dat ook te maken met het systeem voor klachtenafhandeling? Bij jullie Belgische collega's zorgt dat systeem voor enorme vertragingen in hun klachtenafhandeling.
"Nee, daar heeft dat niets mee te maken. Ons klachtenafhandelingssysteem was ook heel oud, maar inmiddels zijn we over op een nieuw systeem dat goed werkt. En onze ict is sinds dit jaar ook volledig over."
Update: de tabel met het budget van de afgelopen en komende jaren is toegevoegd aan het artikel.
Bannerafbeelding: DrAfter123 / Getty Images
:strip_icc():strip_exif()/i/2005967152.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005788956.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005129424.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004840756.jpeg?f=fpa_thumb)
/i/2004582292.png?f=fpa_thumb)
/i/2004364124.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004354720.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003614478.jpeg?f=fpa_thumb)
/i/2004735554.png?f=fpa)
:strip_exif()/i/2005763778.jpeg?f=fpa)
/i/2005822240.png?f=fpa)
:strip_exif()/i/2005085688.jpeg?f=fpa)
/u/254707/avatar-smile.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community){kind=small}
:strip_exif()/u/15310/tomato60%252072%2520frames%25205%2520deg%2520per%2520frame%2520optimized%252026%2520colors.gif?f=community){kind=small}
:strip_exif()/u/948215/crop5972f5ae13eb2_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/81908/t.jpg?f=community){kind=small}
/u/1219196/crop6324b2e35d04c_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/52072/crop5de51ebf91960_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/25585/unspacy2.jpg?f=community){kind=small}
:strip_exif()/u/489640/crop67cc85cb59455_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/19665/ElfEverQuestTweakersSmall.gif?f=community){kind=small}
/u/62384/crop61891f444d6e9.png?f=community){kind=small}
/u/159815/crop580f717442e00_cropped.png?f=community){kind=small}
:strip_exif()/u/386703/zackfly.gif?f=community){kind=small}
:strip_exif()/u/181203/crop570371743c1f0_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}