Gefeliciteerd met je tweede verjaardag!
De AVG kent inmiddels een aardig lange geschiedenis. De eerste waarschuwingen aan bedrijven gaan al terug tot 2016. De echte introductie van de grootste en allesomvattende Europese privacywet vond echter plaats op 25 mei 2018, vandaag precies twee jaar geleden. Sinds dat moment moeten Europese bedrijven zich houden aan strenge regels voor het verzamelen van data en hebben burgers meer zicht op welke gegevens over hen worden verzameld. Dat gebeurt allemaal onder het waakzame oog van voornamelijk één partij, de Autoriteit Persoonsgegevens (AP). Nu de privacywet vandaag zijn tweede verjaardag viert, is het een mooi moment om de balans op te maken.
2019 was het jaar waarin de AP voor het eerst boetes begon uit te delen voor overtredingen van de privacywet. Volgens de voorzitter van de waakhond, Aleid Wolfsen, gaat het in totaal om een boetebedrag van 'zo'n drie tot vier miljoen euro', en dat zal alleen maar meer worden. Wie op de achterkant van een bierviltje meerekent, komt niet meteen op dat bedrag uit. Tot nu toe zijn drie boetes uitgedeeld waarvan de bedragen bekend zijn, en in totaal ging het daarbij om zo'n 1,7 miljoen. Maar dat zijn niet de enige overtredingen waar de privacywaakhond een boete voor uitdeelde, zegt Wolfsen. Inmiddels zijn al meer boetes uitgedeeld aan bedrijven, maar om verschillende redenen mogen die bedragen niet, of nog niet, bekend worden.
Handhaven en voorlichten
Op de open vraag hoe hij het inmiddels vindt gaan met de AVG antwoordt Aleid Wolfsen meteen positief. “Het gaat de goede kant op', zegt hij tegen Tweakers. 'Ik denk dat we inmiddels een goede balans hebben gevonden.” Hij noemt het woord 'balans' meerdere keren. Hij doelt ermee op de tweeledige doelstelling van de Autoriteit Persoonsgegevens, een organisatie die aan de ene kant voorlichter moet zijn en aan de andere kant handhaver. Over de invulling van die dubbelrol kreeg de AP in de afgelopen jaren veel kritiek. Was het in het eerste jaar van de AVG nog vooral een waakhond die blafte maar weinig beet, bij de eerste boetes werd de organisatie verweten te snel en te hard te oordelen. Verdomd als je beboet, verdomd als je het niet doet.
Toch was de voorzichtige aanpak in dat eerste jaar weloverwogen beleid, zegt Wolfsen. “We hebben bewust gekozen om de eerste twaalf maanden het accent te leggen op informatievoorziening, voorlichting en bijsturing. Het afgelopen jaar hebben we meer invulling gegeven aan de handhaving.”
Bekeuring op de mat
Het afgelopen jaar werden de eerste AVG-boetes uitgedeeld
Dat laatste klopt zeker. Vorig jaar september viel de eerste AVG-boete op de mat, bij het Haagse Haga Ziekenhuis. Later volgden de Nederlandse tennisbond en een bedrijf dat vingerafdrukken van werknemers verzamelde. Daarnaast werden lasten onder dwangsom opgelegd: voorwaardelijke boetes waarvan er een aantal daadwerkelijk is geïnd, onder andere bij zorgverzekeraars. Uiteraard volgen er meer boetes, zegt Wolfsen. Sterker nog, die zijn al uitgedeeld. Aan wie wil hij niet zeggen, want er lopen nog bezwaarprocedures bij de rechter. Ze vallen in ieder geval binnen de sectoren waarvan de AP heeft gezegd dat die prioriteit hebben.
Wolfsen zegt het als ‘wij-van-wc-eend’, maar hij is niet de enige die tevreden kan terugkijken op de afgelopen periode. Ook kritische partijen zoals Bits Of Freedom zijn niet meteen negatief over de aanpak van de AP - behalve dan over het feit dat de AP volgens iedereen, inclusief de waakhond zelf, fors onderbezet is.
De weg naar het klachtenloket
Eén ding lijkt in ieder geval zeker: het bewustzijn over de AVG is groot. In Nederland lijken bovengemiddeld veel burgers te weten dat er een privacywet is, meer dan in de meeste andere Europese landen. Vorig jaar toonde onderzoek nog aan dat Nederlanders in veel gevallen weten wat hun rechten zijn. Als het bijvoorbeeld gaat om het recht om data op te vragen, aan te passen, of te laten verwijderen zijn Nederlanders beter op de hoogte dan welke andere Europeanen dan ook.
Wolfsen is het daarmee eens. Hij hamert meerdere keren op een onderzoek dat vlak voor de invoering van de AVG werd gehouden over de bekendheid van de wet. Daaruit kwam onder andere naar voren dat van alle Europeanen Nederlanders het best wisten dat er een privacytoezichthouder was en hoe ze die konden bereiken.
Bedrijven
Bedrijven hebben minder moeite de wet te volgen dan vorig jaar
Buiten de rechten van burgers is er natuurlijk ook een andere grote groep die van de wet moet weten. Dat zijn de bedrijven zelf. Zij hadden vlak voor de AVG in werking trad een notoir probleem met de wet. Ineens moest iedere 'slager om de hoek' zich druk gaan maken over privacy. Was dat niet wat veel gevraagd? De kennis over de privacywet was vorig jaar nog erg beperkt. Onderzoeken stelden dat men nog steeds niet ‘klaar was’ voor de wet. Na twee jaar begint dat een klein beetje de goede kant op te gaan.
Wolfsen erkent dat de privacywet voor veel bedrijven nog steeds een obstakel is. “Die slager om de hoek heeft een mooi ambacht, is heel goed in wat hij doet, maar moet zich nu ineens voor zijn klantenbestand bezighouden met de AVG. Dat is nog steeds lastig voor hem.” Wolfsen ziet wel wat verbetering, bijvoorbeeld in hoe de brancheorganisaties bedrijven helpen. Dat was altijd hoe de AP het bedoelde. De toezichthouder zorgt voor informatievoorziening, maar niet voor ieder bedrijf op individueel niveau.
Dat leidde vorig jaar nog tot veel gedoe. De AP wees bedrijven op hun eigen verantwoordelijkheid voor het interpreteren van de wet, terwijl bedrijven juist hekelden hoe de AP de complexe wet amper uitlegde. Vage termen zoals 'gerechtvaardigde belangen' als grondslag om gegevens te verzamelen kunnen op veel manieren worden geïnterpreteerd.
Die signalen ziet de Autoriteit Persoonsgegevens nu veel minder vaak. “Bedrijven die naar ons wijzen zie je bijna niet meer”, zegt Wolfsen. “De samenwerking met de brancheorganisaties heeft zich nu goed gezet.” Maar, zegt hij, laat er geen misverstand over bestaan: er moet 'op veel plekken nog genoeg gebeuren'. “Met name in het mkb zie ik dat er nog veel moet worden gedaan. Er zijn veel slagen gemaakt, maar er gebeurt ook veel in de sector en de behoefte naar informatie blijft groot.”
Afschrikwekkend effect
Wolfsen zegt dat bedrijven zien dat het menens is, nu er boetes worden uitgedeeld. “We hebben nu de combinatie van voorlichting met handhaving, dus zien bedrijven dat er het risico op een boete is.”
De AP is te onderbezet om boetes echt af te laten schrikken
Nadia Benaissa van Bits of Freedom is het niet helemaal met Wolfsen eens. De boetes kunnen weliswaar werken als afschrikmiddel, maar zijn dat niet automatisch. Er zijn dan ook weinig aanwijzingen dat de boetes bedrijven concreet afschrikken om zich te houden aan de wet. “Veel bedrijven denken nog steeds dat ze niet veel risico lopen op een boete”, zegt ze. “Dat komt met name doordat de AP nog niet zo hard optreedt en weinig boetes geeft.” Dat laatste komt volgens Benaissa weer door de onderbezetting van de AP. Het risico op boetes lijkt daarom voor veel bedrijven ingecalculeerd. Hoe groot is de schade van een boete, en hoe groot is het risico dat je er een krijgt? Voor een bedrijf is het een simpele rekensom.
Aan de andere kant ziet Benaissa dat bedrijven zich weliswaar beter aan de AVG houden, maar dat dit vooral vanuit de verplichting wordt gedaan. “Ze missen vaak nog de intrinsieke motivatie om zich aan de wet te houden”, zegt ze.
Platgebeld
In ieder geval weten de bedrijven de AP wel te vinden als ze vragen hebben. Zeker nu de coronacrisis veel aspecten van het werk moeilijker maakt. Door het thuiswerken moest Nederland halsoverkop overstappen naar allerlei privacytools, en proberen bedrijven mee te denken met de pandemiebestrijding door de temperatuur van werknemers op te nemen. “Daar worden we veel over gebeld. Er komen veel vragen over, dus proberen we daar meer informatie over te geven. Dat doen we met bijvoorbeeld een nieuwe Q&A op de website.”
Eindelijk boetes
Wolfsen heeft al meerdere malen gezegd dat boetes ‘er nu echt aan komen’. Al twee jaar voordat de AVG in werking trad en Wolfsen net aan het roer stond was dat hét ding dat de AVG zou veranderen ten opzichte van de toen bestaande Wet Bescherming Persoonsgegevens. Met de AVG kreeg de waakhond eindelijk tanden, voorspelde Wolfsen. Een jaar na de inwerkingtreding was er nog geen enkele boete uitgeschreven. Inmiddels is dat anders. De lijst met wapenfeiten is kort, maar krachtig.
Haga Ziekenhuis: slechte toegang tot patiëntdossiers
Het Haagse Haga Ziekenhuis kreeg in juli van vorig jaar de eerste AVG-boete opgelegd. Het ziekenhuis moest 460.000 euro betalen nadat de toegangsbeveiliging van patiëntendossiers niet voldoende bleek te zijn. Zo werden de toegangslogs niet regelmatig bekeken, en zat er geen tweestapsverificatie op de toegang.
Het ziekenhuis ging later in beroep. Dat deed het niet tegen de boete op zich, maar tegen de hoogte ervan.
:strip_exif()/i/2003608546.jpeg?f=imagenormal)
Kntlb beboet voor direct marketing
In maart van dit jaar gaf de AP een boete van 525.000 euro aan de Koninklijke Nederlandse Lawn Tennisbond (Knltb). Die had gegevens van leden verkocht aan sponsoren, die de data vervolgens gebruikten voor direct marketing.
Onbekend bedrijf verzamelt vingerafdrukken
De hoogste boete tot nu toe was voor rekening van een niet nader genoemd bedrijf dat de vingerafdrukken van medewerkers verzamelde. De naam van het bedrijf is niet bekend; het had aan de rechter gevraagd anoniem te blijven. Het bedrijf stelde dat werknemers niet verplicht waren hun vingerafdruk af te staan, maar zij zeiden zelf dat er zo'n grote druk op hen werd gelegd dat het daar feitelijk wel op neerkwam.
Wolfsen noemt ook nog een boete bij Uber en een last onder dwangsom bij zorgverzekeraars als AVG-wapenfeiten, maar dat klopt niet helemaal. Zowel de Uber-boete als de voorwaardelijke boete voor de zorgverzekeraars vond plaats voor overtredingen onder de Wet Bescherming Persoonsgegevens, de voorloper van de AVG. Wel werd die last onder dwangsom in het afgelopen jaar verbeurd.
Te streng, of niet streng genoeg
Lang luidde de kritiek op de Autoriteit Persoonsgegevens dat hij niet streng genoeg optrad. Het was een waakhond zonder tanden, hij zou veel blaffen maar niet bijten. Maar inmiddels lijkt de AP juist de andere kant op te zijn gegaan. Sommige uitspraken en boetes van de toezichthouder blijken juist gebaseerd op een erg strenge interpretatie van de wet. Neem de beruchte boete van de Knltb. Die is met 525.000 euro de op een na hoogste die in Nederland werd uitgedeeld, voor een feit waarvan juristen dachten dat het wel mocht.
De boetes geven invulling aan termen die lange tijd niet duidelijk waren
De Knltb verkocht de gegevens van leden door voor direct marketing. Onder de AVG is direct marketing een ‘gerechtvaardigd belang’ en één van zes geldige redenen om gegevens te verwerken. De Knltb beriep zich op die grondslag, maar de AP was het daar niet mee eens. Ook in het geval van het Haga Ziekenhuis leek de AP in eerste instantie meedogenloos. Het ziekenhuis was al gewaarschuwd dat het 'beter moest loggen' en voerde dat ook als verandering door. Het deed dat blijkbaar niet goed genoeg, want het liep nog steeds tegen een boete aan.
'Terechte boetes'
Wolfsen weerspreekt dat de AP te streng optrad. “Bij de Knltb ging het helemaal niet om direct marketing, maar om datahandel. De gegevens werden doorverkocht.” Hij wil niet te veel ingaan op alle specifieke gevallen, maar ook het Haga Ziekenhuis ging volgens hem duidelijk over de streep. “Soms heb je een verschil over normen, of je bij wijze van spreken 20 of 22 keer iets moet loggen. Daar zijn we normaal gesproken best mild over. Maar het Haga Ziekenhuis acteerde zo evident onder de norm, dat was gewoon niet goed.”
Ook bij de recordboete van het vingerafdrukscannende bedrijf liep het proces anders dan normaal. Waar Wolfsen vorig jaar nog zei dat de AP bedrijven meestal eerst een brief zou sturen, zou bellen of op een andere manier zou waarschuwen, is dat bij dit bedrijf niet gebeurd. In het boetebesluit staat hoe de AP onaangekondigd binnenviel bij het bedrijf en direct een boete uitdeelde. Is de tijd van waarschuwen voorbij? Wolfsen denkt van niet. “Dit bedrijf ging fors over de schreef. Wat ze deden gebeurde op zo'n grote schaal en ging ook nog eens over biometrie. Als dat bij een waarschuwing was gebleven, had niemand dat serieus genomen.”
Aandachtsgebieden
De boetes tot nu vallen in de aandachtsgebieden van de AP
De boetes van de AP vallen stuk voor stuk binnen het voorgestelde beleid van de waakhond. In november vorig jaar kondigde de AP aan meer focus te gaan geven aan een aantal ‘aandachtsgebieden’: zorggegevens, datahandel, data bij de overheid, en kunstmatige intelligentie. In die eerste twee categorieën zijn nu flinke boetes gevallen: die van het Haga Ziekenhuis, en bij zorgverzekeraars. Wolfsen kijkt tevreden terug op die boetes. Vorig jaar, toen hij aangaf dat de boetes eraan kwamen, zei hij dat ze rechtvaardig zouden zijn. Boetes waarvan mensen volgens Wolfsen zouden zeggen: ‘Het is goed dat de AP daartegen optreedt’. Dat is volgens hem waargemaakt. “We hebben gehandeld in lijn met wat we toen zeiden dat we zouden doen. Alles wat we doen gaat volgens de prioriteiten die we hebben gesteld.”
Nadia Benaissa van Bits of Freedom denkt ook dat de AP met zijn aandachtsgebieden op de goede weg zit. “Het is goed dat ze zich er bezighouden met duidelijke focusgebieden”, zegt ze. Bovendien zijn gezondheidsgegevens en overheidshandelen ook wel onderwerpen die belangrijk genoeg zijn om aan te pakken, denkt Benaissa.
Strenge interpretaties
Het is overigens niet de enige situatie waarbij de waakhond streng optreedt. Onlangs sprak de AP zich uit tegen het verzamelen van locatiedata door overheden in de strijd tegen het coronavirus. Opvallend aan de uitspraak: volgens de AP kunnen locatiedata per definitie niet anoniem zijn, daarom is er een wetswijziging nodig.
De AP lijkt de privacywet soms strenger te interpreteren dan andere toezichthouders
Wolfsen vindt dat de AP-juristen de wet niet bijzonder veel strenger dan juristen of andere Europese toezichthouders interpreteren. “Op veel vlakken lopen we wel voorop”, zegt hij. “We zijn niet de trendsetter, maar spreken ons wel in een vroeg stadium al uit over bepaalde zaken. Dat komt dan misschien streng over, maar dat is juist omdat Nederland zo sterk gedigitaliseerd is en zo veel bedrijven met de wet hebben te maken.” Op veel vlakken, zegt Wolfsen, is te zien hoe andere Europese toezichthouders of het grote overkoepelende toezichthoudersorgaan er inmiddels dezelfde denkwijzes op na houden. “Als het gaat om onze interpretatie van de cookiewall, zie je dat inmiddels alle andere toezichthouders nu zeggen wat wij eerder al zeiden.”
Misschien heeft het ook te maken met het feit dat alle boetes, maar ook de subtielere waarschuwingen en de openbare blogposts van de AP, na twee jaar eindelijk meer duidelijkheid geven aan bepaalde begrippen. Bedrijven hekelden ooit termen zoals ‘het gerechtvaardigd belang’. Door een combinatie van boetebesluiten en bredere duiding van de AP worden die begrippen een stuk helderder. “De term ‘gerechtvaardigd belang’ was inderdaad lang een discussiepunt”, zegt Wolfsen. ”Na een tijdje hebben we daar op de website meer over geschreven, over de manier waarop we daar tegenaan kijken.”
Onderbezetting
Er is één probleem dat consequent terugkomt in discussies over de AP: de zware onderbezetting van de waakhond. Ook nu, twee jaar na invoering en na veel verzoeken om meer geld bij de regering, is er nog maar weinig veranderd aan de situatie. Ondertussen blijft het aantal vragen, klachten en meldingen bij de organisatie ongeremd groeien. Waren er in de tweede helft van 2018 nog 10.000 verzoeken die de AP moest afhandelen, in het eerste half jaar van 2019 ging het om 15.000 verzoeken.
De AP is notoir onderbezet, en dat levert problemen op
De toezichthouder is verplicht iedere melding in behandeling te nemen. Een paar maanden geleden moest de waakhond voor het eerst concluderen dat dat niet lukte. In 2019 zijn 3000 behandelverzoeken blijven liggen. De waakhond probeert prioriteiten te stellen om te bepalen wat voor soort vragen als eerste worden behandeld, maar nog steeds voelen burgers zich regelmatig afgescheept als ze lang moeten wachten.
‘Formatieproblematiek’
Wolfsen erkent het probleem, dat hij ‘formatieproblematiek’ noemt: “we hebben te veel werk.” Ook organisaties zoals Bits of Freedom zien inmiddels de problematiek rondom de onderbezetting, zegt Benaissa. “Dat beperkt hun slagkracht, en daardoor vallen er te weinig boetes om voor een echt afschrikwekkend effect te zorgen.” De problemen zijn ook bekend bij de politiek, maar dat heeft nog niet veel effect gesorteerd. In juni vorig jaar ging het budget marginaal omhoog, van 15,1 miljoen naar 18,5 miljoen euro per jaar. Minister Sander Dekker van Rechtsbescherming schreef vorig jaar aan de Tweede Kamer dat er niet nog meer extra geld naar de AP zou gaan.
Met de handhaving mag het inmiddels voorzichtig de goede kant op gaan, maar een echt harde aanpak van bedrijven lijkt moeilijk zolang de toezichthouder beperkte slagkracht heeft.
:strip_icc():strip_exif()/i/2006852536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005129424.jpeg?f=fpa_thumb)
/i/2004582292.png?f=fpa_thumb)
/i/2004364124.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003456026.jpeg?f=fpa_thumb)
:strip_exif()/i/2005823556.jpeg?f=fpa)
/i/2004735554.png?f=fpa)
/i/1241724688.png?f=fpa)
/i/1202991430.png?f=fpa)
/i/2000900259.png?f=fpa)
:strip_exif()/i/2003739722.jpeg?f=fpa)
/i/2001458235.png?f=fpa)
:strip_exif()/u/4143/crop673c629560e43_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/957705/crop5f61fcf8cd889.jpeg?f=community){kind=small}
/u/407403/WAhack.png?f=community){kind=small}
:strip_icc():strip_exif()/u/112781/64_shh_nobody_need_to_know.jpg?f=community){kind=small}
):strip_icc():strip_exif()/u/42939/aquamaterial.jpg?f=community){kind=small}
/u/420081/droopy.png?f=community){kind=small}
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/427246/XB1_avatar.jpg?f=community){kind=avatar}
/u/52005/NagtegaalDG.png?f=community){kind=small}
/u/49730/babby%2520tux.png?f=community){kind=small}
:strip_icc():strip_exif()/u/116600/crop5be04a1ae3ded_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/75092/robinia_70.jpg?f=community){kind=small}
:strip_exif()/u/67066/crop5df8a7920e238_cropped.gif?f=community){kind=small}
