Deze week vierde de Algemene Verordening Gegevensbescherming zijn derde verjaardag. Op 25 mei 2018 stopte de overgangsperiode die twee jaar eerder in werking trad en kon de toezichthouder gaan handhaven op het overtreden van de privacywet. In de rommelige beginperiode vol e-mailverzoeken van bedrijven waren niet alleen multinationals maar vooral ook kleine bedrijven, scholen en verenigingen niet zeker over wat zij met de wet aan moesten. Inmiddels heeft de Autoriteit Persoonsgegevens (AP) meerdere boetes uitgedeeld voor overtredingen en lijkt de wet goed ingeburgerd. Tweakers sprak met AP-voorzitter Aleid Wolfsen over de wet, de boetes en het krappe budget van de toezichthouder.
De AVG is deze week drie jaar oud. Hoe wordt de wet inmiddels nageleefd in Nederland?
"Zeker in de politiek zie je meer bewustzijn. De AP startte bij de invoering van de AVG met te weinig geld. We zijn destijds bewust gestart met voorlichting geven en bewustwording creëren. Dat ging moeizaam en het kostte veel tijd en energie, maar inmiddels hebben we al een flink aantal boetes opgelegd."
"De gekte die je voor en kort na de invoering zag, is weggezakt. Burgers zijn zich veel meer bewust van hun privacy en zijn ook voorzichtiger geworden. Je ziet nu dat ook bedrijven de goede kant opgaan, maar spijtig genoeg blijft het uitdelen van boetes soms nodig."
"Een belangrijke factor in naleving van de AVG is dat Nederland door het coronavirus massaal thuis is gaan werken. Nederland is een sterk gedigitaliseerd land en onze digitale voorzieningen zijn beter dan die in de meeste andere landen. Daardoor is het belang van onze rol groter. In de politiek realiseert men zich nu dat die digitalisering niet zonder robuuste toezichthouder kan."
Ondertussen is de AP nog steeds grof onderbezet en lopen de achterstanden op. U pleitte vorige week bij de informateur voor een verviervoudiging van jullie budget.
"Dat klopt. Die discussie loopt natuurlijk al maanden en veel partijen, inclusief de VVD, hebben een motie ondertekend waarin staat dat de AP moet worden versterkt. De urgentie ervan heeft ook te maken met een maatschappelijke discussie over hoe rechtsbescherming en de dienstverlening naar de burger moeten worden verbeterd. Het is fijn dat dit nu landt."
"Wat we graag willen onderstrepen, is dat bedrijven er baat bij hebben dat we robuuster worden. Ze moeten soms jaren wachten op een vergunning die ze van ons nodig hebben voor bijvoorbeeld fraudebestrijding. De onderzoeken verlopen traag omdat we te klein zijn. Bedrijven durven nu sommige dingen niet te doen en zijn bang om te innoveren."
Mede door die vertragingen ging VoetbalTV destijds failliet. Wordt daar de focus op gericht, mocht er straks meer budget komen?
"Ja, zij hebben te lang op ons besluit moeten wachten. We willen vergunningen sneller kunnen uitgeven, maar ook meer aan voorlichting kunnen doen. We hebben bijvoorbeeld goede technologen in dienst die precies uitzoeken hoe het zit. Daarmee kan de AP goed uitleggen wat wel en niet mag. Neem bijvoorbeeld de recente boete voor wifi-tracking door de gemeente Enschede. Er was voorafgaand aan die boete vaak discussie over het verschil tussen anonieme en pseudonieme gegevens. Maar hashen levert pseudoniemen, en dat blijven dus persoonsgegevens. Daar wordt nu veel meer uitleg over gegeven. Een grote AP rendeert op die manier ook voor bedrijven en overheden."
/i/2004027244.png?f=imagenormal)
Een veelgehoorde klacht was de afgelopen jaren dat de AP weinig duidelijkheid gaf over begrippen in de AVG die aan interpretatie onderhevig zijn, zoals het gerechtvaardigd belang of anonimisering. Nu lijkt die uitleg vooral via boetes te worden gegeven. Klopt dat?
"Niet helemaal. We doen meer aan openbare voorlichting. Toen de coronacrisis begon, hebben we bijvoorbeeld een keuzehulp gemaakt voor videobel-apps. Dat is uiteraard niet hetzelfde als de tekst bij boetes waarin precies staat welke juridische artikelen een bedrijf overtreedt. Uitleg begint met een goede Q&A. Als je bij het opstellen daarvan er niet uitkomt hoe iets precies in elkaar steekt, schrijf je het verder uit in een boetebesluit. Daarmee speel je op het scherpst van de snede, want het komt voor de rechter. We hebben ook op dit punt overigens te maken met een capaciteitsprobleem. Voor normuitleg heb je mensen nodig."
Je zou kunnen zeggen: eenmaal uitgelegd is het helder, toch?
"Niet helemaal, want de ene zaak is de andere niet. Neem de anonimisering van gegevens. Bij telecomdata is dat heel wat anders dan bij wifitracking, en in een andere context gaat het ook weer over andere gegevens. En kijk eens naar algoritmes; wanneer is er sprake van een discriminerend aspect van een algoritme? Die norm kun je niet maar één keer uitleggen, want dit komt heel vaak voor en in veel gevallen gaat het om unieke situaties. De omstandigheden bij het UWV, de Belastingdienst of een lokale sportclub zijn altijd verschillend. Ook in dat kader rendeert iedere euro die je in de AP steekt kwadratisch: je hebt als bedrijf sneller uitleg en kunt sneller innoveren, en ondertussen worden burgers beter beschermd. We doen veel meer aan voorlichting via brancheorganisaties en functionarissen gegevensbescherming dan via boetebesluiten. Alleen zijn die laatste exclusief en zichtbaar."
Een van jullie eerste wapenfeiten toen de AVG in werking trad, was dat jullie bedrijven en overheden gingen controleren op de aanwezigheid van een functionaris gegevensbescherming, of FG. FG's zouden jullie 'oren en ogen in organisaties' worden. Zijn ze dat inmiddels?
"Onze relatie met FG's is goed. Er zijn er nu bijna 10.000 in Nederland. De meeste bedrijven die er een moeten hebben, voldoen nu aan die eis. We hebben destijds een paar overheidsinstellingen en bedrijven aangeschreven met de waarschuwing dat ze een FG moesten aanstellen, anders konden ze een boete krijgen. Nu willen we op de kwaliteit gaan letten. In dat kader stelden we laatst bijvoorbeeld een gemeente onder verscherpt toezicht. Een ander voorbeeld is dat we bezig zijn met een bedrijf waarbij de FG niet de juiste positie had omdat deze functionaris buiten de organisatie stond. We zouden graag een bijeenkomst tussen ons en de FG's willen. Zij zijn inderdaad onze ogen en oren, maar kunnen ook intern advies geven en dat lukt nu niet altijd."
Boetes
Het eerste jaar dat de AVG bestond was de AP vooral bezig met voorlichting, maar inmiddels lijkt de tijd van handhaving aangebroken. De Autoriteit Persoonsgegevens deelde tot nu toe vijftien boetes uit. De hoogste betrof een bedrag van 830.000 euro, voor rekening van Bureau Krediet Registratie.
De laatste weken zijn ineens veel boetes kort achter elkaar uitgeschreven. Wat voor boetes waren dat?
"Het gaat om een variëteit aan boetes en ze lopen uiteen van groot tot klein. De boetes zijn ook altijd gericht op onze prioriteiten, zoals datahandel en dataverzameling bij de overheid. Naar die activiteiten lopen nu ook nog twee onderzoeken."
"Ik moet er ook eerlijk in zijn, bij de handhaving hadden we lang last van ondercapaciteit. Al onze afdelingen zijn klein en dat geldt ook voor die van de handhaving. Pas nu rollen er de eerste zaken uit. Wij kunnen op twee manieren onderzoeken verrichten: ambtshalve, dus als we er zelf een reden voor zien, en op basis van klachten. Daar begint nu balans in te komen. Toch zouden we het nog beter willen doen."
Op welke manier 'beter'?
"Nu moet je vijf, zes, soms zeven maanden wachten voor we zaken überhaupt oppakken, terwijl het soms om serieuze kwesties gaat. Dat is ook frustrerend voor burgers, zeker als je kijkt naar onze maatschappelijke missie. We moeten snel handelen en snel duidelijkheid kunnen geven. Als een overtreding boetewaardig is, moet je snel een boete kunnen uitdelen. Andersom geldt dat als dit niet het geval is, een bedrijf er recht op heeft om snel duidelijkheid te krijgen."
Hoogte | Reden | |
HagaZiekenhuis | € 460.000, later verlaagd tot € 350.000,- | Interne beveiliging niet op orde |
Knltb | € 525.000,- | Verkoop ledengegevens aan sponsoren |
Onbekend bedrijf | € 725.000,- | Registreren van vingerafdrukken werknemers |
Bureau Krediet Registratie | € 830.000,- | Geld vragen voor inzage persoonsgegevens |
OLVG (ziekenhuis) | € 440.000,- | Slechte logging bij toegang patiëntendossiers |
Booking.com | € 475.000,- | Te laat melden datalek |
Gemeente Enschede | € 600.000,- | Wifi-tracking in binnenstad |
PVV Overijssel | € 7500,- | E-mail sturen met zichtbare ontvangers |
LocateFamily.com | € 525.000,- | Geen mogelijkheid gegevens te laten verwijderen |
Menzis | € 50.000,- | Geïnde last onder dwangsom voor te veel toegang tot medische gegevens |
CP&A | € 15.000,- | Opslaan medische gegevens op Google Drive |
In uw brief aan de informateur schreef u dat slechts 0,11 procent van de klachten leidt tot een sanctie en dat 0,15 procent van de datalekmeldingen wordt onderzocht. Zelfs een verviervoudiging van jullie budget zet dan toch weinig zoden aan de dijk?
"Toch wel. Met meer budget kunnen we sneller werken en dat zal tot minder klachten leiden. Mensen weten dan waar ze aan toe zijn en daar gaat ook een preventieve werking van uit. Nu pakken we veel te weinig zaken op."
Als je op Europees niveau naar de hoogte van boetes kijkt, blijkt dat de AP relatief weinig, maar wel hoge boetes uitdeelt. Is dit bewust beleid dat met onderbezetting heeft te maken?
"Nee, dat is geen bewust beleid. We hebben in Europa overleg met andere toezichthouders. Daarbij praten we over de boetes die worden uitgedeeld, inclusief de normen en criteria op basis waarvan wordt beboet. Dat proberen we goed af te stemmen. Wel is het zo dat we alleen serieuze zaken oppakken; we acteren niet op kleine dingen. Omdat het om serieuze zaken gaat, zijn het ook serieuze boetes."
Andere landen, zoals België, hebben regelmatig boetes uitgedeeld aan individuen, bijvoorbeeld aan een stel dat bewakingscamera's op de openbare weg had gezet en aan een politieagent die onterecht in dossiers had gekeken. Waarom gebeurt dat in Nederland niet?
"Een boete moet altijd in verhouding staan tot de overtreding. In de meeste gevallen kijken we of we het af kunnen doen met een berisping of een telefoontje. Vaak is dat genoeg. We hebben vanaf het begin gezegd dat we niet achter de bakker op de hoek aan gaan. De zaken die we oppakken, zijn serieus, zoals overtredingen door de Belastingdienst, het BKR of de gemeente die we nu onder toezicht hebben geplaatst. Dat zijn grote kwesties waarbij het om zeer gevoelige gegevens gaat. Door onze gebrekkige capaciteit moeten de zaken die we oppakken er echt toe doen. Daar passen ook hoge boetes bij."
Maar in andere landen wordt dus wél onderzoek gedaan naar die bakker.
"Als we in Nederland een klacht krijgen over zo'n bakker, bevragen we hem of we geven een berisping. In Nederland lopen een paar van zulke zaken. We krijgen bijvoorbeeld veel klachten over cameratoezicht. In een aantal gevallen zijn we op locatie geweest om te kijken waar de camera's precies hangen en uit te leggen wat wel en niet mag. Soms zeggen we daarbij dat per direct moet worden gestopt met die camera's."
'Bij het ophangen van
"Vaak zie je dat er ook heel andere dingen spelen. Bij cameratoezicht gaat het bijvoorbeeld regelmatig om burenruzies. Dan kijken wij of dat echt wel iets voor ons is of eerder iets voor de politie of de gemeente. Dan gaat het dus niet enkel om een privacyvraagstuk, maar spelen er andere belangen mee."
camera's speelt vaak meer
dan alleen privacy'
Anderzijds vragen veel mensen zich af wanneer de AP nu eens achter de 'echt grote privacyschenders' aangaat, bijvoorbeeld techbedrijven als Google en Facebook. Gaat dat nog gebeuren?
"Dat gebeurt al. Europa speelt daarin een grote rol. Veel Europese hoofdvestigingen zitten bijvoorbeeld in Ierland, al zijn er ook een paar in Nederland. We hebben hier een onderzoek lopen naar TikTok, dat is nu bijna afgerond, en we hebben boetes uitgedeeld aan Uber en Booking.com. Veel onderzoeken lopen ook in Europees verband, kijk maar naar boetes zoals Frankrijk ze uitdeelde aan Google. Maar het is niet alleen iets voor andere Europese landen. Er is veel collegiale samenwerking tussen Europese toezichthouders. Soms kijken wij met collega's uit een ander land mee en dat gebeurt ook andersom. In Duitsland hebben we bijvoorbeeld meegewerkt aan een onderzoek naar Facebook en WhatsApp. We zijn actief in een Europees overleg en hebben er soms een coördinerende rol."
"Het punt is wel dat die onderzoeken even op gang moesten komen. Alle toezichthouders waren klein, zeker die in Ierland. Inmiddels zijn ze aan het groeien. De toezichthouder in Ierland is nu net zo groot als wij en in Duitsland is men sterk aan het opschalen."
Sommige juristen merken op dat jullie hoge boetes uitdelen. De rechter vond dat laatst ook, toen de boete voor het HagaZiekenhuis werd verlaagd naar 350.000 euro. Straft de AP soms te streng?
:strip_exif()/i/2004375816.jpeg?f=imagemedium)
"Nee, we straffen niet te streng. De rechter beoordeelt de gegevens op het moment dat de zaak op zitting is. Tijdens ons onderzoek naar het HagaZiekenhuis bleek dit ziekenhuis nogal weigerachtig, men dacht 'ach, hoe erg is dit nou?' Achteraf heeft het ziekenhuis wel zaken aangepast in de beveiliging en tijdens de rechtszaak was men heel schuldbewust. Daar houdt de rechter rekening mee. Als ex-rechter vind ik dat redelijk."
"Een zaak zoals rond het HagaZiekenhuis duurt heel lang, ook omdat men in beroep kan gaan. Dat is in het voordeel van degene die de boete krijgt. Hoe ouder de zaak, hoe sneller een rechter zegt: 'Dat is al zo lang geleden, die boete kan wel wat lager. Als we meer capaciteit hebben, kunnen we ook sneller beboeten. Zaken kunnen dan sneller voor de rechter komen."
Ook op andere gebieden hebben jullie strenge interpretaties. Bij de boete voor de Knltb zeiden jullie dat direct marketing nóóit een gerechtvaardigd belang kan zijn, tot verbazing van veel juristen. Later zeiden jullie dat locatiedata per definitie nooit anoniem kan zijn. Hoe streng interpreteren jullie de AVG?
"Tijdens het begin van de coronapandemie was er in heel Europa discussie over het gebruik van telecomdata om de verspreiding van het virus te volgen. Dat was een heel ingewikkelde discussie waarover in de Tweede Kamer een hoorzitting heeft plaatsgevonden. Onze technologen hebben destijds onderzocht wanneer data wel of niet onomkeerbaar anoniem is. We hebben een standpunt ingenomen waar niet iedereen binnen Europa het mee eens was, namelijk dat een beetje aggregeren van locatiedata niet per se onomkeerbaar anonieme gegevens oplevert. Vooral locatiedata zijn extreem gevoelig en met de toenemende rekenkracht en innovatie van algoritmen neemt ook de kans toe op aanvallen. We hebben er destijds veel bijeenkomsten over georganiseerd en goed uitgelegd wat we bedoelden. Inmiddels volgt iedereen ons standpunt!"
'De eerste vraag is altijd: is dit een persoonsgegeven?'
"Bij zo'n kwestie is de eerste vraag altijd: is dit nog een persoonsgegeven? Zolang dat zo is, gaat het om een inbreuk. Bij wifi-tracking, waar de gemeente Enschede onlangs een boete voor kreeg, geldt hetzelfde. De gemeente zei dat ze de gegevens hashte, maar hashen is niet anonimiseren, dus gaat het om persoonsgegevens. Dat was ook zo bij de Knltb die gegevens van leden verkocht voor direct marketing. Als ik de fiets van mijn buurman wil lenen, vraag ik dat eerst netjes. Dat moet ook gelden voor persoonsgegevens. Als je iemand eerst vraagt 'mag ik je persoonsgegevens gebruiken?' is het prima. Maar doe je dat niet, dan is er sprake van een inbreuk. Die discussie moet scherp zijn."
Als jullie straks de honderd miljoen per jaar krijgen waar jullie om vragen, wat gaat u daar dan mee doen?
"We gaan al onze afdelingen uitbreiden. De afdeling met onze technologen, zodat we nog beter de techniek achter verwerkingen kunnen doorgronden, onze onderzoeksafdeling zodat hij sneller onderzoeken kan afronden, onze klachtenafhandeling zodat er sneller op meldingen kan worden gereageerd. Burgers en bedrijven moeten evenveel voordeel hebben aan die uitbreiding. Daarnaast willen we meer ook goede voorlichting geven. Voorkomen is altijd beter dan genezen."
Toezicht op algoritmes is een belangrijk onderdeel van jullie werk. Een paar grote politieke partijen, waaronder de VVD en D66, willen een aparte toezichthouder voor algoritmes. Zou dat jullie helpen, met het oog op werkdruk?
"Daar kan ik kort over zijn: toezicht op algoritmes behoort bij onze prioriteiten. Als een algoritme persoonsgegevens verwerkt, is daar al een toezichthouder voor, namelijk wij. Daar is geen twijfel over mogelijk."
"Deze discussie speelde vorig jaar al in de Tweede Kamer. Daar werd toen de conclusie getrokken dat deze taak prima bij de AP kan liggen, ondanks de onderbezetting. Er hoeft dus geen nieuwe toezichthouder voor te komen, maar je moet de bestaande toezichthouder wel meer geld geven."