Door Tijs Hofmans

Nieuwscoördinator

'Serieuze zaken vergen serieuze boetes'

Interview met Aleid Wolfsen over de AVG

27-05-2021 • 06:00

96

titel

Deze week vierde de Algemene Verordening Gegevensbescherming zijn derde verjaardag. Op 25 mei 2018 stopte de overgangsperiode die twee jaar eerder in werking trad en kon de toezichthouder gaan handhaven op het overtreden van de privacywet. In de rommelige beginperiode vol e-mailverzoeken van bedrijven waren niet alleen multinationals maar vooral ook kleine bedrijven, scholen en verenigingen niet zeker over wat zij met de wet aan moesten. Inmiddels heeft de Autoriteit Persoonsgegevens (AP) meerdere boetes uitgedeeld voor overtredingen en lijkt de wet goed ingeburgerd. Tweakers sprak met AP-voorzitter Aleid Wolfsen over de wet, de boetes en het krappe budget van de toezichthouder.

De AVG is deze week drie jaar oud. Hoe wordt de wet inmiddels nageleefd in Nederland?

"Zeker in de politiek zie je meer bewustzijn. De AP startte bij de invoering van de AVG met te weinig geld. We zijn destijds bewust gestart met voorlichting geven en bewustwording creëren. Dat ging moeizaam en het kostte veel tijd en energie, maar inmiddels hebben we al een flink aantal boetes opgelegd."

"De gekte die je voor en kort na de invoering zag, is weggezakt. Burgers zijn zich veel meer bewust van hun privacy en zijn ook voorzichtiger geworden. Je ziet nu dat ook bedrijven de goede kant opgaan, maar spijtig genoeg blijft het uitdelen van boetes soms nodig."

"Een belangrijke factor in naleving van de AVG is dat Nederland door het coronavirus massaal thuis is gaan werken. Nederland is een sterk gedigitaliseerd land en onze digitale voorzieningen zijn beter dan die in de meeste andere landen. Daardoor is het belang van onze rol groter. In de politiek realiseert men zich nu dat die digitalisering niet zonder robuuste toezichthouder kan."

Ondertussen is de AP nog steeds grof onderbezet en lopen de achterstanden op. U pleitte vorige week bij de informateur voor een verviervoudiging van jullie budget.

"Dat klopt. Die discussie loopt natuurlijk al maanden en veel partijen, inclusief de VVD, hebben een motie ondertekend waarin staat dat de AP moet worden versterkt. De urgentie ervan heeft ook te maken met een maatschappelijke discussie over hoe rechtsbescherming en de dienstverlening naar de burger moeten worden verbeterd. Het is fijn dat dit nu landt."

"Wat we graag willen onderstrepen, is dat bedrijven er baat bij hebben dat we robuuster worden. Ze moeten soms jaren wachten op een vergunning die ze van ons nodig hebben voor bijvoorbeeld fraudebestrijding. De onderzoeken verlopen traag omdat we te klein zijn. Bedrijven durven nu sommige dingen niet te doen en zijn bang om te innoveren."

Mede door die vertragingen ging VoetbalTV destijds failliet. Wordt daar de focus op gericht, mocht er straks meer budget komen?

"Ja, zij hebben te lang op ons besluit moeten wachten. We willen vergunningen sneller kunnen uitgeven, maar ook meer aan voorlichting kunnen doen. We hebben bijvoorbeeld goede technologen in dienst die precies uitzoeken hoe het zit. Daarmee kan de AP goed uitleggen wat wel en niet mag. Neem bijvoorbeeld de recente boete voor wifi-tracking door de gemeente Enschede. Er was voorafgaand aan die boete vaak discussie over het verschil tussen anonieme en pseudonieme gegevens. Maar hashen levert pseudoniemen, en dat blijven dus persoonsgegevens. Daar wordt nu veel meer uitleg over gegeven. Een grote AP rendeert op die manier ook voor bedrijven en overheden."

VoetbalTV
VoetbalTV ging failliet omdat het bedrijf te lang moest wachten op een uitspraak van de AP

Een veelgehoorde klacht was de afgelopen jaren dat de AP weinig duidelijkheid gaf over begrippen in de AVG die aan interpretatie onderhevig zijn, zoals het gerechtvaardigd belang of anonimisering. Nu lijkt die uitleg vooral via boetes te worden gegeven. Klopt dat?

"Niet helemaal. We doen meer aan openbare voorlichting. Toen de coronacrisis begon, hebben we bijvoorbeeld een keuzehulp gemaakt voor videobel-apps. Dat is uiteraard niet hetzelfde als de tekst bij boetes waarin precies staat welke juridische artikelen een bedrijf overtreedt. Uitleg begint met een goede Q&A. Als je bij het opstellen daarvan er niet uitkomt hoe iets precies in elkaar steekt, schrijf je het verder uit in een boetebesluit. Daarmee speel je op het scherpst van de snede, want het komt voor de rechter. We hebben ook op dit punt overigens te maken met een capaciteitsprobleem. Voor normuitleg heb je mensen nodig."

Je zou kunnen zeggen: eenmaal uitgelegd is het helder, toch?

"Niet helemaal, want de ene zaak is de andere niet. Neem de anonimisering van gegevens. Bij telecomdata is dat heel wat anders dan bij wifitracking, en in een andere context gaat het ook weer over andere gegevens. En kijk eens naar algoritmes; wanneer is er sprake van een discriminerend aspect van een algoritme? Die norm kun je niet maar één keer uitleggen, want dit komt heel vaak voor en in veel gevallen gaat het om unieke situaties. De omstandigheden bij het UWV, de Belastingdienst of een lokale sportclub zijn altijd verschillend. Ook in dat kader rendeert iedere euro die je in de AP steekt kwadratisch: je hebt als bedrijf sneller uitleg en kunt sneller innoveren, en ondertussen worden burgers beter beschermd. We doen veel meer aan voorlichting via brancheorganisaties en functionarissen gegevensbescherming dan via boetebesluiten. Alleen zijn die laatste exclusief en zichtbaar."

Een van jullie eerste wapenfeiten toen de AVG in werking trad, was dat jullie bedrijven en overheden gingen controleren op de aanwezigheid van een functionaris gegevensbescherming, of FG. FG's zouden jullie 'oren en ogen in organisaties' worden. Zijn ze dat inmiddels?

"Onze relatie met FG's is goed. Er zijn er nu bijna 10.000 in Nederland. De meeste bedrijven die er een moeten hebben, voldoen nu aan die eis. We hebben destijds een paar overheidsinstellingen en bedrijven aangeschreven met de waarschuwing dat ze een FG moesten aanstellen, anders konden ze een boete krijgen. Nu willen we op de kwaliteit gaan letten. In dat kader stelden we laatst bijvoorbeeld een gemeente onder verscherpt toezicht. Een ander voorbeeld is dat we bezig zijn met een bedrijf waarbij de FG niet de juiste positie had omdat deze functionaris buiten de organisatie stond. We zouden graag een bijeenkomst tussen ons en de FG's willen. Zij zijn inderdaad onze ogen en oren, maar kunnen ook intern advies geven en dat lukt nu niet altijd."

Boetes

Het eerste jaar dat de AVG bestond was de AP vooral bezig met voorlichting, maar inmiddels lijkt de tijd van handhaving aangebroken. De Autoriteit Persoonsgegevens deelde tot nu toe vijftien boetes uit. De hoogste betrof een bedrag van 830.000 euro, voor rekening van Bureau Krediet Registratie.

De laatste weken zijn ineens veel boetes kort achter elkaar uitgeschreven. Wat voor boetes waren dat?

"Het gaat om een variëteit aan boetes en ze lopen uiteen van groot tot klein. De boetes zijn ook altijd gericht op onze prioriteiten, zoals datahandel en dataverzameling bij de overheid. Naar die activiteiten lopen nu ook nog twee onderzoeken."

"Ik moet er ook eerlijk in zijn, bij de handhaving hadden we lang last van ondercapaciteit. Al onze afdelingen zijn klein en dat geldt ook voor die van de handhaving. Pas nu rollen er de eerste zaken uit. Wij kunnen op twee manieren onderzoeken verrichten: ambtshalve, dus als we er zelf een reden voor zien, en op basis van klachten. Daar begint nu balans in te komen. Toch zouden we het nog beter willen doen."

Op welke manier 'beter'?

"Nu moet je vijf, zes, soms zeven maanden wachten voor we zaken überhaupt oppakken, terwijl het soms om serieuze kwesties gaat. Dat is ook frustrerend voor burgers, zeker als je kijkt naar onze maatschappelijke missie. We moeten snel handelen en snel duidelijkheid kunnen geven. Als een overtreding boetewaardig is, moet je snel een boete kunnen uitdelen. Andersom geldt dat als dit niet het geval is, een bedrijf er recht op heeft om snel duidelijkheid te krijgen."

Hoogte Reden
HagaZiekenhuis € 460.000, later verlaagd tot € 350.000,- Interne beveiliging niet op orde
Knltb € 525.000,- Verkoop ledengegevens aan sponsoren
Onbekend bedrijf € 725.000,- Registreren van vingerafdrukken werknemers
Bureau Krediet Registratie € 830.000,- Geld vragen voor inzage persoonsgegevens
OLVG (ziekenhuis) € 440.000,- Slechte logging bij toegang patiëntendossiers
Booking.com € 475.000,- Te laat melden datalek
Gemeente Enschede € 600.000,- Wifi-tracking in binnenstad
PVV Overijssel € 7500,- E-mail sturen met zichtbare ontvangers
LocateFamily.com € 525.000,- Geen mogelijkheid gegevens te laten verwijderen
Menzis € 50.000,- Geïnde last onder dwangsom voor te veel toegang tot medische gegevens
CP&A € 15.000,- Opslaan medische gegevens op Google Drive

In uw brief aan de informateur schreef u dat slechts 0,11 procent van de klachten leidt tot een sanctie en dat 0,15 procent van de datalekmeldingen wordt onderzocht. Zelfs een verviervoudiging van jullie budget zet dan toch weinig zoden aan de dijk?

"Toch wel. Met meer budget kunnen we sneller werken en dat zal tot minder klachten leiden. Mensen weten dan waar ze aan toe zijn en daar gaat ook een preventieve werking van uit. Nu pakken we veel te weinig zaken op."

Als je op Europees niveau naar de hoogte van boetes kijkt, blijkt dat de AP relatief weinig, maar wel hoge boetes uitdeelt. Is dit bewust beleid dat met onderbezetting heeft te maken?

"Nee, dat is geen bewust beleid. We hebben in Europa overleg met andere toezichthouders. Daarbij praten we over de boetes die worden uitgedeeld, inclusief de normen en criteria op basis waarvan wordt beboet. Dat proberen we goed af te stemmen. Wel is het zo dat we alleen serieuze zaken oppakken; we acteren niet op kleine dingen. Omdat het om serieuze zaken gaat, zijn het ook serieuze boetes."

Andere landen, zoals België, hebben regelmatig boetes uitgedeeld aan individuen, bijvoorbeeld aan een stel dat bewakingscamera's op de openbare weg had gezet en aan een politieagent die onterecht in dossiers had gekeken. Waarom gebeurt dat in Nederland niet?

"Een boete moet altijd in verhouding staan tot de overtreding. In de meeste gevallen kijken we of we het af kunnen doen met een berisping of een telefoontje. Vaak is dat genoeg. We hebben vanaf het begin gezegd dat we niet achter de bakker op de hoek aan gaan. De zaken die we oppakken, zijn serieus, zoals overtredingen door de Belastingdienst, het BKR of de gemeente die we nu onder toezicht hebben geplaatst. Dat zijn grote kwesties waarbij het om zeer gevoelige gegevens gaat. Door onze gebrekkige capaciteit moeten de zaken die we oppakken er echt toe doen. Daar passen ook hoge boetes bij."

Maar in andere landen wordt dus wél onderzoek gedaan naar die bakker.

"Als we in Nederland een klacht krijgen over zo'n bakker, bevragen we hem of we geven een berisping. In Nederland lopen een paar van zulke zaken. We krijgen bijvoorbeeld veel klachten over cameratoezicht. In een aantal gevallen zijn we op locatie geweest om te kijken waar de camera's precies hangen en uit te leggen wat wel en niet mag. Soms zeggen we daarbij dat per direct moet worden gestopt met die camera's."

'Bij het ophangen van
camera's speelt vaak meer
dan alleen privacy'
"Vaak zie je dat er ook heel andere dingen spelen. Bij cameratoezicht gaat het bijvoorbeeld regelmatig om burenruzies. Dan kijken wij of dat echt wel iets voor ons is of eerder iets voor de politie of de gemeente. Dan gaat het dus niet enkel om een privacyvraagstuk, maar spelen er andere belangen mee."

Anderzijds vragen veel mensen zich af wanneer de AP nu eens achter de 'echt grote privacyschenders' aangaat, bijvoorbeeld techbedrijven als Google en Facebook. Gaat dat nog gebeuren?

"Dat gebeurt al. Europa speelt daarin een grote rol. Veel Europese hoofdvestigingen zitten bijvoorbeeld in Ierland, al zijn er ook een paar in Nederland. We hebben hier een onderzoek lopen naar TikTok, dat is nu bijna afgerond, en we hebben boetes uitgedeeld aan Uber en Booking.com. Veel onderzoeken lopen ook in Europees verband, kijk maar naar boetes zoals Frankrijk ze uitdeelde aan Google. Maar het is niet alleen iets voor andere Europese landen. Er is veel collegiale samenwerking tussen Europese toezichthouders. Soms kijken wij met collega's uit een ander land mee en dat gebeurt ook andersom. In Duitsland hebben we bijvoorbeeld meegewerkt aan een onderzoek naar Facebook en WhatsApp. We zijn actief in een Europees overleg en hebben er soms een coördinerende rol."

"Het punt is wel dat die onderzoeken even op gang moesten komen. Alle toezichthouders waren klein, zeker die in Ierland. Inmiddels zijn ze aan het groeien. De toezichthouder in Ierland is nu net zo groot als wij en in Duitsland is men sterk aan het opschalen."

Sommige juristen merken op dat jullie hoge boetes uitdelen. De rechter vond dat laatst ook, toen de boete voor het HagaZiekenhuis werd verlaagd naar 350.000 euro. Straft de AP soms te streng?

AP_bestuur
Het bestuur van de Autoriteit Persoonsgegevens

"Nee, we straffen niet te streng. De rechter beoordeelt de gegevens op het moment dat de zaak op zitting is. Tijdens ons onderzoek naar het HagaZiekenhuis bleek dit ziekenhuis nogal weigerachtig, men dacht 'ach, hoe erg is dit nou?' Achteraf heeft het ziekenhuis wel zaken aangepast in de beveiliging en tijdens de rechtszaak was men heel schuldbewust. Daar houdt de rechter rekening mee. Als ex-rechter vind ik dat redelijk."

"Een zaak zoals rond het HagaZiekenhuis duurt heel lang, ook omdat men in beroep kan gaan. Dat is in het voordeel van degene die de boete krijgt. Hoe ouder de zaak, hoe sneller een rechter zegt: 'Dat is al zo lang geleden, die boete kan wel wat lager. Als we meer capaciteit hebben, kunnen we ook sneller beboeten. Zaken kunnen dan sneller voor de rechter komen."

Ook op andere gebieden hebben jullie strenge interpretaties. Bij de boete voor de Knltb zeiden jullie dat direct marketing nóóit een gerechtvaardigd belang kan zijn, tot verbazing van veel juristen. Later zeiden jullie dat locatiedata per definitie nooit anoniem kan zijn. Hoe streng interpreteren jullie de AVG?

"Tijdens het begin van de coronapandemie was er in heel Europa discussie over het gebruik van telecomdata om de verspreiding van het virus te volgen. Dat was een heel ingewikkelde discussie waarover in de Tweede Kamer een hoorzitting heeft plaatsgevonden. Onze technologen hebben destijds onderzocht wanneer data wel of niet onomkeerbaar anoniem is. We hebben een standpunt ingenomen waar niet iedereen binnen Europa het mee eens was, namelijk dat een beetje aggregeren van locatiedata niet per se onomkeerbaar anonieme gegevens oplevert. Vooral locatiedata zijn extreem gevoelig en met de toenemende rekenkracht en innovatie van algoritmen neemt ook de kans toe op aanvallen. We hebben er destijds veel bijeenkomsten over georganiseerd en goed uitgelegd wat we bedoelden. Inmiddels volgt iedereen ons standpunt!"

'De eerste vraag is altijd: is dit een persoonsgegeven?'"Bij zo'n kwestie is de eerste vraag altijd: is dit nog een persoonsgegeven? Zolang dat zo is, gaat het om een inbreuk. Bij wifi-tracking, waar de gemeente Enschede onlangs een boete voor kreeg, geldt hetzelfde. De gemeente zei dat ze de gegevens hashte, maar hashen is niet anonimiseren, dus gaat het om persoonsgegevens. Dat was ook zo bij de Knltb die gegevens van leden verkocht voor direct marketing. Als ik de fiets van mijn buurman wil lenen, vraag ik dat eerst netjes. Dat moet ook gelden voor persoonsgegevens. Als je iemand eerst vraagt 'mag ik je persoonsgegevens gebruiken?' is het prima. Maar doe je dat niet, dan is er sprake van een inbreuk. Die discussie moet scherp zijn."

Als jullie straks de honderd miljoen per jaar krijgen waar jullie om vragen, wat gaat u daar dan mee doen?

"We gaan al onze afdelingen uitbreiden. De afdeling met onze technologen, zodat we nog beter de techniek achter verwerkingen kunnen doorgronden, onze onderzoeksafdeling zodat hij sneller onderzoeken kan afronden, onze klachtenafhandeling zodat er sneller op meldingen kan worden gereageerd. Burgers en bedrijven moeten evenveel voordeel hebben aan die uitbreiding. Daarnaast willen we meer ook goede voorlichting geven. Voorkomen is altijd beter dan genezen."

Toezicht op algoritmes is een belangrijk onderdeel van jullie werk. Een paar grote politieke partijen, waaronder de VVD en D66, willen een aparte toezichthouder voor algoritmes. Zou dat jullie helpen, met het oog op werkdruk?

"Daar kan ik kort over zijn: toezicht op algoritmes behoort bij onze prioriteiten. Als een algoritme persoonsgegevens verwerkt, is daar al een toezichthouder voor, namelijk wij. Daar is geen twijfel over mogelijk."

"Deze discussie speelde vorig jaar al in de Tweede Kamer. Daar werd toen de conclusie getrokken dat deze taak prima bij de AP kan liggen, ondanks de onderbezetting. Er hoeft dus geen nieuwe toezichthouder voor te komen, maar je moet de bestaande toezichthouder wel meer geld geven."

Lees meer

Reacties (96)

Sorteer op:

Weergave:

Ik moest even opzoeken waarvan ik de naam Aleid Wolfsen ook alweer kende.

Maar ja, het internet vergeet niet en dat is in dit geval best ironisch - want de man probeerde destijds publicatie van een artikel over hem tegen te houden wat beschreef hoe op grond van een pensionkostenregeling hij de gemeente liet opdraaien voor de huur van een tijdelijke woning in afwachting van een definitieve.

Ook later was hij in het nieuws - gedoe over declaraties. Meerdere moties van wantrouwen tegen de persoon, etc etc. Eigenlijk ontstaat het beeld dat hij een ordinaire graaier is (was?) en nou niet bepaald capabel of integer.

Het is veelzeggend dat zo'n man via de baantjes-carrousel dan 5 jaar geleden op deze functie werd aangenomen. Het zegt meteen hoe serieus deze club wordt genomen door 'de heren van boven'.
Of over het feit dat meneer Wolfsen vond (als burgemeester van Utrecht) dat vingerafdrukken niets zeggen over persoonsgegevens.

“Vingerafdrukken zeggen in het geheel niets over iemands persoonlijkheid, dús zijn ze niet persoonlijk. Ook heb ik geen bezwaar tegen opslag in een centrale databank. Dat helpt dure fraude en misbruik te voorkomen. Dat geld kan beter gebruikt worden voor sociale voorzieningen.”

Dat artikel was nergens meer te vinden, maar the WayBack machine onthoudt :)

https://web.archive.org/w...SBU_SBU-1-21_101117_1.pdf
Mensen kunnen veranderen he… over het algemeen is men (inclusief Wolfsen) anders tegen privacy gaan kijken in de afgelopen 11 jaar.
Ik denk dat het eerder afhangt van de functie wat de heer Wolfsen ergens van vindt:

Burgermeester die een kloppende begroting moet zien te regelen: Fraude en misbruik moeten worden voorkomen, zelfs als dat betekent dat we vingerafdrukken in een centrale databank gaan opslaan.
Voorzitter van de AP: Dat moet ook gelden voor persoonsgegevens. Als je iemand eerst vraagt 'mag ik je persoonsgegevens gebruiken?' is het prima. Maar doe je dat niet, dan is er sprake van een inbreuk. Die discussie moet scherp zijn."
Ofwel: hij waait met alle winden mee en praat zijn werkgever na ipv wat hij er zelf van vindt, (als hij er al iets van vindt).
Is dat niet wat juist van elke werknemer verwacht wordt? Je krijgt een functie en moet die uitdragen.

Iemand die bij McDonalds werkt moet ook niet aan klanten de Wopper gaan aanbevelen, ook al vind hij die misschien persoonlijk het lekkerst. Een politieagent moet snelheidsboetes opleggen, ook al vindt hij misschien persoonlijk dat er op dat stuk van de weg best iets harder gereden kan worden. Een timmerman bouwt een dakkapel bij iemand volgens de opdracht die hij krijgt, ook wanneer hij dat misschien bij zichzelf anders zou hebben gedaan.
Natuurlijk, wanneer je het totaal oneens bent met alles (of heel veel) van je functie, dan moet je een andere baan zoeken. Maar een baan die 100% overeenkomt met je eigen wensen en mening zal je nooit vinden.

Ook de invalshoek kan je mening veranderen. Soms zie je een interpretatieruimte waardoor je wanneer je in de ene functie iets voor elkaar wilt krijgen ergens een andere interpretatie aan geeft dan wanneer je vanuit een andere functie iets totaal anders voor elkaar moet krijgen. Het maakt ook uit of iets een randvoorwaarde is waarmee je bij je hoofdtaak te maken hebt, of dat het de hoofdtaak zelf is.
Oordeel zelf:
Affaire-Wolfsen niet voorbij

De kwestie rondom het declaratiegedrag van de Utrechtse burgemeester Aleid Wolfsen is nog niet voorbij. Bestuursrechtgeleerde Fred Vink heeft aangifte tegen hem gedaan wegens oplichting, zo meldt HP/De Tijd. Vink is bereid de aangifte in te trekken indien Wolfsen voor 1 augustus 20.160 euro aan pensionkosten terugstort in de gemeentekas én zijn excuses aanbiedt aan professor Twan Tak, die door Wolfsen werd neergezet als ‘juridische quatsch’ verkopende querulant. Woensdag meldde Wolfsen nog op Radio-1 nog dat de affaire achter hem lag. Meer bij HP/De Tijd / AD
Prof. Tak: ‘Ik wil excuses van de media’

Over de rol van de burgemeester kan hij kort zijn: “De heer Wolfsen zit op dit punt fout, dat is heel evident.” Volgens Tak heeft Wolfsen recht op een reiskostenvergoeding, niet op een huisvestingsvergoeding. “Die regeling wordt nu misbruikt door burgemeesters, maar ook door wethouders en Commissarissen van de Koningin. De minister werkt daar keihard aan mee.” Toen hij dit in april aangaf in een artikel in Ons Utrecht, reageerde Wolfsen door alle 132.000 exemplaren van het huis-aan-huisblad te vernietigen en opnieuw te laten drukken zónder het gewraakte artikel. Waarna de Affaire Wolfsen in volle hevigheid losbarstte.

Professor Tak, hoopt u dat het Openbaar Ministerie de aangifte van Vink serieus neemt?
“Ik ben een wetenschapper die twee journalisten te woord heeft gestaan. Ik ben nog steeds verbolgen over de wijze waarop ik daarvoor bedankt ben. Wolfsen heeft me gediskwalificeerd als een querulant die quatsch verkoopt..”

Vink eist dat Wolfsen zijn excuses aan u aanbiedt. Staat u achter die eis?
“Ik heb van tevoren een mail van Vink gekregen waarin hij me op de hoogte stelde. Vond ik heel correct van hem. Maar ik hoef geen excuses van Wolfsen, ik wil liever excuses van de media. Nadat ik als querulant was neergezet heb ik tot drie keer Pauw & Witteman aangeschreven en Clairy Polak ook. Ik heb geen reactie gehad. Ze vinden het spannender om met een hoogwaardigheidsbekleder aan tafel te zitten dan op zoek te gaan naar de waarheid. In mijn tijd was het een eer om op zoek te gaan naar de waarheid. Ik heb hier een zeer bittere smaak aan over gehouden.”
Dat huis aan huisblad vernietigen om de de eigen vuile was binnen te houden is een staaltje machtsmisbruik waarvoor je iemand voor eeuwig uit overheidsfuncties zou willen weren. Onrechtmatig gebruik van publieke middelen is natuurlijk ook een reden voor ontslag in dit soort voorbeeldposities. Alleen in een corrupt netwerk geeft men zulke mensen daarvoor juist promotie. Zie mijn eerdere reactie.

[Reactie gewijzigd door Elefant op 22 juli 2024 15:07]

Dat is natuurlijk grappig genoeg de deels de clue van privacy, dat je achteraf er weinig aan kan doen als je iets online gekomen
veranderen haha een ambtenaar die verandert 8)7
En dit is dus waarom de echte informatie te vinden is in de comments.

Als je inderdaad wat dieper graaft, dan betwijfel ik of je een dergelijk figuur de verantwoordelijkheid wil geven over de AP, en of het daadwerkelijk niet uit kan met het budget wat ze krijgen, of dat er sprake is van mismanagement.

Alleen al zijn lijst met nevenfuncties... Hoe kun je nog effectief betrokken zijn bij een organisatie, als je in tig raden van toezicht zit, en je tijd dus moet spreiden over 6-7 organisaties?

En inderdaad de typische baantjes carrousel: de beste man heeft nooit iets met privacy of data te maken gehad, maar is rechter geweest, daarna tweede kamer lid, daarna burgemeester, en daarna voorzitter AP.

[Reactie gewijzigd door Jeroenneman op 22 juli 2024 15:07]

Inderdaad..
Aan de baantjes carrousel hangt steeds meer de (vis)lucht van incompetentie. Ik heb het er niet zo mee dat er mensen zomaar op deze plekken worden gezet die soms niet meer op hun CV hebben staan dan een 1 of andere vage master/pret studie en een hele lijst met politiek gedreven promoties.

AP doet goede zaken. Het is goed om te weten dat ze "technologen" hebben die goed op de hoogte zijn van privacy etc. Prima dat deze mensen door hun kennis een breder salaris krijgen.

Grootste nadeel bij dit soort semi-overheids instellingen is dat geld eerst verdeeld wordt met vacatures van beleidsmakers en managers met mooie Engelse naampjes dan door de praktijk mensen die het uiteindelijke werk moet doen.
Het salaris van de technologen is het salaris van een inspecteur. Niet slecht en beter dan de meeste ICT'ers in overheidsfuncties. Maar niet genoeg om te concurreren met het bedrijfsleven als je zoekt naar mensen die voornamelijk naar hun salaris kijken. Ik denk ook niet dat je zou moeten willen concurreren op het salaris en je moet ook niet denken dat het ICT'ers zijn met wat privacykennis. Het zijn inspecteurs die ook allerlei bevoegdheden kunnen inzetten en die zorgvuldig onderzoek moeten doen die aan allerlei wettelijke eisen voldoet.

Ik weet niet waar de mooie engelse naampjes vandaan komen. De AP maakt gebruik van het functiegebouw rijk.
Mensen die naar salaris kijken wil je juist niet bij de overheid hebben. Je wil mensen bij de overheid hebben werken die idealistisch het algemeen belang voorop stellen, anders trek je juist dit soort roofdieren aan die van twee walletjes lopen vreten. Ze verdienen vet bij de overheid en gebruiken hun connectie naar het bedrijfsleven om zichzelf nog verder te verrijken.

Wil je geen corrupte overheid dan moet je juist zorgen voor een waterscheiding tussen publieke en private sector. Hoe kan zij anders die hogere waarden aan de private sector opleggen? De overheidssector moet niet gedreven zijn door winstbejag maar hogere Waarden. Die twee zijn natuurlijke tegenkrachten en wil je niet verenigen. Dan maak je de Waarden zelf corrupt. Ons bestuur zit nu vol met dit soort gladderikken, mooipraters "die de rook langs de warmte leiden".

Wat decennia neoliberale kabinetten wederom geschapen heeft is een goed georganiseerde kliek in maatcostuums en mantelpakjes. Wat is de ergste vorm van georganiseerde "misdaad"? Dat is het old-boys-netwerk dat binnen de regels kan bewegen omdat ze de regels naar hun hand zetten en een netwerk vormen waarbij ze elkaar sleutelposities en de bal toe schuiven en zo kunnen vrijwaren van de gevolgen van hun misdadige handelen.

Gezien wat ik hierboven lees, lijkt Aleid Wolfersen de geknipte man voor deze baan
Een betere aanbeveling is er niet.
Het kan natuurlijk ook zijn dat ze in hun kringen niemand konden vinden die beter was
Dan maar Wolfersen. Hij is de beste onder ons.

Laten we elementaire principes begrijpen:
Voor de corrupteling geldt "Er ist für das Geld zu haben".
Zo iemand zal niet gauw een klokkenluider worden.
Hij is zelf chantabel
Waarom laten bendes nieuwe leden eerst iemand vermoorden?
Om ze chantabel te maken
Want boeven baseren niet op vertrouwen.

We zien het aan de hele stoelendans rond Pieter Omzigt.
Die man is eerlijk. Die kunnen ze niet vertrouwen.
Hoe kun je nu vuile plannetjes beramen met Omzigt erbij?
Dat werkt toch niet. Dat snapt toch iedereen?
Die man is een rat, die verraadt jou.
Kijk eens wat een schade hij al aangericht heeft.
Daar zullen ze een les uit leren.
Voortaan laten ze eerlijke mensen niet meer zo hoog komen!


En wat betreft: Serieuze zaken vergen serieuze boetes'
Pas als ze Google en Facebook 50 mrd boete gaan geven, ga ik het serieus nemen.
En dan het geld wel als lastenverlichting aan de burger geven en niet als subsidie aan je vriendjes uitdelen. En bij de volgende overtreding 100mrd. Wel serieus doorpakken. En aub ook de leiders van deze organisaties persoonlijk aanpakken. Pluk ze maar kaal. Juist nu de oligarchen zo gevaarlijk veel macht hebben gekregen, moet de volledige persoonlijke aansprakelijkheid terugkeren.

Het nieuws over Bill Gates is ook onthullend. Bill Gates blijkt tientallen keren met Epstein samengeweest zijn, ook in zijn beroemde bordeel huis, en heeft in zijn privévliegtuig vliegreisjes gemaakt (naar paradijseiland?). Gelukkig kan Bill het allemaal verklaren. Hij ging om met Epstein omdat die hem de Nobelvredesprijs zou bezorgen. Dan weten we ook weer hoe dat geregeld wordt. Dat wordt kennelijk door veroordeelde pedoseksuele roofdieren geregeld, die hun straf alleen s'nachts hoeven uitzitten, zodat ze overdag hun souteneurschap kunnen voort zetten voor hun beroemde clientèle.

[Reactie gewijzigd door Elefant op 22 juli 2024 15:07]

Maar als een expert bij de overheid wordt aangesteld voor een expertsalaris gaan we ook weer lekker kankeren daarop.
De drie bestuursleden verdienen per persoon minimaal schaal 18. Dat is bijna 10.000 euro bruto per maand. Het bestuur zal met onkosten ongeveer een half miljoen euro per jaar kosten.
Op 25 mei 2018 stopte de overgangsperiode die twee jaar eerder in werking trad en kon de toezichthouder gaan handhaven op het overtreden van de privacywet.
Dit vond ik toen ook tenenkrommend, dat al die organisaties deden alsof het uit de lucht kwam vallen. (We moeten ineens zus en zo, en we hebben hier niet de middelen voor, enz)
Het kwam voor een deel ook uit de lucht vallen. De verordening komt dan wel uit 2016, maar ze is zo complex dat er een hoop verduidelijkingen geschreven moesten worden, adviezen van rechtbanken moesten ingewonnen worden en vele pijnpunten werden pas in die laatste dagen verduidelijkt. En als je dan ineens maar enkele dagen krijgt om het juist te doen, dan kom je er niet.
De echte grote veranderingen in die periode waren functioneel minimaal (voor de meeste organisaties). Echt dingetjes in de marge zeg maar. Sommige instanties (vooral scholen en kinderopvangcentra) deden net alsof op dag 1 iets nieuws bedacht is dat een maand later alles klaar moest zijn.
Ze communiceerden ook echt heel raar dat ineens van alles niet meer mocht (dus klassefoto's e.d.), waar ze alleen maar toestemming hoefden te vragen/registreren. Uiteraard moesten ze die processen op orde krijgen voor registratie en verwerking en dergelijke, maar daar hadden ze nou juist twee jaar de tijd voor.

Begrijp me niet verkeerd. Ik zeg niet dat het iets futiels is wat ze moesten regelen (ik snap prima dat ze niet op papieren lijstjes alles bij willen houden, maar dat het in de centrale schoolsystemen zit verwerkt), maar ze gingen wel heel makkelijk in de slachtofferrol hierin.
Dit dus. Ik heb veel organisaties begeleid in de aanloop naar de invoering van de AVG. Wat bleek: het waren puntjes op de i die gedaan moesten worden.
Ok, als je als groot bedrijf, besluit dat deze boetes een soort "onkosten post" is geworden?

Je kunt beargumenteren dat bv bij een 4e boete, niks geleerd is, of afschrikwekkend genoeg.

Bij een 4e boete:

- Eerst, bij elke keer een nieuwe boete => structurele verhoging van die boete.
- 4e boete, => bedrijf heeft niks geleerd => Hoger Management voor minstens 10 jaar de bak in.
- Bedrijf wordt legaal ontbonden door een Rechter
Het is natuurlijk onzinnig om mensen ("Hoger Management") hoofdelijk aansprakelijk te stellen voor een vergrijp als een datalek en/of (bewust) verkeerd omgaan met prive-gegevens. Daarnaast is het al helemaal veel te drastisch om daarna het bedrijf ook te ontbinden - en potentieel duizenden mensen financieel en sociaal potentieel over de rand van de afgrond te duwen.

Een beetje in lijn van, ik ben een pacifist maar iedereen die het daar niet mee eens is wil ik afknallen ?
Sorry hoor, maar je weet niet hoe grote bedrijven werken, beleid wordt door het hoger management uitgezet. Ik zeg niks over afknallen maar grote bedrijven worden nogal eenzijdig benadert

Nogal naïef.

Bv eind jaren 70 in der vorige eeuw wisten bijna alle oliemaatschappijen van "Climate Change" af.

Sommige olie bedrijven hebben actieve ontken campagnes gefinancierd.

Zijn wij bv gewaarschuwd?

[Reactie gewijzigd door obimk1 op 22 juli 2024 15:07]

Je beschrijft het zelf al. Als je teveel boetes krijgt in een bepaalde tijd wordt het effectief vanzelf een misdrijf.

Boetes zijn niet een afkoopmethode om je niet aan te hoeven houden. Het argument ‘de wet overtreden levert meer op dan de boetes kosten’ kan tijdelijk werken, maar niet structureel.

De AP kan boetes uitdelen tot 20mln of 4% van de wereldomzet. Dat zijn fikse boetes. Ook voor grote organisaties.
https://autoriteitpersoon...-boetes-onder-de-avg-6198
De AP kan boetes uitdelen tot 20mln of 4% van de wereldomzet. Dat zijn fikse boetes. Ook voor grote organisaties.
De exacte quote moet zijn: '...Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen...'
Voor een club als Google (jaaromzet +/- $200miljard) kom je dan al snel op $8 miljard. Dan is die 20miljoen gewoon wisselgeld.
Uitleg begint met een goede Q&A. Als je bij het opstellen daarvan er niet uitkomt hoe iets precies in elkaar steekt, schrijf je het verder uit in een boetebesluit.
Dit onderstreept toch wel de zorg dat het misschien niet duidelijk genoeg is wat wel en niet mag. Als juristen er al niet uitkomen en uiteindelijk een boetebesluit nodig hebben om te achterhalen wat wel en niet mag, kun je dan wel van bedrijven verwachten dat ze weten wat wel en niet mag?

Overigens, ik vind dit echt een top interview. Uitstekende vragen en interessante antwoorden.
Als FG heb je het recht lastige kwesties voor te leggen bij de AP, maar dan moet je in praktijk wel je huiswerk gedaan hebben wil je er wat uithalen (dus de tegenstrijdige opinies hebben beschreven). Moet je dat vooraf wel doen natuurlijk. Dan hoef je geen boetebesluit af te wachten.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 15:07]

er is natuurlijk wel een verschil tussen duidelijkheid en duidelijkheid ;-) We weten allemaal waarom we zoiets als avg hebben. Wanneer een vereniging zegt dat ze een 'gerechtvaardigd belang' had bij het doorverkopen van de persoonsgegevens en dat zou 'meerwaarde creëren voor het lidmaatschap'
Dan kan je natuurlijk lang lopen discussiëren over elke punt en komma over wat dan 'gerechtvaardigd belang' wel en niet inhoudt, maar we weten ook dat het gewoon _niet_ strookt met wat we met het avg willen bereiken. Je gegevens worden zonder je expliciete toestemming doorverkocht en verhandeld.

Dat je dan gewoon een goede tik op je vingers krijgt lijkt me duidelijk. en die juristen... ja die vinden dit prachtig want ze verdienen aan dit soort discussies en adviezen. en zeggen dat het allemaal niet zo heel duidelijk is. en dat laatste is een veel gevallen niet zo.
Er is wat verwarring over wat een boetebesluit is.
Het kan de uitleg bij een daadwerkelijke boete zijn, waarom de boete exact is opgelegd.
In dit geval lijkt het me eerder een (ministerieel) besluit met de richtlijnen voor het opleggen van een boete. Een Q&A moet met toegankelijke taal voor een zo groot mogelijke groep zo veel mogelijk duidelijkheid geven. Een boetebesluit moet zo exact mogelijk zijn en het juridische taalgebruik dat daar voor moet zorgen is veel minder toegankelijk voor het grote publiek.
In dit geval lijkt het me eerder een (ministerieel) besluit met de richtlijnen voor het opleggen van een boete
Normaal gezien wel, maar als ik de boetebesluiten van de AP opzoek kom ik alleen uit bij uitleg van de daadwerkelijk gegeven boetes. Bijvoorbeeld deze: https://www.autoriteitper...es/boetebesluit_knltb.pdf

Het zou kunnen dat ik het mis heb. Ze hebben wel ook boetebeleidsregels. Ik heb het idee dat die beleidsregels en de V&A diepgang missen en dat de boetebesluiten daardoor met een hoop extra informatie komen die bedrijven daarvoor nog niet wisten. Dat hoort natuurlijk bij rechtspraak, maar maakt het niet makkelijker.
Ik heb ook even gezocht en je lijkt gelijk te hebben.
Het AP lijkt het bos in gestuurd te zijn zonder vastgestelde richtlijnen over wanneer wat voor soort boete afgegeven moet worden (zoals de Belastingdienst die bv. wel heeft met het Besluit Bestuurlijke Boetes Belastingdienst).
Veel grenzen, categorieën en verlichtende/ verzwarende omstandigheden zullen dus voor de rechter uitgevochten moeten worden.
Soms zeggen we daarbij dat per direct moet worden gestopt met die camera's.
Bedoelen ze niet het opnemen van beelden aangezien het ophangen van camera's niet verboden is maar wel opnemen in sommige gevallen.
Hier ligt ook direct de moeilijkheids graad om consumenten aan te pakken die de wet overtreden, omdat je wel moet weten of zij daadwerkelijk opnemen wat waarschijnlijk zo is.
Ook al hangt iemand een camera op dan staat dit niet gelijk aan dat ze de wet overtreden of inbreuk plegen op iemands privacy.
Iemands huis betreden onder dwang om te controleren of iemand de wet overtreed is een behoorlijke inbreuk op iemands privacy omdat iemand een camera heeft opgehangen(wel ironisch).

Als ze ooit de capaciteit hebben om tegen consumenten op te treden zou ik zeggen begin maar eens bij sites als dumpert.nl waar vaak geuploaded beelden staan die duidelijk niks met veiligheid meer te maken hebben.
Ook al hangt iemand een camera op dan staat dit niet gelijk aan dat ze de wet overtreden of inbreuk plegen op iemands privacy.
Als je met "de wet" de AVG bedoeld (waar dit artikel over gaat), die geld voor overheden, bedrijven en andere organisaties, niet voor consumenten.
Dat is niet waar. De huishoudelijke exceptie waar je op doelt (art. 2(2)(c) AVG) gaat over zuiver persoonlijk en huishoudelijk gebruik. Het online publiceren van persoonsgegevens, bijvoorbeeld op Dumpert is wel een verwerking waarop de AVG van toepassing is.
Nee, de uitzondering gaat niet over gebruik, maar over activiteit. Het plaatsen van persoonsgegevens op Dumpert is een persoonlijke activiteit, dus afaik niet onderhevig aan de AVG (wat niet wil zeggen dat het niet onderhevig is aan andere wetgeving)
Dit laat toch goed zien hoe complex (en onduidelijk) de AVG is, en je afhankelijk bent van de interpretatie van de wet door instanties.
Ik kan me niet zo snel een wet voorstellen waar jurisprudentie en normuitleg door toezichthouders niet relevant is. Maar de logica hier is in het kort: het delen van andermans persoonsgegevens buiten de huishoudelijke kring is niet meer een zuiver persoonlijke (voor jezelf) of huishoudelijke (voor een beperkte groep, vrienden, familie, etc.) activiteit. De inbreuk op de persoonlijke levenssfeer is ook significant groter dan wanneer de persoonsgegevens in die besloten kring blijven.
Om te stellen dat het aan de wet ligt als anderen je aantonen dat je mening niet klopt lijkt me niet zomaar de juiste conclusie. Dan is eerst antwoord op de vraag nodig waarom je uit ging van een ruime opvatting over persoonlijke activiteit. Wetten krijgen voor uitleg daarom ook een memorie van toelichting.
Als je met "de wet" de AVG bedoeld (waar dit artikel over gaat), die geld voor overheden, bedrijven en andere organisaties, niet voor consumenten.
Dat is niet correct. Er is wel een uitzondering voor 'huishoudelijk gebruik', maar de AVG geldt ook voor particulieren. Als jij nu een bulk privédata publiek online gooit dan moet je je echt houden aan de AVG, particulier of niet.
) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit;

De uitzondering is voor huishoudelijk en persoonlijke activiteit, waar in principe elke niet-zakelijke activiteit dus onder valt.. alles wat een consument doet dus.
Jij mag jouw persoonlijke activiteiten online gooien, niet die van anderen.
Dan zou whatsapp en dergelijke niet meer werken en aangezien dat helaas niet zo is mogen mensen dus blijkbaar wel telefoonnummers van derden online zetten.
Beelden opslaan is geen vereiste voor een inbreuk. Als ik een camera richt op de voordeur van de buren is dat waarschijnlijk niet toegestaan, ook al sla ik de beelden niet op.
Een camera ophangen zelf kan nooit een inbreuk zijn van iemand privacy waar je hem ook op richt. Wat wel inbreuk kan zijn is eentje plaatsen en beelden opslaan of in werking staat (live feed). Een dummy camera of 1 die niet werkt kan geen inbreuk zijn aangezien ze niks doen. Kans op dat dit het geval klein maar 1 ophangen is nog steeds niet verboden nog een inbreuk op iemands privacy
De avg gaat over gegevensverwerking, maar persoonlijke levenssfeer in openbare ruinte gaat over meer dan verwerking. Aangezien er bij camera's ook duidelijk informeren hoort en het plaatsen van een camera al voldoende aanleiding kan zijn om te twijfelen of privacy in geding is lijkt het me redelijker om te stellen dat een camera die niets doet ook inbreuk kan zijn. De schijn wekken inbreuk te maken heeft kennelijk ook gevolgen voor hoe vrij mensen zich in de openbare ruimte gedragen, dan is de motivatie van de plaatser en hoe die anderen informeert dus ook relevant.
Dus wat je zegt is dat je naast een dummy camera een bordje moet hangen om te informeren dat de camera fake is? Een dummy camera valt zeker niet onder de AVG en dus ook niet onder de informatieverplichting.
Ik stel dat er verschil is tussen de avg en recht op persoonlijke levenssfeer en een dummy camera dus niet perse legaal is. Daarbij stel ik dat als de wetgever stelt dat er verwachtingen over de betekenis van camera's en informeren is je dus omgekeerd net zo goed kan redeneren dat als iemand opzettelijk gaat doen alsof er wel een echte camera is, bijvoorbeeld door te informeren alsof er cameragebruik of een echte/echt lijkende camera op publieke of andermans ruimte gericht staat, je mag verwachten dat er vanuit de avg controle op kan komen of het via andere wetgeving zelfs als inbreuk kan worden gezien.
Ok, dat is iets genuanceerder. Ik redeneer vanuit Belgisch perspectief en bij ons is er geen enkele wet die je zou verbieden om een dummy camera op te hangen of die je zou verplichten om informatie te geven bij een dummy camera. Zou interessant zijn om te weten welke Nederlandse wetgeving jij in gedachte hebt bij het standpunt dat je toelicht. Als ik puur juridisch naar jouw standpunt kijk, dan vraag ik mij af op welke wettelijke basis men dit dan zou gaan controleren (op basis van de AVG is dit niet mogelijk, want er is geen verwerking van persoonsgegevens, en mocht er vanuit de AP wel controle op komen, dan lijkt mij die boete eenvoudig aan te vechten). Ik vraag mij vooral af hoe je gaat informeren bij een dummy camera, want je gaat dan ofwel moeten informeren dat de camera nep is, of je gaat moeten liegen en doen alsof de camera echt is, en dan verstrek je foute informatie. De enige manier is volgens mij het verbieden van een dummy camera, maar ik weet niet of daar een maatschappelijk draagvlak voor is en in België zou hier toch een wetswijziging voor nodig zijn.
Nee dat is niet toegestaan, maar de strafbaarheid komt niet uit de AVG. Het is stalking 285b Sr.
Hoe zit het nu met de persoonlijke aansprakelijkheid van bijvoorbeeld een ambtenaar die verantwoordelijk is voor het datalek? Krijgt die ook een boete en kan die niet door de werkgever betaald worden?
Daar staat niets over in de wet. Lijkt me ook niet geheel logisch als je iets doet ten bate van je werkgever maar vervolgens persoonlijk gestraft wordt.
nou dat is dus wel degelijk mogelijk in het bedrijfsleven.
In dit geval staat er in ieder geval niets over in de wet.
https://ontslag-krijgen.n...nomen%20een%20boetebeding.

Het kan zijn dat je in een contract een clausule hebt die je wel degelijk aansprakelijk stelt. Ik heb ooit een dergelijk contract gehad bij een grote energieleverancier.
Waarom wil je een ambtenaar automatisch hoofdelijk aansprakelijk stellen? Indien blijkt dat iemand grof nalatig is geweest of een ernstige fout heeft gemaakt dan zijn er manieren om die persoon te bestraffen, maar niet elk lek ontstaat door grove nalatigheid.
Ik benoem een ambtenaar specifiek omdat ik weet dat je bij een onderneming een avg document ondertekent, die je al voor 10.000 euro persoonlijk aansprakelijk kan stellen.

Ik vroeg me af of dit ook bij de overheid geldt en ook dat dat dan net als bij verkeersboetes niet door een werkgever kan worden betaald.

Verder zat er niets achter.
Die 10.000 lijkt me niet zo snel rechtsgeldig, zie o.a. https://www.security.nl/p...et-naleving+van+de+AVG%3F
Een ambtenaar wordt al veel strenger aan vertrouwelijkheid en integriteit gehouden. Wat voor een normale werknemer een stomme fout/ vergissing kan zijn, kan bij een ambtenaar al snel leiden tot disciplinaire maatregelen (inhouding salaris, demotie, strafoverplaatsing, voorwaardelijk ontslag).
Wanneer je per ongeluk een verkeerd mailtje naar iemand stuurt, met gegevens van een ander, kan dat al leiden tot een stevig gesprek met een paar managers en een laatste waarschuwing. Wanneer je laptop uit de kofferbak van een afgesloten auto wordt gestolen (bv. bij het tankstation, onderweg van kantoor naar huis) heb je ook een groot probleem en heb je geluk wanneer je je werkplek en je salarisschaal behoudt. Bij nog slordiger met gegevens omgaan, of voor eigen doeleinden de systemen in duiken (waar woont de weigerachtige ex van je vriendin) mag je blij zijn wanneer je niet ontslagen wordt en voor een lager salaris op een andere afdeling op een ander kantoor mag blijven werken.

(Side-note: een belastingdienstmedewerker die er achter kwam dat de door een belastingadviseur ingevulde belastingaangifte van zijn vrouw niet klopte en dit achteraf heeft gecorrigeerd, volgens de normale kanalen die iedereen daarvoor moet gebruiken, en dit aan zijn leidinggevende heeft gemeld, heeft voor de rechter moeten procederen om zijn baan te mogen houden.)
Wat mij nog interessant lijkt om beantwoord te zien is het gebruik van gerechtvaardigd belang of legimit interest bij cookiebanners. Ik kom zeer regelmatig op websites zo'n banner tegen waarbij je cookies in allerlei soorten per groep kunt toestaan of afwijzen. Om vervolgens overal nog een vinkje met "gerechtvaardigd belang" aan te laten staan. Dat lijkt mij niet correct, maar ik weet uit eigen ervaring dat het wel heel makkelijk is om gewoon een cookie-plugin voor je WordPress website in te stellen die automatisch de cookies scant en indeelt. Wie of wat is dan de partij die hierop aangesproken moet worden?
Gerechtvaardigd belang is een mooi concept dat nu massaal misbruikt wordt om het aantal vinkjes op sommige sites in de honderden te doen lopen.
Volgens de geruchtenmolen rondom dit onderwerp zijn er wel onderzoeken door toezichthouders naar gerechtvaardigd belang in relatie tot cookies. Naar mijn mening zijn dit organisaties die weinig redeneren vanuit het belang van de betrokkenen (mensen die hun website bezoeken). Advertentiebelang staat bovenaan. Daarnaast als je het juridisch bekijkt is een grondslag of en niet kies degene die je het beste uitkomt.. Ik zou zulke instellingen in ieder geval nooit adviseren aan een organisatie.
Veel overtreders zitten in de (semi)rijks organisatie hoek, dus beboeten is als een soort 'sigaar uit eigen doos'.
De burger betaald dan uiteindelijk alsnog de boete.

Breng duidelijkheid aan in het proces, en verbeter de kennis in het bedrijfsleven over de regelgeving.
Daar schort het nog behoorlijk aan, bij sommige bedrijven is er nog niks gedaan aan implementatie of zelfs controle waar data staat.....
Al die (semi-)rijksorganisaties hebben allemaal hun eigen budget, waar ze al hun kosten, en dus ook boetes uit moeten betalen. Wanneer een boete niet was voorzien bij het vaststellen van het budget, moet er dus op andere zaken bezuinigd worden. Vaak zal dat betekenen dat een reeds lang hoognodige vernieuwing nog langer uitgesteld wordt of dat er een loket minder beschikbaar is. De burger zal dat merken aan een (nog) mindere dienstverlening.
De leiding van de organisatie zal zeker niet achterover kunnen leunen met de gedachte dat het niet zoveel uitmaakt omdat het vestzak-broekzak is. Het gaat uit zijn budget, waardoor hij nog minder aan noodzakelijke dingen kan besteden.

Overheidsorganisaties overtreden de AVG ook meestal niet uit de arrogantie dat hun belangrijke taken niet geraakt worden door de AVG. Maar doordat ze door jarenlange bezuinigingen en reorganisaties het zicht zijn verloren op wat er precies met gegevens gebeurt en de middelen niet hebben om 'praktische oplossingen' deugdelijk aan te pakken.
Sorry, maar dat is geen echt excuus imho.

De regelgeving draait al een paar jaar, en een Data Protection Officer zou op z'n minst toch aanwezig moeten zijn binnen een organisatie als deze?
Zo niet, dan voldoen ze sowieso niet aan de regels. En qua budget is dit toch hopelijk ingecalculeerd.....

Zoals je het nu stelt is het eigenlijk overal een zooitje, en moet ik mij als burger toch behoorlijke zorgen gaan maken wat er allemaal met mijn data gebeurt.

Als je vanuit de EU regels krijgt opgelegd die extra personeel met zich meebrengen, dan zou je toch op zijn minst verwachten dat het Rijk hierin compenseert. Maar misschien zie ik het wel te zwart-wit.
De DPO is er ook wel. De dataveiligheid is ook best in orde.
Waar het aan schort is de beschrijving van alle processen waar gegevens verwerkt worden. En een goede beschrijving van het nut en noodzaak van de verwerking van alle soorten persoonsgegevens. Ook dat is voor de hoofdprocessen allemaal in orde. Maar de meeste overheidsorganisaties hangen met soms wel honderden systemen houtje-touwtje aan elkaar, omdat er nooit budget is vrijgemaakt om dat in een paar robuuste systemen te integreren. Al die systemen, processen en koppelingen moeten geïnventariseerd, geanalyseerd, beoordeeld en beschreven worden. Om dat goed te doen is enorm veel tijd aan mankracht nodig.
Veel organisaties hebben kleine processen die voor maar enkele tientallen tot honderden van de miljoenen burgers van toepassing zijn. Dat heeft altijd voldoende naar behoren gewerkt met een handmatig gegevens overtanken in een access-toepassing (of, oh horror, naar een Excel-toepassing!). Daar liggen de DPO's 's nachts van wakker, omdat dat AVG-technisch niet tot nauwelijks in orde gemaakt kan worden, terwijl er geen budget is voor een AVG-proof toepassing, omdat het proces te marginaal is.
Om te voldoen aan de AVG is dat een nachtmerrie, maar qua dataveiligheid niet meer of minder veilig dan dat honderdduizenden medewerkers bij overheidsorganisaties nu al voor hun werkzaamheden bij veel persoonsgegevens van de meeste Nederlandse burgers moeten kunnen.
Opvallend dat er wordt gesproken over “Een ander voorbeeld is dat we bezig zijn met een bedrijf waarbij de FG niet de juiste positie had omdat deze functionaris buiten de organisatie stond.". Juist een van de trends die je de afgelopen jaren ziet toenemen is dat er externe FG’s aangesteld worden via verschillende privacy of advocaten bureaus. Ben benieuwd wat hier specifiek bedoeld wordt door Aleid.

De beweging is deels ingegeven vanwege juist het commentaar op het combineren van een interne rol met die van FG en de mogelijkheid vanuit de AVG om een externe aan te stellen. Misschien een stuk afstand tot het bedrijf of frequentie van interactie/kennis van organisatie?

Ook intern is het complex om de juiste onafhankelijkheid te borgen. In de afgelopen jaren is vaker de combirol van CISO + FG(DPO)langsgekomen (in relatie tot wetgeving - Filippijnen en GDPR, Frankrijk, Duitsland ). Zelfs bij gemeentes wordt het afgeraden

[Reactie gewijzigd door sheane op 22 juli 2024 15:07]

Er zal niet bedoeld worden of de FG intern of extern is. Meer hoe de functie in de besluitvormings- en bedrijfsprocessen is ingebed.
Doet de FG mee met de besluitvorming en is deze (direct of indirect) vanuit alle lagen te benaderen? Of moet de FG afwachten totdat een plan klaar is om dan vervolgens ja of nee te zeggen (met grote consequenties als het plan helemaal op het eind nog wordt afgeschoten).
Het feit was wel dat onder andere mijn werkgever een boetebeding ging rondsturen met daarop boetes van 5000 euro bij elke overtreding, en of je daar eventjes voor wilt tekenen...
In principe willen ze het op de werknemer afschuiven.
De AP heeft gelukkig al een paar flinke stappen gezet in de goede richting. De huidige boetes zijn echter weliswaar vervelend, maar nog niet echt hoog. Bovendien komen die boetes uiteindelijk voor rekening van klanten en investeerders of van de belastingbetaler (bij overheidsorganisaties). In het ergste geval stapt een bestuurder aan een gouden parachute uit om een tijdje later vrolijk ergens anders te landen.

Wat m.i. ontbreekt in het stelsel is de mogelijkheid om de verantwoordelijke bestuurders persoonlijk strafrechtelijk te vervolgen bij opzet of grove nalatigheid zoals dat o.a. het geval is bij milieudelicten. Toen in 2002 de Sarbanes-Oxley Act door het Amerikaanse congres werd aangenomen, vond ik die erg ver gaan. Sox sucks heette het toen bij ons op de zaak. Daar denk ik nu anders over.
Dit is nog relatief nieuwe wetgeving.
Wanneer blijkt dat voor sommige bedrijven het betalen van boetes een manier is om duurdere of vervelende naleving af te kopen, dan kunnen zwaardere sancties, zoals bestuurdersaansprakelijkheid ed. worden toegevoegd.
Het is sowieso niet gunstig als bedrijf om veel van dergelijke boetes te krijgen. De boetes zijn openbaar. Wanneer je als klant ziet dat een bedrijf keer op keer laat zien het niet zo nauw te nemen met privacy e/ of gegevensbescherming, zal je je misschien nog een keer bedenken voordat je met dat bedrijf in zee gaat.

Op dit item kan niet meer gereageerd worden.