Deze week is het alweer drie jaar geleden dat de Algemene verordening gegevensbescherming (“AVG”) in werking trad. Een goed moment dus om de huidige stand van zaken op te maken en specifiek stil te staan bij een aantal hete hangijzers die de gemoederen sindsdien nog steeds bezig houden.
Eén hiervan is de zogenaamde “datahonger” van de Nederlandse overheid. Die blijft maar toenemen, mede aangewakkerd door de huidige Covid-19 pandemie. Denk bijvoorbeeld aan het tracken van personen in de openbare ruimte (via Wifi of Bluetooth), gebruik van biometrie om identiteits- en documentfraude tegen te gaan en het gebruik van algoritmes om bepaalde misstanden te detecteren.
Een ander voorbeeld werd vorige week door Onderzoeksgroep Cybersafety van de Thorbecke Academie van NHL Stenden Hogeschool aan de kaak gesteld. (1) Nederlandse gemeenten blijken gebruik te maken van online bronnen om burgers te monitoren. Door Facebook-groepen, Twitter-profielen en andere sociale media in de gaten houden, wilden zij zicht krijgen op mogelijke ongeregeldheden, zoals rellen en demonstraties en uitkeringsfraude door burgers. Daarvoor werden zelfs nepaccounts gebruikt. (2) Uit het door de onderzoeksgroep opgestelde rapport kwam naar voren dat gemeenten nog steeds niet goed weten wat wel en niet mag bij het online monitoren van burgers. Dit terwijl de Autoriteit Persoonsgegevens (“AP”) al sinds 27 november 2019 duidelijk heeft aangegeven dat bij (heimelijke) monitoring en fraudebestrijding de uitvoering van een Data Protection Impact Assessment (“DPIA”) – op basis waarvan potentiële privacyrisico’s en noodzakelijke mitigerende maatregelen kunnen worden vastgesteld – verplicht is. (3)
Ook de perikelen rondom het ontwikkelen van de CoronaMelder app, waarbij de overheid door verschillende hoepels heeft moeten springen om deze aan te laten sluiten op de regels uit de AVG (4), toont aan dat de overheid worstelt met het invoeren van oplossingen die bijdragen aan het algemeen belang, zoals bescherming van de publieke veiligheid enerzijds en het zoveel mogelijk beperken van de inbreuk op de privacyrechten van burgers anderzijds.
Ook de AP’s beperking in budget en mankracht blijft een heikel punt. Waar de AP in 2018 nog de nadruk legde op voorlichting over de nieuwe AVG werd het zwaartepunt in 2019 al snel verschoven naar handhaving. (5) Hoewel de AP in de afgelopen jaren in totaal elf boetes oplegde, waarvan zes (!) in 2021, lijken de meest wezenlijke privacy-overtredingen niet te worden aangepakt. Denk bijvoorbeeld aan onrechtmatige doorgifte van persoonsgegevens naar organisaties buiten de Europese Economische Ruimte, zoals in de Verenigde Staten, als gevolg van het Schrems II arrest van het Hof van Justitie (EU). (6) Opvallend is daarbij dat veel van de handhavingsacties van de AP plaatsvinden in de sleutel van een (niet of niet tijdig) gemeld datalek. Ondanks dat de AP ondertussen goed in haar rol van handhaver lijkt te zijn gekropen, kan ik mij niet aan de indruk onttrekken dat deze handhavingsacties tot nu toe voornamelijk zien op laaghangend fruit.
Door gebrek aan budget en personeel is de AP beperkt in haar handhaving. Begin 2021 heeft de Tweede Kamer zich bij het demissionaire kabinet uitgesproken over de noodzaak om meer capaciteit voor de AP te creëren. (7) Doel hiervan is niet alleen om de pakkans van overtreders te vergroten, maar ook om meer ruimte te bieden aan de AP voor het geven van voorlichting. Op dit moment zijn veel organisaties zich nog niet (voldoende) bewust van het feit dat de bewuste handeling een wetsovertreding is. Dit blijkt wel uit de hiervoor genoemde monitoringsacties van gemeenten. Op 19 mei 2021 is in dit kader een position paper door de AP naar de informateur van het nieuwe kabinet gestuurd, met als doel om in de Voorjaarsnota 2021 een voorstel te laten opnemen voor verhoging van het begrote budget van de AP. De AP heeft hierbij aangegeven dat zij een budget van EUR 100 miljoen nodig acht (een verdrievoudiging van het huidige budget voor 2021 van EUR 24,6 miljoen). Dit zou aansluiten op de budgettering die momenteel ook wordt vrijgemaakt voor andere toezichthouders, zoals de AFM en De Nederlandsche Bank.
Het bovenstaande laat zien dat toepassing en handhaving van de AVG sinds de inwerkingtreding op 25 mei 2018 in de praktijk nog steeds niet zonder slag of staat gaat. Ik verwacht dat dit de aankomende jaren niet anders zal zijn en er – eveneens vanuit andere hoeken – nieuwe spanningen zullen blijven ontstaan tussen enerzijds het recht op bescherming van de privacy en persoonsgegevens van personen en anderzijds de wens om (technische) oplossingen te implementeren. Hopelijk is tegen die tijd het budget en de capaciteit van de AP wél significant verhoogd, zodat door meer voorlichting deze spanningen zo veel mogelijk op voorhand kunnen worden voorkomen, dan wel dat hierop beter kan en zal worden gehandhaafd.
(2) https://www.nrc.nl/nieuws/2021/05/16/ambtenaren-willen-meer-dan-mag-a4043770
(3) Autoriteit Persoonsgegevens, Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, 27 november 2019.
(4) AP, Onderzoeksrapportage bron- en contactopsporingsapps, 20 april 2020.
(5) https://autoriteitpersoonsgegevens.nl/nl/nieuws/jaarverslag-ap-2019-meer-focus-op-handhaving
(6) Hof van Justitie (EU), 16 juli 2020, C-311/18 (Schrems II).
