In mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking. Een jaar na dato lijkt het besef dat de nieuwe privacywetgeving voor iedereen geldt nog niet overal geland. Werk aan de winkel voor de Autoriteit Persoonsgegevens (AP). We spraken Aleid Wolfsen over de ambities voor 2019.
Auteurs: Léonhard Weijmar Schultz, Judith Nuijens
Ja en nee. Voor zover wij nu zouden willen, zijn wij op volle kracht. Maar als je eerlijk en nuchter kijkt naar de hoeveelheid werk die binnenkomt, dan zouden we op dit moment al bijna honderd mensen meer moeten hebben dan nu het geval is. Dat is niet mogelijk. We groeien wel, maar dat moet zorgvuldig en in balans met wat we kunnen absorberen. Mensen moeten ingewerkt worden. Eerlijk en nuchter: dat leidt wel tot achterstanden in ons werk.
Het speelt bij alle Europese privacywaakhonden, in alle Europese landen. Zij zitten in dezelfde fase als wij. Als vijfde of zesde economie binnen Europa heeft Nederland met de AP een relatief grote toezichthouder ten opzichte van de meeste andere landen. Daarnaast zie je dat Nederlanders binnen Europa het meest zijn aangesloten op internet. Als het gaat om het verrichten van digitale transacties onder de vijftig euro staat Nederland bijvoorbeeld op de eerste plek in Europa. We zijn enorm gedigitaliseerd. De voorzieningen zijn hier heel goed, wat fijn is voor de economie, maar dan moet je ook een sterke waakhond hebben die daar goed toezicht op kan houden. Je ziet dat in Europa alle waakhonden ongeveer in dezelfde fase zitten.
Ik ben best tevreden, want ondanks dat we meer klachten binnenkregen dan gepland, meer wetgevingsadviezen gaven dan gedacht, meer datalekken werden gemeld dan verwacht en het internationale werk ook meer bleek dan gepland, is het ons redelijk gelukt om de winkeldeuren open te houden. We hebben de eerste serieuze boete uitgedeeld aan Uber, een hele serie aan dwangsommen opgelegd en we hebben de eerste onderzoeken in de pijplijn zitten die tot serieuze handhaving gaan leiden. Over de hele linie zijn we aan het leveren, alleen wil je eigenlijk meer doen. Maar naar omstandigheden ben ik tevreden.
Ja. Ook het aantal telefoontjes dat we ontvangen is meer dan we verwachtten. Dat vind ik wel een goed teken, de bewustwording buiten is best groot.
Wij kwalificeren elke potentiële schending van de AVG als klacht, later constateren we of sprake is van een schending of niet. Heel veel klachten gaan over basale zaken zoals dat mensen niet bij hun data kunnen komen of dat ze geen inzage krijgen in de opgeslagen data. Als ze wel toegang krijgen worden allerlei drempels opgeworpen, zoals het moeten aanleveren van een kopie van je identiteitskaart. En veel belletjes gaan over grip op data: “Ik ben opeens gebeld, mensen weten iets van mij en dat terwijl ik dat nooit heb gedeeld. Hoe komen zij daar in vredesnaam aan?” Bepaalde klachten kunnen we clusteren. We krijgen ook heftige klachten, over mensen die onterecht toegang tot medische gegevens hebben gehad, een bank die onterecht iets heeft doorgespeeld, werkgevers die onzorgvuldig met de data van hun werknemers zijn omgegaan en mensen die onterecht worden gefilmd op hun werk.
We krijgen daarnaast best veel klachten over MKB'ers, bijvoorbeeld over direct marketing. Dan nemen we contact met ze op, leggen we uit hoe de wet in elkaar zit en dat ze zich daaraan moeten houden. We kunnen een groot deel van de klachten afdoen met zo’n snelle interventie.1 Een belletje en het schrijven van een brief met uitleg over wat je dan wel moet doen.
Wat mensen vaak vergeten is dat we ook veel klachten binnenkrijgen over bedrijven in het buitenland. Data waar in een ander Europese land onzorgvuldig mee om is gegaan. Als het om een grensoverschrijdende verwerking gaat is in beginsel het land waar de hoofdvestiging van het bedrijf zich bevindt verantwoordelijk voor de behandeling van de klacht. Dan zie je dat Nederland relatief veel hoofdvestigingen heeft; nog een reden waarom we groter moeten zijn dan de meeste andere privacywaakhonden.
Dit artikel is ook te vinden in het dossier AVG
