We staan deze week bij Data&Privacyweb stil bij vijf jaar AVG. Een mooie aanleiding voor een dubbelinterview met twee experts die de implementatie van deze ingrijpende privacy-verordening van dichtbij meemaakten. Een gesprek met privacy-expert Menno Weij en IT-ondernemer en datadeskundige Hans Mulder over de ontwikkelingen rond de AVG, de opkomst van ChatGPT en de positie van de Autoriteit Persoonsgegevens (AP). “Het voelt alsof de privacywaakhond soms met twee maten meet”.
“Leuk dat we een feestje vieren ter gelegenheid van vijf jaar AVG, maar strikt genomen klopt dat natuurlijk niet,” lacht Menno Weij aan het begin van dit dubbelinterview. Een nuance is op zijn plek: de inwerkingtreding van de Europese privacyverordening vond al zeven jaar geleden plaats. Waar we deze week bij stilstaan is het begin van de AVG-compliance: dat bedrijven, organisaties en instellingen moeten voldoen aan de privacynormen.
Menno Weij en Hans Mulder kennen elkaar al een hele poos. Ze spreken elkaar geregeld en zitten soms in elkaars vaarwater. Zo schuiven ze beiden aan in radioshows van BNR. Maar hun invalshoek, zo zal ook blijken tijdens het gesprek, is nèt even anders. Weij behoeft voor de lezers van Data&Privacyweb nauwelijks introductie: hij is een veelgevraagde privacy-expert van accountancykantoor BDO en schrijft diverse blogs en artikelen, ook voor Data&Privacyweb.
Mulder zit, als IT-deskundige, meer aan de ondernemerskant. Zo richtte hij ruim dertig jaar geleden zijn eigen bedrijf op, ViaGroep, houdt hij zich bezig met onder meer digitale transformaties en is hij mediator bij conflicten tussen organisaties. En dat is nog niet alles: hij is ook professor aan de Antwerp Management School, voorzitter van de Raad van Advies van Duo, lid IT-committee SVB en docent aan de Politie Academie.
Maar vandaag gaat het vooral over de AVG. En waar staat dan de Autoriteit Persoonsgegevens, die in het hele AVG-verhaal als waakhond een cruciale rol speelt? Vooral Weij haalt in het gesprek soms stevig uit naar de privacywaakhond. ‘Die mag nog wel wat aan gezag winnen. Het weifelende optreden van voorzitter Aleid Wolfsen en zijn geklaag over gebrekkige middelen is soms tergend.”
Steen des aanstoots voor Weij is het verhaal dat NRC Handelsblad dit weekend optekende over de Belastingdienst (1). Die heeft minstens vijf jaar de kans gehad zich te houden aan de AVG, maar blijkt dat onvoldoende te doen. In 2019 werd gemeld dat de fiscus aan de privacynormen voldeed, maar eind 2021 bleek, na alle schandalen rond de Toeslagenaffaire, dat er een te rooskleurig beeld was geschetst. Voldoen aan de AVG zou zeker tot eind 2023 duren, liet toenmalig staatssecretaris Vijlbrief weten. Maar twee maanden geleden werd die compliance-verplichting nog eens met vier jaar opgerekt. De Autoriteit Persoonsgegevens legde in de tussentijd miljoenenboetes op, maar die boden nog weinig soelaas. Het wettelijk verplichte Verwerkingsregister is al minstens anderhalf jaar niet bijgewerkt, aldus de krant.
Al met al wordt een ontluisterend beeld geschetst, zegt Weij. “De Autoriteit Persoonsgegevens moet hier veel strakker op zitten. Waarom krijgt de Belastingdienst zeeën van tijd om aan de AVG te voldoen, terwijl een groot techbedrijf als Meta een megaboete (van de Europese privacytoezichthouders, TR) krijgt opgelegd en dan maar zes maanden de tijd heeft om alles op orde te brengen? Het is voor zo’n bedrijf heel heftig om dat voor mekaar te boksen, zeker omdat het hier slechts om een klein onderdeel gaat, namelijk de datadoorgifte naar Amerika. Het voelt toch een beetje als meten met twee maten”
Mulder is het met hem eens. Onbegrijpelijk, zegt hij: zolang respijt geven aan de Belastingdienst en tegelijkertijd een Big Tech-bedrijf meteen de duimschroeven aandraaien. Maar het is volgens hem ook niet zo eenvoudig. Het heeft volgens hem ook te maken met de cultuur binnen een organisatie als de Belastingdienst. Jarenlange problemen hebben geleid tot “vermoeidheid en cynisme,” concludeert NRC. Daardoor is de bereidheid om anders, lees: privacyvriendelijker, te werken, gering. In het artikel valt bijvoorbeeld te lezen hoe medewerkers USB-sticks mee naar huis nemen met een zeer privacygevoelige informatie van burgers. Mulder: “Dit gaat verder dan alleen de juridische kant. Begrijpen mensen binnen de organisatie waarom privacy belangrijk is? En waarom ze daar iets aan moeten doen? Dat bewustzijn is nog best een lastige. En vooral: iets voor de lange termijn”.
Privacybewustzijn is een belangrijk onderdeel, erkent ook Weij. “Het is een positief effect van de AVG dat dit de laatste jaren meer op de agenda staat. Maar het is nog onvoldoende: het moet simpelweg in het DNA van je bedrijf zitten. Privacy is niet alleen ticking the box, een kwestie van afvinken dus.”
Mulder wil daar graag op inhaken. “Straffen alleen is niet voldoende. Je zal ook echt aan de voorkant moeten meedenken hoe je privacyschendingen kan voorkomen.” Dat wordt ook wel privacy by design genoemd. Hij ziet daar een rol weggelegd voor de toezichthouder. ‘Die moet meedenken over je dit bewustzijn in het wezen van organisaties krijgt. Dat het deel gaat uitmaken van de kernwaarden.” Het gaat volgens Mulder ook over eigenaarschap van data. “Van wie zijn die data nou eigenlijk? De Belastingdienst denkt: die zijn van ons. Maar zo simpel is dat natuurlijk niet.” Trouwens, voegt hij er desgevraagd aan toe: iets meer kennis over techniek en de achterkant van data-systemen en algoritmes binnen organisaties, en dan vooral de niet-IT-medewerkers, mag best.
Terug naar de Autoriteit Persoonsgegevens en de AVG. Weij blijft kritisch, hoewel er heus ook wel dingen goed gaan en er verbetering zichtbaar is. Maar neem nou de hele kwestie rond de grondslagen voor gegevensverwerking en het gerechtvaardigd belang, en dan met name in de geruchtmakende VoetbalTV-zaak “Daar is de AP echt op z’n plaat gegaan. Ze zeiden: een zuiver commercieel belang kan nooit een gerechtvaardigd belang zijn. Terwijl het zo bijna letterlijk in de AVG staat! Niet voor niets zijn ze ook de rechter teruggefloten. Maar ja, feit is wel dat VoetbalTV nu failliet is door het onrechtmatige boetebesluit van de AP.”
Het is heel belangrijk dat we ons bewust zijn van het belang van privacy, aldus Weij, maar het kan niet zo zijn dat een toezichthouder er een te eigenzinnige interpretatie op nahoudt, die, naar later blijkt, nergens op slaat. “Dat is toch niet goed? Ik zou zeggen: kom eens uit je theoretisch kader en probeer je iets meer in te leven in de praktische toepasbaarheid in de maatschappij.”
Je moet je telkens afvragen wat wel en niet werkt, zegt Mulder. “Die boetebesluiten trekken wel de aandacht. Bij ons op de universiteit binnen het vakgebied IT-management heeft iedereen het over de GDPR (de Europese verordening waar de AVG uit voortgekomen is, TR). De AP zou niet alleen juridisch moeten kijken, maar ook breder maatschappelijk. Hoe richt je je datamanagement in? En wat zijn de gevolgen als mijn data onverhoopt op straat komen te liggen? Dat soort vragen zijn ook belangrijk?”
En dan is er ook nog de opmars van Artificial Intelligence (AI), met alle reguleringsuitdagingen van dien. Want hoewel Mulder veel kansen ziet, wordt in privacyland toch ook met zorg gekeken naar de opkomst van tools als ChatGPT. De regulering van AI roept de nodige vragen op. Is de Autoriteit Persoonsgegevens bijvoorbeeld de ideale partij om als algoritmetoezichthouder op te treden?
Feit is dat die taak door de toezichthouder is opgepakt, zegt Weij. Maar ze erkennen daar ook ogenblikkelijk dat het precieze juridische raamwerk nog ontbreekt. “In de EU AI Act die nu in de maak is, moet nog worden bedacht wat voor waakhond er op nationaal niveau moet komen en wie zich daar dan voor leent. Op zich is het helemaal niet zo gek dat de AP dat oppakt. Versnippering van toezichtstaken dreigt in Nederland, en dat moet je toch echt zien te voorkomen.”
Dat betekent volgens hem dan wel dat er meer geld naartoe moet, om die nieuwe toezichthoudende taak uit te kunnen voeren. “Extra middelen zijn in dat geval keihard nodig. Zeker als je, zoals de AP, miljardenbedrijven als Meta en Google tegenover je hebt staan, bedrijven die wijze van spreken zo de Zuidas zouden kunnen afhuren.” En het wordt, zo zegt Weij, spannend om te zien hoe de AVG en de EU AI Act zich tot elkaar gaan verhouden. De kans bestaat die elkaar in de weg zullen lopen.
Wat is dan al met al de conclusie na vijf jaar AVG? Volgens Mulder is er alle reden voor een klein feestje met een passend verjaardagslied. Lang zal de AVG leven, zoiets. Maar dan wil Weij nog wel van Mulder weten hoe we het feestje de komende vijf jaar nog wat groter kunnen maken. Mulder besluit: “Geef mensen de handvatten. Laat zien wat er allemaal wel kan en maak ruimte voor de goede dingen.”
https://www.nrc.nl/nieuws/2023/05/19/zo-werd-de-belastingdienst-een-veelpleger-in-het-misbruik-van-persoonsgegevens-a4165047
KENNISBANK
