Home Drie jaar AVG: drie jaar toezichthouden
Drie jaar AVG: drie jaar toezichthouden
Nico Mookhoek , DPO / Oprichter
Op 25 mei 2021 is de Algemene Verordening Gegevensbescherming (AVG) drie jaar van kracht. Drie jaar AVG betekent ook drie jaar toezichthouden door de Autoriteit Persoonsgegevens (AP).
De AP is de zwaarder opgetuigde opvolger van het College Bescherming Persoonsgegevens. De AP kreeg, net als de andere Europese toezichthouders, op basis van de AVG de bevoegdheid om hogere boetes uit te delen. De maximale boete bedraagt maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.
Met name dit aspect kreeg tijdens de invoering veel aandacht. Het risico voor een doorsnee organisatie op een boete is echter statistisch bekeken klein. Wat nog geen reden is om de AVG te implementeren.. Nico Mookhoek, oprichter van De PrivacyGuru, neemt ons mee langs 3 jaar AVG en het optreden en handhaven door de privacy toezichthouder.
Boetes
Werden er dan helemaal geen boetes uitgedeeld? Ja, zeker wel en vrij forse boetes ook. Koploper is de boete voor het Bureau Krediet Registratie (BKR) van 830.000 EURO voor het berekenen van kosten voor een inzageverzoek (juli 2020). Een bedrijf dat vingerafdrukken van haar personeel vast liet leggen voor de toegangscontrole kon 725.00 EURO boete aftikken (april 2020).
Hekkensluiter van de top 3 is Uber die al kort na de invoering van de AVG in november 2018 een boete opgelegd kreeg van 600.00 EURO voor het niet melden van een datalek. Afgelopen maart kreeg Booking.com een boete van 475.000 EURO opgelegd voor hetzelfde feit. Waarom de AP verschillende boetes oplegt voor dezelfde feiten wordt uit de toelichtingen op het boetebesluit niet duidelijk.
De boete van 460.000 EURO die het Haga Ziekenhuis in juli 2019 kreeg opgelegd voor het onvoldoende beveiligen van persoonsgegevens, werd afgelopen april overigens door de Rechtbank gematigd tot 350.000 EURO. De rechtbank vindt de boete onevenredig hoog. Met name de twee verhogingen van 75.000 EURO bovenop de basisboete van 310.000 EURO vindt de Rechtbank te veel van het goede. Zij matigt deze tot 40.000 EURO. Helaas onderbouwt zij in haar vonnis niet hoe zij tot dit bedrag gekomen is. Ook het OLVG kreeg een boete voor slecht beveiligde patentendossiers opgelegd: 440.00 EURO.
Op de site van AP zijn al deze boetes, en ook de andere opgelegde sancties terug te lezen. Het boetebeleid is daarbij gebaseerd op de beleidsregels zoals die in 2019 zijn vastgesteld. Een onderbouwing van de boete gebaseerd op deze beleidsregels is te vinden in het besluit over de betreffende boete.
Toegenomen privacy bewustzijn en capaciteitstekort
Het risico een boetes opgelegd te krijgen, is wellicht geen reden om te voldoen aan de AVG, het toegenomen privacy bewustzijn bij burgers is een reden te meer.
Uit een onderzoek van de AP begin 2020 blijkt dat 94% zich zorgen maakt over de bescherming van haar/ zijn persoonsgegevens, 32% maakt zich zelfs ernstige zorgen.
De door de AP opgelegde boetes zullen daar zeker aan bijgedragen hebben. Maar ook de zichtbaarheid van de AP als de privacy in het geding is zoals bijvoorbeeld bij de corona app melder, helpt hierbij.
Dat toegenomen privacy bewustzijn bij burgers vertaalt zich ook in het aantal klachten dat de AP ontving. In 2019 groeide dit explosief naar 27.850 klachten. In 2020 bleef het met 25.590 klachten vrijwel op hetzelfde hoge niveau.
De toename betekende een forse vertraging van de afhandeling van klachten door de AP. In maart 2021 luidde de voorzitter van de AP hierover de noodklok. Gemiddeld duurt het volgens hem 6 maanden eer de AP kan beginnen met de behandeling van een klacht. Die signalen van de Voorzitter klinken al langer. In een interview met Trouw in november 2020 geeft hij al aan dat er achterstanden zijn en dat uitbreiding van de capaciteit van 182 FTE noodzakelijk is.
Naar aanleiding van deze signalen liet de Minister van Rechtsbescherming, Sander Dekker, KPMG een onderzoek doen. Uit het onderzoek dat in November 2020 verschijnt, blijkt dat de kosten van de AP ten opzichte van andere toezichthouders (ACM,AFM,AT en NVWA) over het algemeen lager zijn. Europees gezien mag de AP volgens het KPMG-rapport niet klagen. Vergeleken met de 31 European Data Protection Board-leden heeft de AP een relatief hoog budget en kent ze een relatief sterke groei in budget en personeel. Tegelijkertijd heeft de AP te maken met relatief meer klachten en meer meldingen van datalekken.
Het rapport signaleert ook dat er werk aan winkel is op het gebied van automatisering en organisatieontwikkeling. “AP is een organisatie in opbouw. Een aantal functies is nog niet ingevuld, de automatiseringsgraad is laag en bedrijfsvoering staat nog in de kinderschoenen”.
Nadat Minister Dekker probeerde de beslissing naar een volgend kabinet te tillen, stemde de Tweede Kamer toch in met een motie om de AP uit te breiden. Vanaf 2022 gaat de AP van 184 medewerkers naar 470 voltijdsmedewerkers.
Gevoelige tikken op de vingers van de AP
Naast het gesteggel om uitbreiding kreeg de AP in de eerste drie jaar van haar bestaan ook een paar gevoelige tikken op de vingers.
Het meest in het oog springend was die van de Rechtbank Midden-Nederland in de zaak over VoetbalTV. De AP werd hier teruggefloten op haar stelling dat een commercieel belang nooit een gerechtvaardigd belang kan zijn. Een commercieel belang staat niet a-priorie het gebruik van de grondslag Gerechtvaardigd belang in de weg, zo oordeelde de Rechtbank. Een stelling overigens die conformeert aan de opinie van verschillende andere Europese toezichthouders. Het viel daarom des te meer op dat de AP zo in haar mening volhardde.
Ook de Nationale Ombudsman corrigeert in maart 2020 de AP. Het ging om een zaak waarbij een burger klacht indient over het gebruik van een cookiewall bij Buienradar. De AP beschouwt de klacht als een melding die wordt meegenomen in een onderzoek naar het gebruik van cookiewalls door RTL (eigenaar van Buienradar). Na een klacht bij de Nationale Ombudsman komt deze tot de conclusie dat de burger beoogt heeft een handhavingsverzoek in te dienen. Hij concludeert dat niet aan de behoorlijkheidsvereisten is voldaan. De AP had beter moeten doorvragen naar het doel van de klacht en wat de burger hiermee wilde bereiken. Door dit niet of onvoldoende te doen is sprake van schending van het behoorlijkheidsvereiste ‘luisteren naar de burger’. Inmiddels heeft de AP haar klachtenformulier naar aanleiding hiervan aangepast.
De consumentenbond start een rechtszaak tegen de AP omdat deze nog steeds geen besluit heeft genomen over de klacht tegen Google die zij in 2018 de AP indiende. De klacht gaat over het Android besturingssysteem waarbij cruciale informatie wordt verborgen en sturende knoppen worden gebruikt. De Bond kreeg van de AP ook geen reactie op vragen om informatie over de stand van zaken. “Op nationaal niveau is de AP gewoon aan zet, maar die blijft op zijn handen zitten. En wij horen niets. Zelfs op eenvoudige vragen over het proces krijgen we geen antwoord”, aldus Sandra Molenaar, directeur Consumentenbond.
Conclusie na drie jaar handhaven
De overgang van de WBP naar AVG heeft duidelijk voor een omslag in het privacy denken gezorgd. Het bewustzijn bij burgers over privacy en de AVG is enorm toegenomen. Voor de AP betekent dat een zoals het zich nu laat aanzien, een structureel hoger aantal klachten. Ook is Nederland koploper bij het melden van datalekken.
De actieve opstelling van de toezichthouder en het feit dat deze met een aantal boetes zijn tanden heeft laten zien, heeft hier zeker positief aan bij gedragen. Daarnaast heeft de AP zich actief geprofileerd op privacy issues. Met goede informatievoorziening op de website en de FG_hulplijn heeft ze na de invoering van de AVG ook actief bijgedragen aan het vergroten van kennis op het gebied van de AVG.
Drie jaar toezichthouden heeft voor de AP ook geresulteerd in hier en daar een butsje. De rechter matigde een opgelegde boete en floot de AP terug in haar opvatting over Gerechtvaardigd Belang als grondslag. Als een Burger het niet eens is met het oordeel van de AP biedt de Nationale Ombudsman een beroepsmogelijkheid. Het systeem is daarmee goed in evenwicht. De invulling is mede aan de Functionaris Gegevensbescherming. De AP is met haar informatievoorziening een belangrijk en nuttig baken voor de FG. De tikken op de vingers die de AP in de eerste drie jaar van haar bestaan heeft gekregen, maken duidelijk dat het noodzakelijk is om ook als FG kritisch naar de AP te blijven kijken.
De voorgenomen uitbreiding in aantal FTE’s zal de positie van de AP verder versterken en de behandeltermijn van klachten hopelijk aanzienlijk verkorten. Maar daar mee is de AP er nog niet. Het KPMG rapport over de AP maakt ook duidelijk dat de AP zich niet alleen in het aantal FTE’s moet versterken maar ook op het gebied van organisatieontwikkeling en benodigde automatisering.
Senior Privacy Professional
In de training Senior Privacy Professional krijgt u verdiepende kennis over leiderschapscompetenties, vergroot u...
Privacy Officer 2.0
Realiseer een privacy bewuste én compliant organisatie. De training Privacy Officer 2.0 bereidt u...
Download de brochure
Share