Beheer

Privacy
Handhaving AVG door AP

Handhaving AVG door AP

Twee jaar AVG. Waar blijft de strenge handhaving van de Autoriteit Persoonsgegevens?

Aleid Wolfsen © CC BY 2.0 - Flickr Sebastiaan ter Burg
28 mei 2020

Na twee jaar AVG is het de tijd om de balans op te maken en te kijken in hoeverre het doel van de AVG daadwerkelijk wordt behaald.  Eén ding staat vast – de bewustwording omtrent privacy is met de invoering van de AVG aanzienlijk vergroot, maar in hoeverre heeft dit ook daadwerkelijk effect indien er geen strenge handhaving plaatsvindt?

Het regent klachten bij de Autoriteit Persoonsgegevens (AP). Het zijn er zelfs zó veel dat de AP aangeeft de vraag niet aan te kunnen. Voor het creëren van bewustwording omtrent de bescherming van privacy bij zowel bedrijven, als de burger in het algemeen, is de AVG met vlag en wimpel geslaagd. Het is het resultaat van een bewuste keuze van de AP om de focus te leggen op de voorlichting. De handhaving daarentegen laat nog wat te wensen over. Met het uitdelen van drie boetes onder de AVG in twee jaar wordt niet echt een statement gemaakt [1]. Het Financieel Dagblad formuleert dit treffend door te stellen dat de privacywet na twee jaar nog steeds tanden mist.

Wanneer je dit vergelijkt met boetes die door de toezichthouders van onze buurlanden zijn uitgedeeld stelt dit maar weinig voor

De bedragen van de uitgedeelde boetes zijn niet mis: € 460.000,- voor het Haga Ziekenhuis, € 525.000,- voor de tennisbond KNLTB en een (nog onbekend) bedrijf steeg er met kop en schouders bovenuit met een boete van € 725.000,- door het afnemen van vingerafdrukken van werknemers ten behoeve van werktijdregistratie. De AP kan echter boetes uitdelen tot bedragen van 20 miljoen of 4% van de gehele wereldwijde omzet, maar heeft voor een ander boetebeleid gekozen. Wanneer je dit vergelijkt met boetes die door de toezichthouders van onze buurlanden zijn uitgedeeld stelt dit maar weinig voor.[2] Niet alleen vanuit dat oogpunt kan nog niet van een strenge handhaving door onze nationale toezichthouder worden gesproken, maar tevens bezien vanuit het aantal klachten dat daadwerkelijk binnenkomt bij de AP. De AP blijkt echter geen capaciteit te hebben om al deze klachten in behandeling te nemen. Dit blijkt dan ook de achilleshiel van de Nederlandse handhaving van de AVG. De ‘grote jongens’, ofwel de grote technologiebedrijven blijven hierdoor buiten schot. Dit is extra frappant, gezien het feit dat deze bedrijven vaak de bedrijven zijn die het meest geïntegreerd zijn in het dagelijks leven van de burger en hun ‘datahonger’ zeker geen geheim is. Juist door deze bedrijven onder de loep te nemen kan de AVG wel zijn tanden laten zien. Een dergelijk onderzoek neemt echter zoveel capaciteit in beslag dat dit simpelweg in de huidige setting niet haalbaar is.

Hoewel aan de ene kant een ruimer budget voor de Autoriteit Persoonsgegevens als oplossing aangedragen zou kunnen worden, ligt mijns inziens de oplossing in een intensievere samenwerking tussen de Europese toezichthoudende autoriteiten onderling. Door de verdeling van de capaciteit wordt de slagkracht van de toezichthouders optimaal benut. Er blijkt namelijk bij een aantal andere Europese toezichthouders nog voldoende capaciteit te zijn die momenteel onbenut blijft. Een intensievere samenwerking komt niet alleen de slagkracht ten goede, maar ook de uniformiteit in de interpretatie van de AVG, de problematiek die mijn collega Stefan Zrnic in zijn eerdere blog deze week al aanstipte. Of naar een dergelijke oplossing al is gekeken is niet bekend. Tot nu toe lijkt de AP zich te blijven verschuilen achter haar capaciteitsproblemen en heeft zij een onderzoek gestart samen met het ministerie van Justitie en Veiligheid naar de capaciteit en de vereiste financiering. Dit onderzoek zou naar verwachting deze maand worden afgerond. De vraag is of een groter budget de oplossing biedt op de lange termijn. Het feit dat de Europese toezichthouders allemaal op hun eigen ‘eilandje’ blijven zitten komt op de lange termijn de efficiëntie en uniformiteit mijns inziens niet ten goede. 

Dat Europese toezichthouders allemaal op hun eigen ‘eilandje’ blijven zitten komt op de lange termijn de efficiëntie en uniformiteit mijns inziens niet ten goede

Aleid Wolfsen, voorzitter van de AP, heeft aangegeven dat er de afgelopen periode veel onderzoeken gestart zijn waarvan de resultaten nog niet bekend zijn. De kritische noot met betrekking tot de voorzichtige handhaving van de AVG vindt hij dan ook onterecht. Een strenge handhaving ter bescherming van notabene een mensenrecht (om de heer Wolfsen zelf te citeren) is mijns inziens echter niet meer dan logisch.

1. Er zijn nog twee boetes uitgedeeld in 2018, deze werden echter nog gewezen onder de Wet bescherming persoonsgegevens.
2. Er werd een boete van € 50 miljoen uitgedeeld door de Franse toezichthouder aan Google, € 110 miljoen door de Britse toezichthouder aan Marriott en maar liefst € 203 miljoen aan British Airways.

Reactie toevoegen