De Autoriteit Persoonsgegevens (AP) gaat zich in 2019 meer richten op handhaving. Tot nu toe lag de nadruk vooral op informatie delen en het uitdelen van waarschuwingen. Nu bedrijven en organisaties beter bekend zijn met de AVG (Algemene Verordening Gegevensbescherming) zullen ze bij privacyschendingen en datalekken vaker beboet worden.
Dat komt naar voren in het Jaarverslag 2018 van de privacytoezichthouder. In het verslag schrijft AP: ‘We zijn vooralsnog terughoudend geweest met de inzet van ‘zwaardere’ middelen als onderzoeken en boetes. In plaats daarvan hebben wij vaker waarschuwingsbrieven aan organisaties gestuurd en gesprekken met hen gevoerd om te bevorderen dat zij zich aan de AVG houden.’
Uit het verslag komt ook naar voren dat de AP nog volop in ontwikkeling is. Het aantal medewerkers is in de afgelopen twee jaar meer dan verdubbeld: van 75,7 fte begin 2017 naar 157,1 fte eind 2018. De grootste groei – met meer dan zestig fte – vond plaats in 2018. De verwachting is dat er in 2019 nog meer medewerkers bijkomen.
De organisatie voert gesprekken met het ministerie van Justitie en Veiligheid over verdere groei van de organisatie. Ook worden werkwijzen meer gestructureerd en wordt de behandeling van tips en klachten deels geautomatiseerd. Daarvoor wordt de ict opnieuw ingericht.
Handel in persoonsgegevens
De AP gaat naar eigen zeggen meer inzetten op een risicogerichte aanpak. Het brengt privacy-ontwikkelingen in kaart door trend- en risicoanalyses te maken. ‘Wij gaan onder meer in gesprek met verschillende sectoren, zoals de overheid, de zorg en de financiële sector. Op basis van de aard en omvang van de onderliggende problematiek kiezen wij de meest impactvolle aandachtsgebieden en kijken wij vervolgens welke interventie- en instrumentenmix daar het beste bij past.’ In 2019 richt de AP zich in ieder geval op niet-gemelde datalekken en handel in persoonsgegevens.
In een opsomming van onderzoeken en acties stelt de AP dat het in 2018 720 klachten en 298 datalekmeldingen heeft afgehandeld. Daarnaast heeft de AP in 2018 zestien onderzoeken afgerond en is het zeventien handhavingstrajecten gestart. AP: ‘Deze hebben geleid tot sancties voor onder meer Uber, de Belastingdienst en het UWV.’
Verder startte de AP direct na 25 mei 2018 met controles op de verantwoordingsplichten uit de AVG. De AP controleerde bijvoorbeeld bij vierhonderd overheidsorganisaties, 91 ziekenhuizen en 33 zorgverzekeraars of zij een fg (functionaris gegevensbescherming) hadden aangesteld. Ook is de AP in december 2018 gestart met onderzoek naar het privacybeleid van een aantal IVF-klinieken, politieke partijen en bloedbanken.
AP: ‘We hebben wij bijna 27.000 mensen te woord gestaan tijdens onze telefonische spreekuren, ruim 11.000 privacyklachten, vierduizend tips en 21.000 datalekmeldingen ontvangen, meer dan tachtig keer advies gegeven over nieuwe wet- en regelgeving, diverse grotere en kleinere onderzoeken gedaan.’
Mijlpaal voor privacy
In het verslag staat ook een dankwoord naar functionarissen gegevensbescherming (fg’s). AP: ‘Ook al zijn we gegroeid, we zijn nog steeds een relatief kleine toezichthouder. Dat betekent dat we niet overal tegelijk kunnen zijn. Daarom zijn wij heel blij met de achtduizend functionarissen gegevensbescherming (fg’s) die zich in 2018 bij ons hebben aangemeld. Fg’s spelen een grote rol bij de naleving van de privacyregels binnen organisaties. Ze zijn als het ware onze oren en ogen ter plaatse. Een belangrijke functie dus, waar wij als AP veel waardering voor hebben’, schrijft de toezichthouder.
Volgens de AP was het jaar 2018 een mijlpaal voor de bescherming van persoonsgegevens. Daarmee doelt het op 25 mei 2018, de datum waarop de nieuwe privacywet, de Algemene verordening gegevensbescherming (AVG) officieel van kracht werd.
Ik durf te voorspellen dat de AP binnen 10 jaar wordt opgeheven omdat ze gewoonweg niet in staat zijn om de werkelijkheid bij te houden.