De Autoriteit Persoonsgegevens (AP) blijft vleugellam. De privacywaakhond moet het ook in 2022 doen met een schamele vijfentwintig miljoen euro, evenveel als in 2021.
Dat blijkt uit de Miljoenennota. AP-voorzitter Aleid Wolfsen is verbijsterd over de geringe armslag die zijn instelling van het kabinet krijgt. ‘Dit is zeer zorgelijk. Wij kunnen al jaren ons werk niet goed genoeg doen, simpelweg omdat we te weinig mensen hebben. Maar in plaats van een verhoging, wordt ons budget bevroren’, aldus een woedende Wolfsen in een verklaring. Hij beweert ten minste het viervoudige nodig te hebben. Een bedrag van honderd miljoen euro is volgens hem vergelijkbaar met wat andere Nederlandse toezichthouders krijgen.
Tot zijn verdriet gaat het kabinet hiermee tegen de wens van de Tweede Kamer in. Dit jaar nog werden twee moties aangenomen om het budget van de AP te verhogen. Het budget van vijfentwintig miljoen euro, en een personeelsbestand van zo’n 180 arbeidsplaatsen, is te weinig om goed toezicht te kunnen houden op de bescherming van persoonsgegevens, concludeerde ook KPMG in een rapport. Volgens dat rapport moet de AP tot 2025 groeien naar een organisatie met 470 fte.
Te weinig
Wolfsen: ‘Het kabinet zegt graag een nieuwe bestuurscultuur te willen, en een versterking van de tegenmacht, om drama’s als de Toeslagenaffaire in de toekomst te voorkomen. De AP is één van die tegenmachten. En die tegenmacht kun je niet versterken met alleen mooie woorden. Daar hoort een passend budget bij, zoals de Tweede Kamer ook heeft gevraagd.’
De onderfinanciering heeft volgens de AP ernstige gevolgen: burgers en bedrijven zijn hiervan de dupe. Wolfsen: ‘Slachtoffers van privacy-overtredingen die bij ons aankloppen voor hulp, moeten wij mededelen dat er helaas nog zo’n tienduizend wachtenden voor hen zijn. Ook ondernemers krijgen niet de ondersteuning door voorlichting die nodig is om ongelukken te voorkomen.
Internationale bedrijven moeten vijf jaar wachten tot we hun zogenoemde ‘BCR’ (Binding Corporate Rules), hun privacyplannen, hebben goedgekeurd. Dat brengt ze in problemen, aldus de AP-baas. ‘Ook kunnen wij datalekken onvoldoende onderzoeken. En het toezicht op algoritmes komt door ons gebrek aan capaciteit onvoldoende van de grond, met alle risico’s van dien: discriminatie, uitsluiting en schending van de rechten van burgers. Deze ellende kunnen wij oplossen, als we genoeg mensen hebben.’
Is genoeg mensen gelijk aan genoeg geld of zijn er nog andere mogelijkheden? Een nieuwe bestuurscultuur zou kunnen beginnen met oude cultuur van budgetten te veranderen want hoewel ik de onderbezetting begrijp zijn privacyplannen misschien te combineren met privatiseringsplannen want ik kan me voorstellen dat bepaalde belangen ook een commercieel belang kennen en dus niet door de belastingbetaler betaald hoeven te worden.
Heel apart dat een door liberalen gedomineerde regering zo weinig wil uitgeven aan de bescherming van de burger. Liberalen zien vanouds het als een kerntaak om burgers te beschermen, ook tegen de overheid. Wolfsen geeft het voorbeeld dat er nog steeds geen geld is voor onderzoek naar discriminerende algoritmes zoals die o.a. in het toeslagenschandaal zijn gebruikt. De AVG blijft zo een wassen neus. Nu moet er 5 miljard gereserveerd worden voor compensatie van de slachtoffers van het toeslagenschandaal (wat niet wil zeggen dat de gedupeerden die ook gaan krijgen). Hoeveel overheidsgeld had bespaard kunnen worden als de AP onderzoek naar discriminerende algoritmes had kunnen uitvoeren? Waarom wordt de AP nog steeds gehinderd door de Rutte doctrine?
Het gaat niet alleen om tegenmacht. Er is nog steeds een flinke groei van het aantal hacks gericht op het buitmaken van persoonsgegevens. Hacks met het gebruik van ransomware worden ook vaker gecombineerd met het (dreigen van) lekken van data om zo extra druk uit te oefenen op het primaire slachtoffer. De AP onderzoekt maar enkele promilles van de aangemelde hacks en andere inbreuken. De put wordt nu vaak niet eens gedempt nadat het kalf verdronken is, want de AP heeft toch geen tijd.
Of een onderzoek naar discriminerende algoritmes een taak is van AP is bestuurlijk een interessante vraag omdat discriminatie onder het strafrecht valt, je kunt als toezichthouder ook gewoon teveel hooi op je vork nemen. Ik verwijs dus even naar rapport KPMG aangaande het vraagstuk over de wettelijke taken want kostprijsmodel naar activteiten en producten ontbreekt nog waardoor de roep om meer budget te vroeg is. Misschien is Wolfsen gewoon de verkeerde man op de verkeerde plek, een andere bekostigingsmethodiek bedenk ik namelijk niet zelf.
Ewout, voor de meeste soorten strafrechtelijke onderzoek kan je niet rechtstreeks of zelfs geheel niet bij de politie terecht. Daar zijn andere instanties voor, met meer specifieke kennis. Zo zijn er 4 bijzondere opsporingsdiensten zoals de Fiscale Inlichtingen- en Opsporingsdienst en de Nederlandse Voedsel- en Warenautoriteit. Onderdelen daarvan zijn alleen maar bezig met strafrechtelijke opsporingsonderzoek. Naast de BOD’s zijn er ook inspecties met opsporingstaken zoals de Inspectie Gezondheidszorg en Jeugd en de Inspectie Overheidsinformatie en Erfgoed. Zij komen niet alleen bestuursrechtelijke overtredingen tegen, maar ook strafrechtelijke. Ook zij hebben buitengewoon opsporingsambtenaren. De BOD’s en inspecties kunnen aangifte doen bij het OM. Andersom kan het OM een BOA van een instantie ook vragen om strafbare feiten op te sporen.
In het KPMG rapport Onderzoek taken en financiële middelen bij AP van 2 november 2020, wordt aangegeven: “De AP is een organisatie in opbouw. Een aantal functies is nog niet ingevuld, de automatiseringsgraad is laag en bedrijfsvoering staat nog in de kinderschoenen.” Onze AP kan dus, net als al die andere Europese AP’s, zich nog verbeteren enhebben nog te maken met opstartkosten. En omdat er in Nederland ook veel postbusbedrijven staan, is onze AP relatief vaak de leidende toezichthouder met bijbehorende kosten. Ook zijn er in Nederland relatief veel datalekmeldingen. Dat heeft waarschijnlijk te maken dat andere AP’s die de AVG moeten handhaven, nog minder krijgen.
De AP moet met de meldingen meer doen dan alleen maar classificeren, tellen en archiveren. Maar de AP wordt lumpsum gefinancierd; meer meldingen betekent langere wachtrijen en uitstel wordt afstel. Onze AP krijgt relatief minder middelen dan Nederlandse toezichthouders zoals de Autoriteit Consument & Markt, Autoriteit Financiële Markten, Agentschap Telecom en de NVWA. En ook dat is politiek. Vandaar de wassen neus. De AP mag kosten aan ondertoezichtgestelde bedrijven doorberekenen, maar dat gebeurt blijkbaar om politieke redenen nog niet.
@Jaap
Ik begrijp dat je het rapport nu ook gelezen hebt want zoals al gezegd over de bekostigingsmethodiek is het makkelijk om je hand op te houden. De politieke vraag of Wolfsen wel de juiste man op de juiste plaats is blijft staan want je conclusie over kosten aan onder toezichtgestelde bedrijven deel ik niet. Een bedrijfsvoering die nog in de kinderschoenen staat met een lage automatiseringsgraag voor feitelijk de bestuurlijke opvolger van CBP lijkt me een nogal pijnlijke conclusie, wat heeft Aleid sinds 2016 gedaan?
Ewout, we hebben niet over de schouders van voorzitter Wolfsen en zijn collega bestuurders gekeken en kunnen dus moeilijk oordelen. Wel is te zien dat ze onhandig hebben geopereerd bij de opdrachtformulering van het onderzoek door KPMG. Je kent de sturende invloed van de opdrachtgever en -formulering op het onderzoeksresultaat. Er is een capaciteitsfinancieringsprobleem waar KPMG naar moest kijken. Maar KPMG heeft de wensen, bijvoorbeeld ten aanzien van wachttijden, niet bij J&V opgevraagd. KPMG noemt één keer het eerder gebruikte capaciteitsmodel van Andersson Elffers Felix, maar doet daar weinig mee. KPMG komt met een schatting voor de capaciteit van 173 tot 326 fte met een benodigd budget van 19,4 tot 45miljoen Euro, afhankelijk van het gehanteerde kostenniveau per fte. Maar het mag ook een onsje meer of minder zijn. Mag de AP ook meer of minder handhaven?
De AP heeft beginselplicht tot handhaving en mag handhaving alleen bij ‘bijzondere omstandigheden” nalaten. Sommige taken worden heel omvangrijk door de snelle groei van datalekmeldingen, klachten, enz, Het aantal opgelegde taken voor de AP groeit ook nog eens. In de IT hebben we het dan meteen over meerwerk en dat koppelen we aan meer geld. KPMG geeft aan wat de AP nog moet doen ten aanzien van efficiency, maar niet hoe J&V moet omgaan met de het instroomvolume. De voor de uitvoering verantwoordelijke vijfkoppige directie van de AP heeft geen kostprijsmodel en urenregistratie laten maken en daar maakt J&V gebruik van. KPMG meldt laf dat er “geen inhoudelijke verbinding te leggen (is) tussen de lumpsumbegroting en de activiteiten die daarvoor uitgevoerd worden.” Wat betekent zo’n flat fee voor de werkzaamheden van de AP? ‘Geen geld, geen Zwitsers’ KPMG houdt zich op dit gebied stil al past dat niet bij de titel van hun 133 pagina’s tellende rapport, “Onderzoek taken en financiële middelen bij AP”. Sander Dekker, minister voor Rechtsbescherming, neemt geen politieke verantwoordelijkheid voor het niet kunnen nakomen van de beginselplicht tot handhaving, maar verschuilt zich achter Haagse financieringssystematiek. Als je de hand op de knip wilt houden, dan moet je bij de AVG kiezen voor het opportuniteitsbeginsel. Dan ben je pas eerlijk.
@Jaap
Zeker ken ik sturende invloed van de opdrachtgever en -formulering op het onderzoeksresultaat, het is daarom dat ik wijs op het rapport. Wij, als burger, kijken via het rapport verder dan de schouder van Aleid en zijn collega bestuurders want je kunt het rapport tot op de letter nauwkeurig ontleden maar daarmee beantwoord je nog steeds niet de vraag ik stelde in de eerste reactie over de hybride bekostiging. De vraag gaat niet om meer of minder handhaven maar om de bestuurlijke efficiëntie hierin omdat een sturing op budget vaak achter de vraag aanloopt. Opmerking dat KPMG laf meldt dat er “geen inhoudelijke verbinding te leggen (is) tussen de lumpsumbegroting en de activiteiten die daarvoor uitgevoerd worden.” doet me daarom denken aan het onrecht van de leges, de schrijfkosten waarvan de burgelijke bijdrage niet meer dan kostendekkend mag zijn.
Ewout, het gaat wel degelijk om de vraag meer of minder handhaven, maar Sander Dekker doet net alsof hij niet het verschil kent tussen opportuniteitsbeginsel en beginselplicht tot handhaving. Opmerkelijk want hij is van Rechtsbescherming en een halve jurist.
.
De hoofdvraag, “Op welke wijze kunnen de taken en financiële middelen van de Autoriteit Persoonsgegevens nu en in de komende jaren met elkaar in evenwicht worden gebracht”, is door KPMG zo vaag beantwoord dat je het net zo goed aan de groenteboer om de hoek kan vragen. Van een onafhankelijk consultancybedrijf, dat zich vooral met cijfertjes bezig houdt, mag je als belastingbetaler meer verwachten. De wettelijke ruimte voor, al dan niet kostendekkende, doorbelasting is heel beperkt.
Jaap,
Even terug naar je eerdere conclusie over de sturende invloed van de opdrachtgever want jij weet ook dat bepaalde passages in een rapport daardoor opzettelijk vaag gehouden kunnen worden. Het herformuleren van bepaalde frasen omdat het bestuur zich er anders niet in herkent is niet ongebruikelijk.
Inderdaad Ewout, en minister Sander Dekker voor Rechtsbescherming was de hoofdopdrachtgever. Hij moest zich verantwoorden bij de Tweede kamer.