De Autoriteit Persoonsgegevens (AP) heeft de stellige indruk dat het kabinet wetsvoorstellen te vaak als een vrijbrief voor de overheid ziet om bijna ongebreideld persoonsgegevens te verzamelen.
In bijna twintig procent van de nieuwe wetsvoorstellen worden persoonsgegevens onvoldoende beschermd. Van de 95 adviezen die de AP vorig jaar aan het (toenmalige) kabinet uitbracht, waren er achttien zeer kritisch. In 37 gevallen had de AP enkele opmerkingen en veertig keer had de AP geen opmerkingen.
Dat blijkt uit het jaarverslag van de AP over 2021. De privacy-waakhond begrijpt dat de overheid meer met persoonsgegevens wil doen, maar dan moet dat wel in het algemeen belang zijn. Vaak gaat de verzameldrift te ver, aldus de AP. Meer data worden vergaard dan nodig is en ook is dikwijls niet duidelijk genoeg waarom de overheid bepaalde gegevens van burgers nodig heeft.
Verkeerde lijstje
Zorgen heeft de AP over de Wet gegevensverwerking door samenwerkingsverbanden (WGS). Dat wetsvoorstel, dat nu bij de Eerste Kamer ligt, geeft overheidsorganisaties en private partijen ruime bevoegdheden om persoonsgegevens met elkaar te delen. Volgens de AP kan dit grote gevolgen hebben voor burgers die ‘op het verkeerde lijstje’ terechtkomen.
De AP stak ook vorig jaar veel tijd in het toezicht op de overheid. UWV kreeg een boete van 450.000 euro voor het onvoldoende beveiligen van de verzending van groepsberichten. De gemeente Enschede moest 600.000 euro overmaken voor de inzet van wifi-tracking in de binnenstad. Daarnaast worden bedrijven in de gaten gehouden. Boetes waren er onder meer voor Booking, Transavia en TikTok.
De toezichthouder ontving in 2021 zo’n 25.000 meldingen van een datalek, duizend meer dan in het jaar daarvoor. Volgens de AP hadden die datalekken ook meer impact. Door personeelsgebrek kon men slechts bij enkele honderden meldingen actie ondernemen.
Overigens is de AP zelf ook regelmatig data aan het lekken. Vorig jaar werden binnen de organisatie dertig datalekken geteld. Bij de release van het nieuwe meldloket datalekken ging het goed mis. De leverancier had third party plugins op de pagina staan die gegevens doorsturen. Deze plugins zijn direct verwijderd.