De Uitvoeringswet AVG (UAVG), de Nederlandse aanvulling op de Algemene Verordening Persoonsgegevens (AVG), heeft nauwelijks toegevoegde waarde. Dat is te wijten aan het gebrek aan verdere invulling van de open normen in de UAVG, met als resultaat een onduidelijke uitvoeringspraktijk.
Dat blijkt uit een evaluatieonderzoek naar de uitvoering van de UAVG door Pro Facto en Hooghiemstra & Partners. Opdrachtgever was het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC).
De AVG gaat uit van open normen, zoals noodzakelijkheid en proportionaliteit. Deze normen zijn grotendeels een voortzetting van regelgeving die er voor de AVG ook al was. Via de UAVG heeft Nederland de ruimte om op bepaalde punten meer specifieke nationale regelingen te treffen. Maar een verdere concretisering en specifieke invulling van de normen bleef achterwege. Ook heeft per branche amper een operationalisering van normen plaatsgevonden nu de gedragscode als instrument nauwelijks van de grond komt.
In het evaluatieonderzoek krijgt ook de Autoriteit Persoonsgegevens (AP) de nodige kritiek. Deze toezichthouder richt zich bij het toezicht vooral op partijen die datalekken wel melden. Hierdoor lijken niet-melders min of meer vrij spel te hebben. Volgens Hans Kortekaas, CEO ID Control (privacy en security) kan dat ertoe leiden dat potentiële melders eerder terughoudend worden om te melden. De onderzoekers dringen daarom aan op intensivering van het toezicht op niet-melders.
Opmerkelijk is dat de AP juist in gevallen waarin wel is gemeld, forse boetes oplegt. Bij het vaststellen van boetes houdt de toezichthouder ook helemaal geen rekening met de snelheid waarmee datalekken worden opgelost. Het tijdig melden blijkt evenmin een verlagende factor..
Fel verzet
De onderzoekers plaatsen vraagtekens bij de wijze waarop de AP zijn boetebevoegdheid hanteert. Ze tasten in het duister hoe het toezicht er in de praktijk uitziet. Er is geen gepubliceerd toezichts- en handhavingsbeleid, zoals dat bij andere toezichthouders het geval is. Ook uit de cases waarin een bestuurlijke boete is opgelegd, valt geen duidelijke lijn te ontwaren. Ze roepen AP-voorzitter Aleid Wolfsen dan ook op tot een meer transparante werkwijze
Overigens verzette Wolfsen zich fel tegen de onafhankelijke studie. De onderzoekers dachten er verstandig aan te doen om tijdens het vooronderzoek een oriënterend gesprek met de AP-baas te voeren. Maar deze annuleerde de afspraak omdat de opdracht, aard, opzet en scope van het onderzoek hem niet beviel. Wolfsen vond dat hij betrokken had moeten worden bij de totstandkoming en gunning van de studie en vreesde een evaluatie van zijn functioneren – terwijl dat helemaal niet de onderzoeksopdracht was. Wolfsen probeerde daarop een hernieuwde onderzoeksopzet en -uitvoering door te drukken. Minister Frank Weerwind (Rechtsbescherming) evenwel wilde geen politieke beïnvloeding van het WODC als opdrachtgever.
Zo blijkt dat de hele AVG vooral een papieren bureaucratische tijger is. De zoveelste. En het werkt ook nog eens contraproductief. Organisaties schieten voortdurend in de kramp rondom het verwerken van privacy gevoelige gegevens en zitten simpelweg de effectiviteit daarmee enorm in de weg. Simpel voorbeeld: ik regel alle zaken voor mijn vrouw op het gebied van verzekeringen en dus ook ziektekostenverzekeringen. Doe ik al 40 jaar. Maar als ik nu meer informatie wil online over de nota’s van mijn partner, kan ik er vanwege ‘privacy’ niet meer bij. Zij is gewoon akkoord, en tja, dan leent ze me maar haar telefoon uit met haar DIGID (onze wachtwoorden en pincodes hebben we elkaar al jaren toevertrouwd). Dus het werkt niet.
Die AP boetebevoegdheid, met z’n duistere trekken doet me direct denken aan een vervelend fenomeen, genaamd CBR. Daar worden mensen met een gezondheidskenmerk gewoon verboden (na lang rekken) om het rijbewijs te verlengen, n.a.v. een onbekende methode en onbekende legenda, ook al heeft dat kenmerk in detail helemaal niets te maken met veiligheid. Er komt ook nooit feedback of een persoonlijk contact om het allemaal wél correct op de plaat te krijgen, maar ze worden ook niet gecorrigeerd door bijv. een overheid, en men staat nergens voor open. “Als het maar veilig is”. Daarmee ontstaat een hardnekkig despotisch systeem, waarvan ik de trekken hier bij de AP ook terugzie, en wat veel zegt over de reactie van de “AP-baas”. En inderdaad… dit komt steeds meer en meer voor. Het lijkt een blinde vlek voor overheden, met catastrofaal gevolg voor inwoners. Die hele AVG en AP voegen m.i. sowieso niks toe aan privacy veiligheid. Deze zijn er alleen maar om duidelijkheid te geven in een rechtbank. Dat de schade dan al is geleden heeft hier niks mee te maken. Het is een perfecte papieren-tijger die hand in hand gaat met al die online (cloud) diensten, versus je data in eigen beheer. Ook online blijf jijzelf verantwoordelijk, en het veiligheidsgevoel is dan zeer vaak gebaseerd op een aanname, en geen wetenschap.
Als Willy Wartaal vraag ik me af of het ook in ‘Jip & Janneke’ taal kan want wat is de boodschap? Is het – zoals andere reaguurders zeggen – niet meer dan de zoveelste papieren tijger of heeft de wolf in de vorm van Aleid Wolfsen toch tanden gekregen om dat wat bij grondwet heilig is te beschermen. Nu ben ik echter vooral benieuwd hoe beide reaguurders het begrip privacy vorm willen geven in een definitie waar een toezichthouder mee kan werken. Kortom wat is nu de streep in het zand als het om schending van onze rechten gaat?
@een oudlid: het doel is om misbruik van privacy gevoelige gegevens tegen te gaan. Dus dit gegevensgebruik is aan grenzen en regels gebonden. Het eindresultaat van het gebruik in dit specifieke voorbeeld mag dus niet tot 1 persoon te herleiden zijn. Dus daarin is het uiteindelijk geanonimiseerd.
De meeste Nederlandse toezichthouders hebben moeite om goed te functioneren en zijn op vele gebieden papieren tijgers. Er zijn met grote regelmaat schandalen bij de toezichthouders. Te weinig capaciteit en/of verkeerde politieke bemoeienis, zijn de meestvoorkomende oorzaken. Twaalf jaar geen toezicht op bagageafhandeling door de intern gewaarschuwde Arbeidsinspectie is het meest recentste voorbeeld.
Dat Wolfsen huiverig is voor het onderzoek door het WODC in opdracht van zijn partijgenoot, is overigens ook niet zo gek. Het WODC zelf is ook nogal politiek gevoelig gebleken.