De Autoriteit Persoonsgegevens (AP) mist het vermogen om de AVG, die bepaalt hoe we omgaan met privacygevoelige gegevens, buiten de EU te handhaven. Dit blijkt uit een rapport van de Europese toezichthouder voor gegevensbescherming (EDPB).
Na een WOO-verzoek heeft de AP delen daarvan vrijgegeven. Met name in de VS staat de privacywaakhond nagenoeg machteloos. Zonder verdragen bestaan er vrijwel geen mogelijkheden om besluiten te effectueren. De bevoegdheden schieten tekort, terwijl ook het (laten) innen van boetes een struikelblok is.
Als er geen verdragen zijn met bijvoorbeeld de VS dan moet AP andere aanvliegroutes verzinnen om de wet te handhaven. Hiervoor bestaan verschillende ideeën. Zo wordt gedacht aan het toepassen van wetgeving voor economische delicten, het beslag leggen op een merknaam, het verhalen van onderzoekskosten op een partij, en civielrechtelijke procedures. De AP zal in een brief aan de Tweede Kamer aangeven waar de wetgever op dit gebied kan helpen. Uit de praktijk komt naar voren dat rechters in de VS vrijwel nooit een boete uit een derde land erkennen. Alleen voor schade (van een betrokkene of een toezichthouder) is dat soms mogelijk.
Zo is het maar de vraag of de AP erin slaagt de boete plus eventuele dwangsommen te innen die zijn opgelegd aan Clearview AI. Begin september kreeg dit Amerikaanse bedrijf, dat diensten voor gezichtsherkenning aanbiedt, van de AP een slordige dertig miljoen euro boete. Volgens de AP heeft Clearview de Nederlandse privacywetgeving ernstig overtreden. Clearview had een database met foto’s, de daaraan gekoppelde unieke biometrische codes en andere informatie nooit mogen aanleggen, meent de toezichthouder. Clearview zegt alleen diensten te leveren aan inlichtingen- en opsporingsdiensten buiten de EU. Maar de AP wil niet dat een commercieel bedrijf dat doet.
Veel ICT bedrijven zijn ook geen echte ICT bedrijven, maar juridische constructies om onder nationale of EU wetgeving uit te komen.