‘Privacywaakhond CBP kampt met onderbezetting’

De toezichthouder heeft te weinig personeel om alle nieuwe nationale en Europese taken uit te kunnen voeren.

Jacob Kohnstamm, voorzitter van het CBP. Foto Evert-Jan Daniels / ANP

Het College Bescherming Persoonsgegevens (CBP) heeft te weinig medewerkers om voor de nieuwe nationale en Europese taken uit te kunnen voeren die de privacytoezichthouder er vanaf 1 januari bij krijgt. Hierdoor moet het CBP mogelijk veel privacyschendingen laten lopen. Dat zegt voorzitter Jacob Kohnstamm woensdag in een interview met NRC.

Kohnstamm denkt dat er minstens vijf keer zoveel personeel nodig is als nu omdat anders de handhaving van de privacywet in het gedrang komt. Vanaf januari gelden in Nederland nieuwe privacyregels, waardoor bedrijven onder meer worden verplicht een eventueel datalek binnen drie dagen te melden bij de toezichthouder.

Angstig uitkijken

Ook kan de waakhond straks boetes uitdelen, terwijl hij tot nu toe alleen voorwaardelijke dwangsommen kon uitschrijven. Daarnaast komt er een nieuwe naam: Autoriteit Persoonsgegevens. Kohnstamm over de veranderingen:

“Ik ben er niet in geslaagd om het ministerie te overtuigen van extra menskracht voor die nieuwe taken. Met als gevolg dat ik angstig uitkijk naar het van start gaan van de meldplicht.”

Wel is er de afspraak om opnieuw over budget te spreken als het CBP overspoeld wordt door datalek-meldingen. Maar naast de meldplicht en de mogelijkheid om boetes uit te delen komen er vanaf 2017 ook andere bevoegdheden bij. Dan wordt een groot pakket Europese privacyregels van kracht.

Nu heeft het CBP een jaarlijks budget van 8,2 miljoen euro en er werken bijna 80 mensen, van wie er ruim 60 daadwerkelijk direct meewerken aan het toezicht. Kohnstamm:

“Ik denk dat het vijfvoudige daarvan een goed begin zou zijn. Niet alleen door de meldplicht en de Europese regels, maar persoonsgegevens zijn het nieuwe goud. Je ziet dagelijks tientallen nieuwe apps en websites.”

Maximaal vijftien tot twintig grote zaken mogelijk

Volgens Kohnstamm heeft het gebrek aan menskracht mogelijk grote gevolgen voor de handhaving van de privacywet.

“Wij moeten nu al aan verwachtingsmanagement doen. Dat betekent per saldo dat wij heel erg selectief moeten zijn. Meer dan vijftien à twintig grote zaken per jaar kunnen wij op deze manier niet aan. Dat betekent dat we heel regelmatig moeten besluiten om iets te laten lopen.”

Kohnstamm zegt dat hij naast alle apps en sites bezorgd is over bedrijven die aan zogeheten profilering doen. Op basis van grote hoeveelheden verzamelde gegevens maken zij profielen van groepen mensen die steeds gedetailleerder worden. Bedrijven willen met behulp van die gegevens bijvoorbeeld advertenties op maat maken. “Dat gaat steeds verder en is nu al zeer lastig te controleren.”

Verslaafd kind

Ook wijst hij op de gevolgen van decentralisatie van de overheid op privacybescherming: zorgtaken en onderdelen van de sociale zekerheid verhuizen naar gemeenten, die minder goed zijn toegerust om gevoelige data die daarbij horen te beschermen. Kohnstamm:

“Daar gaat wel eens wat mis. Stel dat je bij de gemeente komt voor een rollator, en de baliemedewerker vraagt hoe het met je verslaafde kind gaat, dan is dat fout. Gemeenten letten te weinig op de bescherming van die gegevens. Ook dat is iets wat de komende tijd meer aandacht verdient.”