De privacyregels worden strenger

Persoonsgegevens Inzage in eigen data wordt makkelijker, schending van privacy een stuk duurder. Maar wie is al klaar voor de nieuwe privacywet?

Nieuwe privacyregels betekenen ook: meer administratie. foto iStock

Hij moest vorige week op één dag op drie verschillende plekken in het gebouw werken, vertelt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP). „We hebben een flexwerkconcept en het was gewoon te krap.”

De toezichthouder breidt deze week zijn kantoor in Den Haag uit: twee keer zo veel ruimte en werkplekken. Het takenpakket wordt namelijk aanzienlijk groter op 25 mei 2018, de dag dat een nieuwe privacywet in werking treedt.

De regels over wat wel en niet mag met persoonsgegevens – voortvloeiend uit een Europese verordening – zetten veel organisaties flink op z’n kop. Vooral de nieuwe boetes springen in het oog. De AP mag organisaties straffen opleggen tot 20 miljoen euro of – als dat hoger uitkomt – 4 procent van de wereldwijde omzet, als ze te slordig omspringen met persoonlijke gegevens. Het wordt daarnaast makkelijker voor een individu om aan bedrijven of instanties te vragen welke persoonsgegevens ze over hem of haar hebben, en die vervolgens te laten corrigeren. Als het nodig blijkt gegevens aan te passen, kan de betrokken organisatie ook worden verplicht om instanties waaraan ze diezelfde data hebben doorgegeven correcties te laten doorvoeren.

Veel organisaties die met gevoelige gegevens werken, worden daarnaast wettelijk verplicht een ‘functionaris gegevensbescherming’ aan te wijzen. De internationale privacyorganisatie IAPP schatte eerder dat wereldwijd minstens 75.000 van deze mensen moeten worden aangesteld, van wie 28.000 in Europa en de Verenigde Staten.

Kleine speler

In een tijd waarin persoonlijke data als het nieuwe zwarte goud worden bestempeld, past naast regelgeving ook een privacytoezichthouder met armslag. De Autoriteit Persoonsgegevens kreeg afgelopen tijd juist vaak de kritiek dat ze te weinig optrad. In liefst vier rechtszaken bepaalden rechters de afgelopen maanden dat de autoriteit had moeten optreden of onderzoek had moeten doen naar mogelijke privacyschending. De Raad van State oordeelde eind vorige maand nog dat de AP eerder onderzoek had moeten doen naar prijsdiscriminatie van mensen die met een anonieme OV-chipkaart reizen.

Andere toezichthouders kunnen jaloers zijn op het groeitempo van de AP. Had ze vorig jaar nog zeventig arbeidsplaatsen, nu zijn het er meer dan negentig en het streven is honderdveertig in mei volgend jaar. Het blijft desondanks een relatief kleine speler: de toezichthouder op de financiële markten, de AFM, heeft bijvoorbeeld zo’n zeshonderd mensen in dienst en de Autoriteit Consument en Markt vijfhonderd.

De nieuwe regels vragen een hoop van de AP. Ze moet bijvoorbeeld officieel toezicht gaan houden op het interne toezicht bij overheden en bedrijven. En binnenkort vallen ook alle bedrijven met een hoofdkantoor in Nederland onder haar gezag. Als een Spanjaard een probleem heeft met bijvoorbeeld Philips, Akzo Nobel of Aegon, komt dat op het bordje van de Nederlandse toezichthouder.

„Als wij straks één klacht krijgen en zeggen: ‘dit is fout’, dan kan het zijn dat zo’n bedrijf systemen voor miljoenen klanten in heel Europa moet aanpassen”, zegt Wolfsen. De toezichthouder kan nu ook al boetes uitdelen, maar de drempel vervalt. Nu moet nog altijd sprake zijn van ernstig verwijtbare nalatigheid of opzet, legt de voorzitter uit.

Alle telefoontjes

Ook nieuw aan de privacyverordening is dat de AP straks álle klachten van individuen over privacy in behandeling moet nemen. Dat gebeurt nu meestal niet, door onderbezetting. „Wat allemaal blijft liggen, zijn telefoontjes van individuele burgers die problemen aankaarten over hun privacy”, zegt Wolfsen. „Wij pakken zaken op die om grote groepen mensen gaan, of gevoelige gegevens zoals seksuele voorkeur. Theoretisch kunnen we ook met de rest aan de slag, maar we hebben er gewoon niet de mensen voor. Dat is af en toe best pijnlijk. Want wat moet je als gewone burger tegen een grote overheid of een groot bedrijf?”

Wolfsen, oud-rechter en oud-Kamerlid (PvdA), schreef dit voorjaar aan staatssecretaris Klaas Dijkhoff (Veiligheid en Justitie, VVD) dat hij het „realistisch” acht dat zijn waakhond in de nabije toekomst 24 miljoen euro per jaar nodig heeft. Wolfsen baseert zich op een rapport van het Utrechtse adviesbureau Andersson Elffers Felix, waarvoor hij samen met het ministerie van Dijkhoff opdracht heeft gegeven. In de begroting van Veiligheid en Justitie is slechts 12 miljoen voor volgend jaar gereserveerd voor de toezichthouder, wat later oploopt tot 14 miljoen.

„Dat dit te weinig zal blijken, is evident”, zegt Wolfsen. „Toch vind ik het in beginsel positief dat ons budget, nu ruim 7 miljoen, wordt verdubbeld. Ik verwacht dat meer geld wordt vrijgemaakt wanneer de uitvoeringswet van deze verordening eind dit jaar wordt besproken in de Tweede Kamer.”

Meer administratie

Volgens Jurriaan Jansen, specailist in privacyrecht bij advocatenkantoor Norton Rose Fulbright in Amsterdam, lijken de nieuwe privacyregels „best wel” op de oude. Maar er is één groot verschil: Bedrijven moeten goed kunnen aantonen dat ze zich eraan houden. Meer administratie dus. „Je hebt onder de nieuwe wet een verplichting om precies bij te houden wat voor soort persoonsgegevens je van iemand gebruikt, voor welk doel, en wat de wettelijke grondslag is. Dat in kaart brengen en bijhouden is ontzettend veel werk.”

Onder organisaties is sprake van een ‘compliancekoorts’ om te voldoen aan de nieuwe regels. Veel adviseurs, accountants en andere bedrijven spinnen garen bij de privacywet. „Je ziet bureaus wel even een tweedaagse stoomcurus geven over de nieuwe regels, met een wel erg hoog prijskaartje”, zegt Wolfsen.

Zijn organisaties klaar voor de nieuwe regels? Niet echt. Accountants- en adviesbureau PwC publiceerde in juni een onderzoek waaruit bleek dat slechts zo’n 12 procent van de organisaties helemaal is voorbereid op de nieuwe regels.

Jansen: „Je ziet vooral dat privacy ook op de agenda is komen te staan bij veel bedrijven waarvan de corebusiness niet de verwerking van persoonsgegevens is, zoals bouwbedrijven.” De advocaat maakt zich vooral zorgen om kleinere bedrijven, met weinig juridische kennis in huis, zoals webshops.

Ook bij grote ondernemingen is niet alles in orde, weet Wolfsen. „Sommige bedrijven met duizenden werknemers hebben nog geen functionaris gegevensbescherming aangesteld. Daar ben ik echt bezorgd over.”