Met zo weinig boetes schrikt de privacywaakhond nog niet echt af

Privacyklachten Met de privacywet AVG kon de Autoriteit Persoonsgegevens voor het eerst torenhoge boetes opleggen. De organisatie besloot meer aan voorlichting dan handhaving te doen.

Illustratie Pepijn Barnard

Uber: 600.000 euro. Tennisbond KNLTB: 525.000 euro. Het HagaZiekenhuis: 460.000 euro. Een bedrijf – de naam is niet bekendgemaakt – dat vingerafdrukken van werknemers afnam om hun werktijden te registreren: 725.000 euro. En dan nog een onbekend bedrag voor een andere organisatie, waarbij ook de reden voor de boete niet bekend is gemaakt.

Wie kijkt naar de boetes die de Autoriteit Persoonsgegevens (AP) uitdeelde sinds de privacywet AVG van kracht werd, valt vooral op hoe weinig het er zijn.

En dan te bedenken dat bij de invoering ervan – deze week precies twee jaar geleden – de mogelijkheid om torenhoge boetes uit te delen als een speerpunt van de nieuwe Europese wet werd gezien. Jarenlang opereerde privacytoezichthouder AP als een tandeloze tijger, ook omdat de toenmalige privacywetgeving nauwelijks strenge handhaving toeliet. Met de invoering van de AVG zou de toezichthouder voor het eerst kunnen bijten, met boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet.

De tijd is rijp om vaker de tanden te laten zien

Nadia Benaissa Bits of Freedom

Die agressieve aanpak is vooralsnog uitgebleven. „Vijf boetes in twee jaar tijd is gewoon schrikbarend weinig”, vindt Vincent Böhre van privacyorganisatie Privacy First. „Zeker als je weet hoeveel klachten de AP binnenkrijgt.” De afgelopen twee jaar meldden burgers zich 38.800 keer met een privacyklacht bij het loket van de Autoriteit. Dat is meer dan de organisatie aan kan: de toezichthouder neemt de meeste klachten pas na zes maanden in behandeling, vanwege een gebrek aan werknemers.

„Dat er zo weinig boetes worden uitgedeeld, betekent dat de pakkans bij een privacyovertreding extreem klein is”, zegt Böhre. „Daardoor gaan bedrijven het risico incalculeren.”

Boete te laag om pijn te doen

Het verschilt per organisatie of de straf ook echt pijn doet. In totaal werd onder de AVG voor ruim 3 miljoen euro aan boetes uitgedeeld. Techgigant Uber (jaaromzet 14 miljard dollar) kon zijn boete van 600.000 euro voor verzwijgen van een datalek makkelijk betalen. Voor de tennisbond, met een jaaromzet van zo’n 20 miljoen euro, was de boete van 525.000 euro voor de verkoop van contactgegevens van leden een veel grotere kluif.

„Door het kleine aantal boetes is het afschrikwekkende effect er wel een beetje af”, zegt ook Nadia Benaissa van privacyorganisatie Bits of Freedom. Toch heeft ze begrip voor de keuzes van de toezichthouder. „De AP heeft het eerste jaar vooral ingezet op bewustwording. Dat was een logische strategie. De wet was nieuw, ingrijpend en vrij complex, dan kan je niet meteen keihard gaan handhaven. Inmiddels is de tijd wel rijp om vaker de tanden te laten zien.”

Lees ook: De baas mag zijn werknemers toch wél temperaturen

Aleid Wolfsen, voorzitter van de AP, is het niet eens met de kritiek. „We hebben bewust gekozen het eerste jaar in te zetten op voorlichting, maar tegelijk zeiden we vanaf dag één dat we zouden optreden tegen heftige schendingen. En dat hebben we ook gedaan.” Hij noemt behalve Uber het HagaZiekenhuis, dat de beveiliging van medische dossiers niet op orde had. „Vergeet ook niet dat we de afgelopen tijd veel onderzoeken zijn gestart, dus we komen nu echt van wal.” De privacywaakhond gaat onder andere onderzoeken of sociaal netwerk TikTok data van minderjarigen verzamelt en of de Belastingdienst gegevens over de nationaliteit van aanvragers van kinderopvangtoeslag wel rechtmatig verwerkte.

Visie

Wolfsen benadrukt dat het werk van de AP verder reikt dan boetes uitdelen. De waakhond houdt telefonische spreekuren, verwerkt tientallen meldingen van datalekken per dag, adviseert over wetgeving en beleidsplannen (zoals onlangs over de corona-app), handelt klachten van burgers af, stuurt waarschuwingsbrieven en pleegt telefoontje naar bedrijven waarover klachten zijn binnengekomen, controleert het privacybeleid van multinationals, en wordt geacht een visie over privacybescherming te ontwikkelen en uit te dragen.

Bovendien is een agressieve aanpak niet altijd de meest effectieve, zegt Wolfsen. „Vaak is een telefoontje genoeg. Bijvoorbeeld naar een bedrijf dat geld vraagt van mensen die hun persoonsgegevens willen inzien. Dan leggen wij uit hoe de wet werkt en worden onze adviezen gewoon opgevolgd.”

Met goede voorlichting kan de Autoriteit schendingen voor zijn, zegt Wolfsen. „Banken wilden in 2019 data van klanten voor marketingdoeleinden gaan gebruiken. Toen hebben we snel een brief gestuurd waarin we uitlegden dat persoonsgegevens alleen gebruikt mogen worden voor het doel waarvoor ze zijn verzameld. Na die brief was het plan meteen van de baan.”

Vaker naar de rechter

Privacyjurist Arnoud Engelfriet vindt de toezichthouder vooral erg voorzichtig. „Aan de procedures van de AP gaan jaren onderzoek vooraf. Natuurlijk wil je voorkomen dat je boetes en besluiten worden vernietigd door de rechter, maar nu duurt het wel erg lang.” Daardoor blijft het aantal boetes laag, waardoor de afschrikwekkende werking van de wet afneemt. De jurist suggereert dat de AP veel vaker naar de rechter kan stappen voor minder ingrijpende overtredingen, die ook minder tijdrovend zijn. „Dat zet zoden aan de dijk.”

Lees ook: Van wat valt te voorspellen wil je de helft niet weten

Het probleem is dat het werk de toezichthouder nu al over de schoenen loopt. Onder Wolfsen, die in 2016 aantrad, is de organisatie gegroeid van 60 naar 190 voltijdbanen. Een enorme groeispurt, die gelijk opliep met de steeds ruimere bevoegdheden. Maar ook met de huidige bezetting kan de AP nauwelijks voldoen aan haar wettelijke taak de AVG te handhaven, zegt Wolfsen. Hij noemt een onderzoek uit 2017 van adviesfirma AEF waaruit bleek dat de organisatie met de huidige werkdruk tussen de 350 en 400 voltijdbanen zou moeten tellen. Eind dit jaar komt KPMG met een nieuw rapport over de capaciteit.

Een gevolg van die onderbezetting is dat multinationals lang moeten wachten op een handtekening van de toezichthouder. Bedrijven met vestigingen buiten de EU moeten een interne gedragscode opstellen voor dataverkeer naar afdelingen in landen waar de AVG niet van kracht is. De Autoriteit controleert die gedragscodes, maar komt daar te weinig aan toe, erkent Wolfsen. „Dat schaadt de bedrijfsactiviteit en de economie van Nederland. Bedrijven moeten nu gemiddeld vijf jaar wachten op een handtekening, omdat het gewoon niet lukt.”

Leidt het gebrek aan capaciteit ertoe dat grote privacyschendingen ongezien blijven? „Dat sluit ik niet uit. We proberen wel de ernstigste schendingen waarop wij worden geattendeerd aan te pakken, maar het valt niet te ontkennen dat ook zaken blijven liggen. Dat betekent dat de vrijheidsrechten van mensen in gevaar zijn. Wij zijn de enigen die kunnen optreden als algoritmes blijken te discrimineren, als in persoonlijke medische gegevens wordt gehandeld of als politieke partijen verkiezingen proberen te manipuleren met microtargeting. We zijn een bondgenoot van burgers, maar dan moet je wel kunnen leveren.”