Brussel: te weinig mankracht en coördinatie bij handhaving AVG

Evaluatie AVG Twee jaar na de invoering van de Europese privacywet verschilt de uitwerking ervan binnen Europa nog sterk, constateert de Europese Commissie.

Niet alle nationale toezichthouders hebben voldoende financiële middelen en mankracht om alle klachten af te handelen. Foto Geert Vanden Wijngaert
Niet alle nationale toezichthouders hebben voldoende financiële middelen en mankracht om alle klachten af te handelen. Foto Geert Vanden Wijngaert

Er is nog onvoldoende Europese coördinatie bij het toepassen van de nieuwe privacywetgeving. Twee jaar na de invoering van de zogeheten Algemene Verordening Gegevensbescherming (AVG) verschilt de uitwerking ervan binnen Europa nog sterk. Dat constateert de Europese Commissie deze woensdag in een evaluatierapport over de AVG. Als voorbeeld noemt de Commissie de minimumleeftijd waarop kinderen toestemming mogen geven voor het gebruik van hun gegevens door sociale media. Voor sommige landen ligt die op 16, in andere landen lager. Landen verschillen daarnaast ook nog sterk in hoe ze de afweging maken tussen databescherming en vrijheid van meningsuiting en informatie.

Toch toont de Commissie zich vooral tevreden over de toepassing van de wet. De Europese privacywet wordt in Brussel gezien als een belangrijke verworvenheid. „Er was aanvankelijk paniek dat deze wet het einde van de wereld zou betekenen”, aldus Eurocommissaris Vera Jourova woensdag. „Dat is niet gebeurd. Integendeel: het heeft onze burgers controle gegeven over hun gegevens.”

Forse boetes

De AVG, die eind mei 2018 in werking trad, verplicht organisaties veel duidelijker vast te leggen op welke manier persoonsgegevens worden verwerkt en bewaard. Gaan ze de fout in, dan kunnen nationale toezichthouders forse boetes opleggen. Tussen mei 2018 en november 2019 werden in Europa in totaal 785 boetes uitgedeeld, wat de Commissie ziet als bewijs van het succes van de wet. Tegelijk is het nog te vroeg de balans op te maken. Veel klachten die gaan over grote bedrijven die in verschillende lidstaten actief zijn, waaronder Facebook en Google, zijn nog in behandeling.

Lees ook: Met zo weinig boetes schrikt de privacywaakhond nog niet echt af

Dat niet alle nationale toezichthouders voldoende financiële middelen en mankracht hebben om de klachten af te handelen is een blijvende zorg. Die zorgen richten zich specifiek op Ierland en Luxemburg, waar de Europese hoofdkantoren van grote techbedrijven gevestigd zijn en die daarom volgens de Commissie een sterkere toezichthouder nodig hebben dan je op grond van hun inwoneraantal zou verwachten. Ook in Nederland klonk de afgelopen jaren kritiek dat de Autoriteit Persoonsgegevens onvoldoende zou zijn toegerust om klachten af te handelen. AP-voorzitter Aleid Wolfsen liet tegenover NRC recent weten tevreden te zijn over de handhaving, maar ook nog altijd mensen tekort te komen. De AP groeide sinds 2016 van 70 naar bijna 190 voltijdsbanen.

Naast meer financiële middelen, ziet de Commissie ook graag meer samenwerking tussen de toezichthouders. Vooral als het gaat om duidelijkheid en bijstand voor kleine bedrijven, die nog altijd worstelen om te voldoen aan de strengere richtlijnen. Meer samenwerking is bovendien gewenst omdat nieuwe technologie als kunstmatige intelligentie en gezichtsherkenning ook getoetst moeten worden.