Weerwind: AP bepaalt zelf of extra budget naar aanpak datalekken gaat
De Autoriteit Persoonsgegevens moet zelf bepalen of de miljoenen euro's extra budget naar het oppakken van meldingen over datalekken gaan, zo heeft demissionair minister Weerwind voor Rechtsbescherming laten weten. De Autoriteit Persoonsgegevens (AP) richt zich bij het toezicht vooral op partijen die datalekken wel melden, waardoor organisaties die datalekken juist verzwijgen vrij spel lijken te hebben. Dat stelden onderzoekers van Pro Factor die voor het Wetenschappelijk Onderzoek- en Documentatiecentrum onderzoek deden naar de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de meldplicht datalekken en de boetebevoegdheid van de AP. Het rapport werd vorig jaar september naar de Tweede Kamer gestuurd.
"Verder stellen de onderzoekers vast dat de AP in een minderheid van de gevallen reageert op een melding. Ook is het de onderzoekers opgevallen dat het tijdig melden van een datalek geen rol speelt bij het bepalen van de boetehoogte, wat verwerkingsverantwoordelijken geen positieve prikkel zou geven om eigener beweging een melding te doen, temeer nu de pakkans laag is in geval van niet melden", stelt Weerwind in een reactie op het rapport. Daarin staat ook dat de AP zelf zoekt naar mogelijkheden om haar toezicht op de meldplicht datalekken te verbeteren en haar capaciteit zo goed mogelijk daarop in te zetten.
In het Coalitieakkoord is extra budget voor de Autoriteit Persoonsgegevens opgenomen dat oploopt tot 8 miljoen euro structureel per jaar in 2025. Weerwind stelt dat het niet aan hem is om de toezichthouder te vertellen wat het hiermee moet doen. "De AP kan dit budget naar eigen inzicht besteden over zijn taken. Het is niet aan het kabinet om hierin te treden, omdat de AP onafhankelijk is in de wijze waarop zij haar taken en bevoegdheden uitoefent."
Boetes
Een ander punt waar de onderzoekers kritisch over zijn is de manier waarop de AP tot boetes komt. Zo ontbreken de beleidsregels waarin het toezichts- en handhavingsbeleid is vastgelegd. Het is met name onduidelijk op welke manier de toezichthouder een escalatiestrategie toepast. Verder is niet duidelijk hoe het beleid over de matiging van boetes in de praktijk wordt toegepast.
"Het moet voor iedereen duidelijk zijn op welke consistente gronden dit gebeurt en hoe in verschillende situaties met de wegingscriteria wordt omgegaan. Zoals gezegd is het aan de AP zelf om te bepalen welke opvolging aan de aanbevelingen van de onderzoekers zal worden gegeven", merkt de minister op. "De toezichthouder heeft hier een autonome afwegingsruimte waarin ik niet kan treden."
Tot slot vinden de onderzoekers dat de AP boetebesluiten zou moeten publiceren. Publicatie zou volgens de onderzoekers het naleven van de privacywet kunnen bevorderen en een preventieve werking hebben. "In de conceptreactie wordt het voorstel niet opgevolgd om de AP bij wet te verplichten boetebesluiten te publiceren. Ook daartegen verzet zich eerdergenoemde onafhankelijkheid van de AP", reageert Weerwind.
Het belangrijkste is dat er geen verband bestaat tussen de echte schade en de boete. Wat zulke boetes dan ook weer veel gemakkelijker aanvechtbaar maken voor degene die hem opgelegd heeft gekregen. Misschien veel meer schade heeft veroorzaakt. Maar niemand kan dat aannemelijk maken. Omdat er geen bewijzen zijn. Of omdat er nog steeds geen goede privacyschadetaxateurs bestaan.
Er bestaan op dat vlak eigenlijk alleen maar waarden maar geen normen. Omdat ze bij de uitvoeringsorganisatie van de AP dicht bij de bron zitten, kan het handig zijn als ze daar wat mensen voor vrij zouden kunnen maken om wegen te vinden om verdedigbare boetesommetjes te maken. Zomaar willekeurige boetes geven gaat enorm tegen de rechtsstaat in. Zeker als boetebesluiten niet worden gepubliceerd en blijkbaar ook zonder solide motivatie. Dan wordt het eigen bedrijfje spelen. Wat dan zelfs als je privacy heel hoog in je vaandel hebt staan niet goed is. Want dan moet je toch blijven oppassen met die gasten van de AP. Dan meldt je alles netjes en dan krijg je alsnog een boete die op een bowlingavond is besloten na een paar biertjes. Voor je goeie gedrag.
Wetgeving dat boetes gepubliceerd moeten worden doet niets af aan onafhankelijkheid. Het is nog altijd onafhankelijkheid binnen de wet. Zou beter zijn als extra wetgeving niet nodig was maar kennelijk komt AP niet zelf op het idee om effectief te worden.
Wat een land is dit geworden. Afschuiven, afschuiven, afschuiven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
