Toch zoeken veel financiële instellingen meer zekerheid over de twijfelgevallen. Ze willen weten waar ze aan toe zijn. Begrijpt u dat?
“Ik begrijp dat heel goed en we spelen daar waar mogelijk ook op diverse manieren op in. Toevallig hadden we vanmorgen nog een symposium waar maar liefst 700 functionarissen gegevensbescherming op af kwamen. Dat is een uitstekende gelegenheid om de dialoog te voeren. Zij zijn feitelijk de vooruitgeschoven post in het toezicht. Verder doen we veel via branche- en koepelorganisaties waar we dan ook duiding kunnen geven over bepaalde zaken. We hebben wat Q&A’s ontwikkeld rondom het begrip ‘toestemming geven’. En het komende jaar zal er zeker meer casuïstiek ontstaan waar instellingen zich op kunnen baseren om vragen in het grijze gebied goed te beantwoorden. Het is een beetje zoals met schoonheid, het is vaak eenvoudig om aan te geven wat lelijk is, wat wel of niet mooi is, ligt lastiger. Het punt is dat we als toezichthouder vooral kunnen zeggen wat lelijk is, en niet wat mooi is.”
Ik hoor de financiële sector niet specifiek voorbij komen als een sector die speciale aandacht behoeft… Heeft u een specifieke observatie over die sector?
“Naast het feit dat gegevens bij banken en verzekeraars vaak zeer persoonlijk zijn, zijn we nu vooral betrokken bij het intermediairskanaal. In deze sector is niet altijd voldoende kennis over hoe je om moet gaan met het geven van toestemming voor het gebruik van gegevens. En over de vraag of je – volgens de definitie van de AVG – verwerker of verwerkingsverantwoordelijke bent.”
Wat kunnen we komend jaar verwachten van de AP?
“We hebben afgelopen jaar heel veel gedaan aan voorlichting. Het komende jaar kantelen we naar handhaving. Er loopt een aantal onderzoeken op dit moment waarbij ook zaken die de financiële sector raken worden daarin meegenomen.”