6 minuten leestijd 1 jun 2019
Een jaar na dato is de AVG niet langer voer voor juristen alleen

We kantelen van voorlichting naar handhaving

Door

EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten

6 minuten leestijd 1 jun 2019

Volgens Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens zitten we nog maar in de middeleeuwen van een enorme maatschappelijke digitalisering.

Van rechter naar Tweede Kamerlid naar burgemeester naar voorzitter van de Autoriteit Persoonsgegevens. Wolfsen heeft in zijn loopbaan in tal van hoedanigheden middenin het omgaan met recht gestaan en heeft er zichtbaar plezier in om nu met ‘zijn’ AP toezicht te houden op de bescherming van de privacy van burgers. Ook al omdat het volgens hem gaat om de moeder van alle grondrechten. Volgens de redenering dat bijvoorbeeld vrijheid van godsdienst staat of valt met privacy: “Het is heel bijzonder dat we voor dit grondrecht met de invoering van de AVG nu een eigen handhaving hebben, dat is voor geen enkel ander grondrecht het geval. We mogen daar ook best trots op zijn. Ik vind het bijvoorbeeld mooi om te zien hoe de aanvankelijke scepsis in de Verenigde Staten nu omslaat naar interesse over hoe we dat in Europa regelen.”

Terugkijkend op de implementatie van de AVG, wat is u opgevallen hier in Nederland?

“De enorme bewustwording. Nederlanders beseffen de waarde van privacy, en uit enquêtes blijkt ook dat Nederlandse burger op dat punt hoger scoort dan alle andere burgers in andere Europese landen. Wellicht heeft dat ook te maken met het feit dat we digitaal op veel fronten in de kopgroep zitten, en dat privacy juist door digitalisering een steeds relevanter thema wordt. Dat is bijvoorbeeld te zien in de vergaande digitalisering van financiële diensten waarin Nederland echt een koploper is. Je bankrekening kan heel veel vertellen over jou, van je politieke kleur tot je seksuele voorkeur. En dus is het zaak om daar zorgvuldig mee om te gaan. Kleine anekdote: ik kwam onlangs thuis van een tweedaagse reis naar Brussel en moest een euro betalen voor de stalling van mijn fiets op het station in Utrecht. Toen ik thuis kwam had mijn vrouw de piepers al bijna klaar, terwijl ik haar geen bericht had gestuurd dat ik onderweg was. Wat bleek: ze had op de bankapp net gezien dat ik die euro had betaald en wist dat ik er aankwam.”

Toen de AVG kwam gaf de AP een inkijkje in de prioriteiten in het toezicht op de naleving. De financiële sector stond niet tussen die prioriteiten. Wat kunnen we daaruit afleiden?

We hebben ons toezicht tweeledig ingericht: enerzijds op basis van de klachten die we binnenkrijgen, en anderzijds op basis van maatschappelijke zorgen zijn over de veiligheid en de privacy van gegevens. We moeten wel keuzes maken over waar we meer of minder werk van maken omdat we met 170 FTE’s niet alles kunnen doen. We besteden momenteel veel capaciteit in de zorg en bij overheden. Ten aanzien van de financiële sector ben ik overigens positief gestemd. Financiële instellingen lijken het thema goed opgepakt te hebben en hebben bovendien ervaring met toezichthouders op andere domeinen. Dat helpt waarschijnlijk ook.”

Het gaat om de open normen invullen naar de geest naar de wet

Daarover gesproken: is er veel overleg met andere toezichthouders?

"We hebben periodiek overleg met DNB en AFM. Het is heel waardevol, niet alleen om signalen maar ook beelden uit te wisselen. We moeten er ook voor zorgen dat er geen overlap ontstaat in het toezicht. Een deel van de privacytaken leek in eerste instantie bij DNB terecht te komen, maar dat is nu toch ondergebracht bij de AP. Ik vind dat een goede zaak omdat wij – in tegenstelling tot DNB – een Europees mechanisme hebben met alle andere privacytoezichthouders om toe te zien.”

De invoering van wetgeving zoals de AVG leidt vrijwel onvermijdelijk tot lastige dilemma’s. De sector zoekt in de spreekwoordelijke grijze gebieden dan ook naar houvast en kijkt daarvoor naar de AP. Kunt u die ‘guidance’ geven?

“Er is sprake van open normen in de AVG en dan is het heel logisch dat die dilemma’s er zijn. Het is maar goed ook dat we met open normen werken want het gaat om een heel breed domein waar de ontwikkelingen razendsnel gaan en waar een rule based benadering snel door de ontwikkelingen in de praktijk zou worden ingehaald. We staan voor mijn gevoel nog maar in de middeleeuwen als het gaat om de maatschappelijke digitale transformatie, en er komt dus nog heel veel op ons af. Bij de bescherming van de privacy moeten we kunnen meeademen met de golven van de nieuwe technologie. Open normen maken dat mogelijk.

Toezicht uitoefenen met open normen in de hand betekent dat je ook kijkt naar de geestesgesteldheid waarmee organisaties de wet naleven en omgaan met persoonlijke gegevens. Neem bijvoorbeeld het thema privacy by design, waar sprake is van zo’n open norm. Organisaties moeten bij de ontwikkeling van nieuwe systemen of applicaties vanaf het begin de privacy de juiste plek geven in de software. Dat is een prachtig principe en waar wij als toezichthouder dan vooral naar kijken is of er bij de opdrachtverstrekking serieuze aandacht is voor privacy. Overigens is dat ook in andere domeinen van het recht heel gebruikelijk. In het civiele recht kennen we het begrip goed huisvader in dat verband. De AVG kent bijvoorbeeld met een beginsel als ‘passend’ een soortgelijk basisprincipe.”

 Aleid Wolfsen
voorzitter van de Autoriteit Persoonsgegevens 

Privacy is de moeder van alle grondrechten

Toch zoeken veel financiële instellingen meer zekerheid over de twijfelgevallen. Ze willen weten waar ze aan toe zijn. Begrijpt u dat?

“Ik begrijp dat heel goed en we spelen daar waar mogelijk ook op diverse manieren op in. Toevallig hadden we vanmorgen nog een symposium waar maar liefst 700 functionarissen gegevensbescherming op af kwamen. Dat is een uitstekende gelegenheid om de dialoog te voeren. Zij zijn feitelijk de vooruitgeschoven post in het toezicht. Verder doen we veel via branche- en koepelorganisaties waar we dan ook duiding kunnen geven over bepaalde zaken. We hebben wat Q&A’s ontwikkeld rondom het begrip ‘toestemming geven’. En het komende jaar zal er zeker meer casuïstiek ontstaan waar instellingen zich op kunnen baseren om vragen in het grijze gebied goed te beantwoorden. Het is een beetje zoals met schoonheid, het is vaak eenvoudig om aan te geven wat lelijk is, wat wel of niet mooi is, ligt lastiger. Het punt is dat we als toezichthouder vooral kunnen zeggen wat lelijk is, en niet wat mooi is.”

Ik hoor de financiële sector niet specifiek voorbij komen als een sector die speciale aandacht behoeft… Heeft u een specifieke observatie over die sector?

“Naast het feit dat gegevens bij banken en verzekeraars vaak zeer persoonlijk zijn, zijn we nu vooral betrokken bij het intermediairskanaal. In deze sector is niet altijd voldoende kennis over hoe je om moet gaan met het geven van toestemming voor het gebruik van gegevens. En over de vraag of je – volgens de definitie van de AVG – verwerker of verwerkingsverantwoordelijke bent.”

Wat kunnen we komend jaar verwachten van de AP?

“We hebben afgelopen jaar heel veel gedaan aan voorlichting. Het komende jaar kantelen we naar handhaving. Er loopt een aantal onderzoeken op dit moment waarbij ook zaken die de financiële sector raken worden daarin meegenomen.”

Samenvatting

Van rechter naar Tweede Kamerlid naar burgemeester naar voorzitter van de Autoriteit Persoonsgegevens. Wolfsen heeft in zijn loopbaan in tal van hoedanigheden middenin het omgaan met recht gestaan en heeft er zichtbaar plezier in om nu met ‘zijn’ AP toezicht te houden op de bescherming van de privacy van burgers. In gesprek met Nicolette Opdam (partner HVG Law) geeft hij zijn visie op wat dat betekent voor de handhaving van de AVG.

Over dit artikel

Door

EY Nederland

Multidisciplinaire organisatie voor zakelijke diensten