ZBC Kennisbank

Meerjarenbeleid Autoriteit Persoonsgegevens schept duidelijkheid

 

De Autoriteit Persoonsgegevens (AP) is met haar meerjarenbeleid gekomen. Zij legt de komende jaren in het toezichtwerk extra nadruk op drie focusgebieden: datahandel, digitale overheid en artificiële intelligentie en algoritmes. Organisaties en verenigingen die zich hiermee niet bezighouden, kunnen dus weer lekker gaan slapen.

De AP maakte haar meerjarenbeleid bekend op 11 november 2019 met het visiedocument ‘Dataprotectie in een digitale samenleving’. Extra nadruk op de genoemde thema’s is volgens de AP, nodig om de bescherming van persoonsgegevens in Nederland te borgen. Misbruik of onverantwoordelijk gebruik van persoonsgegevens kan bijvoorbeeld leiden tot foutieve beslissingen, uitsluiting van mensen en discriminatie. Tot en met 2023 geven deze focusgebieden onder meer richting aan de uitvoering van de wettelijke taken van de AP.

Voorzitter Aleid Wolfsen: “Bescherming van persoonsgegevens is een belangrijk grondrecht dat er is om ons tegen misbruik te beschermen. Het gaat in de kern over zeggenschap, over autonomie, over dat wij als burgers zelf gaan over wat we met wie delen. Ik hoor nog veel te vaak onterecht dat de privacywet ontwikkelingen in de weg staat. Het is geen kwestie van of-of, maar van en-en. Zorgvuldig omgaan met persoonsgegevens is onderdeel van ontwikkeling en innovatie.”

Trends en ontwikkelingen

In een nieuwsbericht van 11 november op de site van de AP staat hierover het volgende te lezen:

“Steeds meer apparaten en diensten verzamelen persoonsgegevens, waardoor ze steeds meer van ons weten. Dit gebeurt zonder dat we altijd precies weten wat er met die gegevens gebeurt en wie er toegang toe heeft. Dit maakt ons en onze democratische rechtstaat kwetsbaar.”

De AP ziet drie grote trends die van invloed zijn op de bescherming van persoonsgegevens:

  • doorgroei van de datasamenleving,
  • toename van digitaal onrecht,
  • toename van privacybewustzijn.

In vervolg op de gesignaleerde trends kiest de AP voor drie focusgebieden:

  • Datahandel;
    Data maken producten en diensten slimmer en deze producten en diensten creëren vervolgens weer meer data. Dit heeft voordelen, maar ook nadelen: er vindt steeds meer ongeoorloofde doorverkoop plaats van persoonsgegevens aan derden. Mensen verliezen hierdoor steeds meer grip op hun gegevens en daarmee op hun leven.
  • Digitale overheid;
    Centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over een grote hoeveelheid – vaak gevoelige en bijzondere – persoonsgegevens. De overheid werkt gericht aan het inzetten van persoonsgegevens. Het is van belang dat de overheid verantwoordelijk omgaat met persoonsgegevens, zodat mensen niet onnodig in de knel kunnen komen.
  • AI en algoritmes;
    Steeds meer bedrijven en organisaties maken gebruik van algoritmes en AI. Dit biedt voordelen en leidt tot nieuwe nuttige toepassingen. Maar de inzet van AI en algoritmes kent ook risico´s en schadelijke effecten. Onverantwoordelijk gebruik van algoritmes kan leiden tot foutieve beslissingen, tot uitsluiting van mensen en tot discriminatie. De AP is als toezichthouder verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens, en daarmee ook op de toepassing van AI en algoritmes waarbij persoonsgegevens worden gebruikt.

Deze thema’s passen bij de missie van de AP en spelen in meerdere sectoren. De AP kan hier het verschil maken door grenzen te markeren ten aanzien van wat er wel en niet kan onder de AVG. De focusgebieden geven onder meer richting aan de uitvoering van de wettelijke taken van de AP.

Risicogestuurd toezicht

De AP is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het toezichtveld is omvangrijk: internationale en nationale bedrijven en organisaties, de gehele overheid, inclusief politie en justitie en ook verenigingen, scholen, stichtingen en individuele burgers.

De AP houdt daarom risicogestuurd toezicht. Dat betekent dat de AP is gespitst op onderwerpen met een groot risico voor burgers. Daarbij weegt de AP af om hoeveel data het gaat en hoe gevoelig die data zijn. Op basis daarvan gebruikt de AP een of meerdere toezichtsinstrumenten, zoals normuitleg, wetgevingsadvies, voorlichting of handhaving. Tot zover het nieuwsbericht van de AP.

De AP bevestigt hiermee de juistheid van de visie van ZBC op de AVG, zoals wij die hebben beschreven in onder andere het artikel ‘Pragmatische benadering AVG en privacy’. Hierin gaven we aan dat het bij privacy gaat om een risk-driven aanpak, waarbij het een illusie is dat je voor 100% aan de AVG kunt voldoen en dat dit dus niet erg is, als je tenminste het belang van de betrokkene aantoonbaar meeweegt in je beleid.

In haar nieuwe strategie toont de AP zich eindelijk een toezichthouder die de korfbalclub en de bakker op de hoek links laat liggen en juist wil optreden tegen nietsontziende databrokers, die onder pseudoniem van nietszeggende bedrijfsnamen steenrijk worden met de doorverkoop van onze data, onrechtmatig en behendig leeg geschraapt van het web en uit openbare databases zoals het Kadaster, het Handelsregister en van Twitter. (Zie ook ‘Overheid weigert controle op inbreuk privacy’). En de AP wil ook een datawaakhond zijn die terugblaft naar ondoordringbare overheidsinstanties met opsporingssystemen als het SysteemRisicoIndicatie (SyRi), waarin slecht beveiligde overheidsdatabanken aan elkaar worden geknoopt om vermeende fraudeurs met uitkeringen en toeslagen op te sporen. (Zie ook ‘Ook in Nederland lapt de overheid privacy aan haar laars’), zoals bijvoorbeeld onlangs weer bleek uit de opvangtoeslag affaire waarbij de belastingdienst van burgers onterecht tientallen miljoenen euro’s terug vorderde.

Is de AVG dan een non-issue?

Als u op een nette manier omgaat met persoonsgegevens dan zult u geen last hebben van de AP en zult u geen boetes krijgen. Er zit echter één maar aan. U zult uw gegevens wel zodanig moeten beveiligen, dat onbevoegden geen toegang kunnen krijgen tot complete databases. Dat betekent dus dat uw informatiebeveiliging op orde moet zijn. Dat was ook de grondslag van de boete die het Haga ziekenhuis kreeg opgelegd door de AP. (Zie ook ‘Zorginstellingen hoeven niet te schrikken van de boete voor het HagaZiekenhuis’). Er zaten lekken in de beveiliging en de opdracht aan het Haga ziekenhuis was om die te repareren.

Het is daarom goed om de aandacht weer te verleggen van de letter van de wet naar een rationele inschatting van de risico’s voor betrokkenen en ervoor te zorgen dat die risico’s voldoende worden beheerst. De AP zegt tenslotte zelf: “De AP is gespitst op onderwerpen met een groot risico voor burgers. Daarbij weegt de AP af om hoeveel data het gaat en hoe gevoelig die data zijn.” Het gaat niet om de verjaardagskalender, of de lunchlijst, maar als de gevolgen voor burgers groot zijn acteert de AP weldegelijk. Kortom, beveiligen moet, maar wel pragmatisch. (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’).

Wie wil leren op een praktische en pragmatische manier privacy risico’s te inventariseren en te beheersen: ZBC organiseert meerdere malen per jaar de cursus Privacy Officer in de praktijk.

Bron: ‘AP legt focus in toezicht op datahandel, digitale overheid en AI’. Site AP. 11 november 2019
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 3 december 2019


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *