Weerwind: AP bepaalt zelf of extra budget naar aanpak datalekken gaat
De Autoriteit Persoonsgegevens moet zelf bepalen of de miljoenen euro's extra budget naar het oppakken van meldingen over datalekken gaan, zo heeft demissionair minister Weerwind voor Rechtsbescherming laten weten. De Autoriteit Persoonsgegevens (AP) richt zich bij het toezicht vooral op partijen die datalekken wel melden, waardoor organisaties die datalekken juist verzwijgen vrij spel lijken te hebben. Dat stelden onderzoekers van Pro Factor die voor het Wetenschappelijk Onderzoek- en Documentatiecentrum onderzoek deden naar de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), de meldplicht datalekken en de boetebevoegdheid van de AP. Het rapport werd vorig jaar september naar de Tweede Kamer gestuurd.
"Verder stellen de onderzoekers vast dat de AP in een minderheid van de gevallen reageert op een melding. Ook is het de onderzoekers opgevallen dat het tijdig melden van een datalek geen rol speelt bij het bepalen van de boetehoogte, wat verwerkingsverantwoordelijken geen positieve prikkel zou geven om eigener beweging een melding te doen, temeer nu de pakkans laag is in geval van niet melden", stelt Weerwind in een reactie op het rapport. Daarin staat ook dat de AP zelf zoekt naar mogelijkheden om haar toezicht op de meldplicht datalekken te verbeteren en haar capaciteit zo goed mogelijk daarop in te zetten.
In het Coalitieakkoord is extra budget voor de Autoriteit Persoonsgegevens opgenomen dat oploopt tot 8 miljoen euro structureel per jaar in 2025. Weerwind stelt dat het niet aan hem is om de toezichthouder te vertellen wat het hiermee moet doen. "De AP kan dit budget naar eigen inzicht besteden over zijn taken. Het is niet aan het kabinet om hierin te treden, omdat de AP onafhankelijk is in de wijze waarop zij haar taken en bevoegdheden uitoefent."
Boetes
Een ander punt waar de onderzoekers kritisch over zijn is de manier waarop de AP tot boetes komt. Zo ontbreken de beleidsregels waarin het toezichts- en handhavingsbeleid is vastgelegd. Het is met name onduidelijk op welke manier de toezichthouder een escalatiestrategie toepast. Verder is niet duidelijk hoe het beleid over de matiging van boetes in de praktijk wordt toegepast.
"Het moet voor iedereen duidelijk zijn op welke consistente gronden dit gebeurt en hoe in verschillende situaties met de wegingscriteria wordt omgegaan. Zoals gezegd is het aan de AP zelf om te bepalen welke opvolging aan de aanbevelingen van de onderzoekers zal worden gegeven", merkt de minister op. "De toezichthouder heeft hier een autonome afwegingsruimte waarin ik niet kan treden."
Tot slot vinden de onderzoekers dat de AP boetebesluiten zou moeten publiceren. Publicatie zou volgens de onderzoekers het naleven van de privacywet kunnen bevorderen en een preventieve werking hebben. "In de conceptreactie wordt het voorstel niet opgevolgd om de AP bij wet te verplichten boetebesluiten te publiceren. Ook daartegen verzet zich eerdergenoemde onafhankelijkheid van de AP", reageert Weerwind.
Het belangrijkste is dat er geen verband bestaat tussen de echte schade en de boete. Wat zulke boetes dan ook weer veel gemakkelijker aanvechtbaar maken voor degene die hem opgelegd heeft gekregen. Misschien veel meer schade heeft veroorzaakt. Maar niemand kan dat aannemelijk maken. Omdat er geen bewijzen zijn. Of omdat er nog steeds geen goede privacyschadetaxateurs bestaan.
Er bestaan op dat vlak eigenlijk alleen maar waarden maar geen normen. Omdat ze bij de uitvoeringsorganisatie van de AP dicht bij de bron zitten, kan het handig zijn als ze daar wat mensen voor vrij zouden kunnen maken om wegen te vinden om verdedigbare boetesommetjes te maken. Zomaar willekeurige boetes geven gaat enorm tegen de rechtsstaat in. Zeker als boetebesluiten niet worden gepubliceerd en blijkbaar ook zonder solide motivatie. Dan wordt het eigen bedrijfje spelen. Wat dan zelfs als je privacy heel hoog in je vaandel hebt staan niet goed is. Want dan moet je toch blijven oppassen met die gasten van de AP. Dan meldt je alles netjes en dan krijg je alsnog een boete die op een bowlingavond is besloten na een paar biertjes. Voor je goeie gedrag.
Wetgeving dat boetes gepubliceerd moeten worden doet niets af aan onafhankelijkheid. Het is nog altijd onafhankelijkheid binnen de wet. Zou beter zijn als extra wetgeving niet nodig was maar kennelijk komt AP niet zelf op het idee om effectief te worden.
Wat een land is dit geworden. Afschuiven, afschuiven, afschuiven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.