Het is vandaag https://en.wikipedia.org/wiki/Data_Privacy_Day

Een juiste diagnose van Noyb.

Het privacytoezicht is elke geloofwaardigheid kwijtgeraakt. Met vrijblijvende woorden proberen toezichthouders zoals de AP om de burgers in slaap te sussen, in plaats van ze te beschermen.

Meer in het algemeen doet deze problematiek zich ook voor in de "rechtsstaat" ("the rule of law", "the international rules-based order", etc.) in brede zin, waar het gaat om de verhouding tussen:
- overheden en burgers;
- grote, multinationale bedrijven en burgers;
- publieke dienstverleners (bijv. energiebedrijven, banken, openbaar vervoerbedrijven) en burgers;
- miljardairs en burgers.

Aan alle kanten worden de effectueerbare rechten van burgers afgebroken.

De mensen die het relatief goed hebben, tonen zich hier blind voor en willen ook beslist niet worden wakkergeschud, zo heb ik zelf ervaren als ik dat eens voorzichtig of soms minder voorzichtig probeerde.

Dus ja, de wal zal het schip moeten keren. Dat zal niet leuk worden. Daarbij zullen veel onschuldige slachtoffers vallen. Die vallen trouwens nu ook al (denk: Toeslagenschandaal en al die kleinere affaires die niet in het nieuws komen).

Als de elite die over invloed en beslismacht beschikt, geen "bijltjesdag" wil, voor henzelf of hun kinderen/kleinkinderen, dan zou ik ze adviseren om toch wat meer empathie en waarheidsliefde in hun grijze celletjes toe te laten. Dat is uiteindelijk beter voor "ons" allemaal.

De andere optie is: "Na mij de zondvloed." Dat kan ook. Dan krijg je op enig moment wel een zondvloed...

M.J.

De analyse van noyb is juist en raakt de kern van het probleem: de AVG wordt structureel onvoldoende gehandhaafd, waardoor fundamentele rechten van betrokkenen in de praktijk grotendeels illusoir blijven.

De AVG kent burgers vergaande rechten toe en verplicht toezichthouders tot effectieve, evenredige en afschrikkende handhaving. In de praktijk zien we echter het tegenovergestelde patroon:
- zeer lage percentages boetebesluiten;
- langdurige procedures die jaren in beslag nemen;
- een voorkeur voor waarschuwingen en informele afdoening, zelfs bij ernstige en herhaalde overtredingen;
- beperkte opvolging van opgelegde boetes en corrigerende maatregelen.

Dit leidt tot een structureel handhavingstekort, waarin met name grote, kapitaalkrachtige organisaties en vooral multinationals; de facto weinig risico lopen bij het overtreden van de AVG. Het economische voordeel van niet-naleving weegt daarmee zwaarder dan het juridische risico, wat haaks staat op het afschrikkende karakter dat de AVG beoogt.

Het probleem is niet dat de AVG inhoudelijk tekortschiet, maar dat toezichthouders hun handhavingsrol onvoldoende waarmaken. Hierdoor verschuift de AVG van een bindend rechtsinstrument naar een normatief kader met vooral symbolische waarde. Voor burgers betekent dit dat hun rechten formeel bestaan, maar feitelijk moeilijk of niet afdwingbaar zijn.

Deze situatie ondermijnt niet alleen het vertrouwen in privacy toezicht, maar ook in de rechtsstatelijke belofte dat fundamentele rechten daadwerkelijk bescherming bieden tegen machtsongelijkheid tussen burgers en grote organisaties. Zolang structurele overtredingen nauwelijks consequenties hebben, ontstaat een ongelijk speelveld waarin rechtsbescherming afhankelijk wordt van macht, middelen en uithoudingsvermogen.

Als toezichthouders en beleidsmakers deze ontwikkeling laten voortbestaan, normaliseren zij feitelijk AVG-overtredingen. Dat is niet alleen juridisch problematisch, maar ook maatschappelijk destabiliserend. Effectieve AVG-handhaving is geen luxe of idealisme, maar een noodzakelijke voorwaarde voor geloofwaardige grondrechtenbescherming in een digitale samenleving.

Nu ja, een iets evenwichtere benadering zou de constatering zijn dat het met het onze zogenaamde ondernemers dweilen met de kraan open is. In mijn overzichtje tel ik ruim 10 Inspecties en over de 30 Autoriteiten die de smeerboel een beetje in de gaten en binnen de perken moeten zien te houden.

Het aantal inspecties en "Autoriteiten" zegt niets over wat ze in de praktijk doen of juist niet doen. Ik heb zelf de afgelopen tien jaar vooral te maken gehad met de AP. In die tijd heeft de AP veel meer energie (menskracht) besteed aan het gladstrijken van plooien in de façade, dan aan doortastend onderzoek en handhaving.

Nu inmiddels blijkt dat die façade door een steeds groter publiek niet geloofwaardig meer wordt gevonden, blijkt ook dat het gladstrijken van al die plooien allemaal verspilde energie is geweest - althans, gezien vanuit het perspectief van burgers en vanuit het perspectief van een overheid die geloofwaardig wil zijn.

Vanuit het perspectief van Big Tech en overheden die totale surveillance willen, is die energieverspilling van de AP echter heel nuttig geweest, want daarmee zijn mensen in slaap gesust en zijn er steeds excuzen gefabriceerd om zaken niet werkelijk aan te pakken, waardoor Big Tech en surveillance-gerichte overheden relatief ongehinderd hun gang konden gaan bij het opbouwen van een enorm surveillance-apparaat.

De AP heeft dus feitelijk vooral de wensen van Big Tech en surveillance-gerichte overheden uitgevoerd.

Daar zou AP-voorzitter Aleid Wolfsen zich over moeten verantwoorden ten overstaan van regering en volksvertegenwoordigers. Geen zorgen, dat gaat niet gebeuren. Zijn echte opdrachtgevers zitten niet in de Tweede Kamer. En in de ogen van Big Tech en van Surveillance-EU heeft hij zijn werk best adequaat gedaan. Tijd rekken en ondertussen de illusie wekken dat de AP haar taak naar beste kunnen probeerde te vervullen, zodat er geen schandaal ontstond met voldoende kracht om de politieke agenda te beïnvloeden.

Sommige mensen in de lagere echelons van de AP hebben waarschijnlijk oprecht geprobeerd het goede te doen, maar moesten werken binnen de "kaders" en het "beleid" van hun bazen.

Wat betreft de door jou genoemde ondernemers, hoeft het helemaal niet "dweilen met de kraan open" te zijn. Als de AP consequent krachtige maatregelen had genomen, en daarbij ook door de rechterlijke macht was gesteund, was het mogelijk geweest om ondernemers allang voldoende te disciplineren voor wat betreft naleving van de letter en de geest van de AVG.

En trouwens voorafgaand aan de AVG (vastgesteld 2016, in werking 2018) ook al, want de Wbp (Wet bescherming persoonsgegevens) werd door de AP (toen nog CBP - College bescherming persoonsgegevens) ook niet serieus gehandhaafd. Dat was nog onder Jacob Kohnstamm. Die handhaving had op basis van artikel 8 EVRM en een in overeenstemming daarmee geïnterpreteerde Wbp prima gekund. Alleen was dat politiek(!!!) niet haalbaar. Het is een
politiek probleem dat de rechtsstaat op het gebied van privacy structureel niet gerespecteerd is en niet gerespecteerd wordt - ondanks alle hoogdravende woorden over hoe belangrijk onze bestuurders en politici de rechtsstaat zeggen te vinden.

In naam is de AP als toezichthouder onafhankelijk van politieke aansturing. In de feitelijke realiteit niet.
Hetzelfde geldt voor onze zogenaamd "onafhankelijke" bestuursrechters.

M.J.

AP vraagt, en dat doet het al langer, om een verdubbeling van zijn budget:
https://ibestuur.nl/data-en-ai/ethiek/autoriteit-persoonsgegevens-heeft-verdubbeling-budget-nodig
Te weinig budget hebben om je werk goed te kunnen doen is simpelweg een garantie dat je het ook echt niet goed kan doen. Voert AP dat alleen maar als smoes aan volgens jou of zou er iets in kunnen zitten?

Ik weet dat de AP al jaren vraagt om een sterke verhoging (ja, zelfs verdubbeling) van haar budget. Ik ben daar zelf ook altijd een voorstander van geweest. Sterker nog, ik heb daar al voor gepleit toen de AP dat zelf nog niet publiekelijk durfde te doen. Inderdaad heeft de AP nu te weinig budget om alles te doen wat zij zou moeten doen op grond van haar wettelijke taak.

Tegelijk heb ik gezien hoe de AP omgaat met zaken waarbij zij wel gebruik maakt van haar thans beschikbare budget, en dan zie ik dat het thans beschikbare budget niet goed wordt besteed. Namelijk aan pogingen om zaken weg te wuiven, in plaats van aan pogingen om zaken goed aan te pakken.

Meer budget is zeker nodig, maar op zichzelf niet genoeg. Er is ook een andere attitude en op onderdelen een andere werkwijze nodig.

M.J.

Opzich niet zo vreemd, de toezichthouders hebben al in 2018 of 2017 aangegeven dat boetes iets van "last resort" is.
Het probleem is echter dat waarschuwing niet helpen. Ze kunnen trouwens nog veel meer waaronder: dwingen de verwerkingen aan te passen en de verwerking geheel of gedeeltelijk al-dan-niet tijdelijk stil leggen/verbieden.
het probleem lijkt echter dat ze en daar geen gebruik van maken en soms zelfs, zoals de DPC, de privacy schenders van advies en bijstand voorzien.

Buiten dat de DPC die 4 miljard nog moet ophalen, worden boetes gewon ingecalculeerd als cost-of-business.
Microsoft begrote 400k voor een boete aan LinkediN, dit werd uiteindelijk 350k dus 50k winst!

Dat budget probleem is wel degelijk een probleem. Daarnaast danst het AP niet naar de pijpen van Amerikaanse big tech, die zitten allemaal in Ierland en vallen dus als bedrijf onder de DPC daar en die organisatie is pas echt problematisch als het om handhaving gaat of liever het gebrek daaraan.
De voorzitter van het AP heeft wel een ander issue: de cultuur binnen de organisatie waardoor veel echt goede werknemers vertrokken zijn.
Mogelijk is dat + budget een veel groter issue dan verneemde partijdigheid.

Overigens maak je geen zorgen, als de Europese Commissie haar digitale omnibus (geschreven op basis van big tehc tech lobby stukken) zijn zin krijgt, heet het AP straks tijd over.

Dat merk je van alle kanten. Bedrijven (inclusief theaters poppodia etc) blijven je bestoken met ongewenste e-mails, zelfs als je hiervoor de toestemming ingetrokken hebt (overbodig aangezien die er nooit geweest is).
Zeer recentelijk hier ook weer met mijn energieleverancier. Waar zij zich nu het meeste druk over maken (excuses in de voicemail was blijkbaar teveel gevraagd) is dat de klant nu niet meer per e-mail bereikbaar is.

Kun je niet lezen wat ik schrijf? Ik ben het met je eens op dit punt. Het is een probleem. Het budget moet hoger dan nu.
Supernaíef om te denken dat Big Tech geen invloed heeft op het beleid van de AP. Big Tech is ook in Nederland volop actief. Denk bijvoorbeeld alleen al aan Google die (sub)verwerker is voor talloze Nederlandse verwerkingsverantwoordelijken. Big Tech heeft ook in Nederland grote belangen, inclusief belangen bij lakse handhaving en bij jurisprudentie die "gunstig" is voor het verdienmodel van Big Tech.
Inderdaad. En wie is bij uitstek de persoon die al tien jaar verantwoordelijk is voor de juiste cultuur bij de AP? Juist ja, de voorzitter.
Het is overigens ook mogelijk dat er een zwakke poging is gedaan tot cultuurverbetering en dat er daarbij mensen zijn vertrokken die juist niet "echt goed" waren. Ik herinner mij de handelwijze van sommige AP-medewerkers ca. acht jaar geleden, en die was niet bepaald blijmakend.
Zucht... De cultuur is een cultuur van (deels onbewuste) partijdigdheid - partijdigheid bij de AP tegen burgers die door de AP beschermd zouden moeten worden. Die cultuur zit in het beleid van de AP en tot in de haarvaten van de werkwijze van de AP, en wordt waarschijnlijk door veel (maar niet alle) AP-medewerkers als min of meer vanzelfsprekend ervaren.

Nee hoor, Big Tech en al die kleinere bedrijven die ook een graantje mee willen pikken, zullen altijd de grenzen blijven opzoeken. Supernaïef als je werkelijk zou denken dat de AP dan tijd over zou hebben. Maar waarschijnlijk probeer je een grapje te maken, inclusief de onjuiste suggestie dat ik tegen een hoger budget voor de AP zou zijn.
Ik hoop echt dat je gaat oefenen op je leesvaardigheid.

M.J.

Gisteren was in de krant te lezen dat ook de Belastingdienst gewetensvol de Nederlandse wet overtreedt door het bewust achterhouden van cruciale informatie waar ouders wettelijk recht op hebben.
Dit zal het geboortecijfer in Nederland niet gaan opkrikken..

Toezichthouders bashen is wel een uitlaatklep maar verder niet zo vruchtbaar.
Het gaat langzaam, maar meer en meer breekt het inzicht door dat het massaal vervangen van de burger door de consument heeft geleid tot massale vervuiling. Vervuiling van milieu, kontraktvoorwaarden, waarheid, menselijke waardigheid, alles wat geld kost. Bedenk dat een schamele paar miljoen de doorslag gaf om Solvinity niet aan een Nederlands bedrijf te verkopen maar te verkwanselen aan machtsbeluste techbro's in een vijandige jurisdictie.

Het niet strikt handhaven en beboeten van de AvG door de AP verzwakt ook de positie van de functionaris gegevensbescherming binnen de organisatie. Die rol kan nog zo goed ingevuld worden, maar met een risicoinschattend management wordt het fundament voor de AvG binnen bedrijven verder ondermijnd.

Mee eens. Je moet kritiek hebben op de overheden die de toezichthouders onvoldoende financiële middelen geven. Het toezicht op banken (De Nederlandsche Bank) wordt volledig door de banken gefinancierd. Hoog tijd dat dit ook gaat gebeuren met de grote datagraai partijen.

Jullie framen het hier als het "bashen" van toezichthouders en wuiven het daarmee weg. Dat is niet terecht. Ik lever gefundeerde kritiek op de AP, op basis van meer dan tien jaar ervaring met ze.

Het is niet òf kritiek op overheden die te weinig middelen verstrekken, òf kritiek op de houding en het gedrag van toezichthouders. Het is èn-èn. Daar komt nog bij: de houding en het gedrag van rechters die de toezichthouder onderuit halen wanneer die in een enkel geval juist wel zijn wettelijke taak probeert uit te voeren. En die de toezichthouder dekken wanneer die zijn taak niet adequaat uitvoert.

Deze drie factoren versterken elkaar en maken samen deel uit van een cultuur waarin de wet niet wordt gehandhaafd, waarin de rechtsstaat niet wordt gerespecteerd en waarin de rechtsstaat uiteindelijk ook in discrediet wordt gebracht door de overheden, toezichthouders en rechters die juist de "steunpilaren van de rechtsstaat" zouden moeten zijn. Want als de rechtsstaat geen feitelijk respectvol gedrag ten aanzien van grondrechten oplevert, dan zullen burgers ook weinig respect meer voor de rechtsstaat voelen. Met andere woorden, er is hier sprake van een (netwerk-)corrupte cultuur die leidt tot een neerwaartse spiraal richting cynisme, onverschilligheid en rechteloosheid.


Zeer terechte opmerking. Doordat de eerstgenoemde drie steunpilaren van de privacy-bescherming weigeren hun functie adequaat te vervullen, stort ook de vierde pilaar (de functionarissen gegevensbescherming - FG's) in. Want niemand kan het als FG in een organisatie volhouden wanneer het management de wet wil overtreden in de wetenschap dat de wet niet gehandhaafd wordt. Dit betekent ook dat FG's het in organisaties alleen mentaal volhouden als ze het niet naleven van de wet normaal gaan vinden en die houding gaan internaliseren. Zo ontstaat er zelfs bij FG's een cultuur waarin het schenden van privacy genormaliseerd wordt.

M.J.

Toezicht is altijd al het issue geweest. De AP heeft vaak aangegeven dat ze meer personeel nodig hebben, guess what: nooit gekregen van de regering.Maar ook andere toezichtspartijen, hebben niet voldoende om de meldingen aan te pakken. Vervolgens kan ieder bedrijf met een beetje omzet de toezichthouders dmv rechtszaken oneindig lang aan de lijn houden (zoals Big Tech doet). Voor een AP of toezichthouder is het makkelijker om een andere overheid na te jagen want die beginnen geen rechtszaken, dus dan scoren ze lekker. Dat is alleen zinloos rondpompen van geld binnen de overheid.

Misschien moeten we maar niet uit gaan rekenen wat de GDPR europa gekost heeft en wat het oplevert. Amerikanen doen alles, trekken zich niets aan van de boetes en betalen niet, en de lokale startup: dit gaat falliet aan regelgeving.