Gegevens uit jaarverslagen
Op de website van de Autoriteit Persoonsgegevens staan alle jaarverslagen gepubliceerd. Uit die jaarverslagen is af te leiden hoe vaak de AP een onderzoek heeft ingesteld, een last onder dwangsom heeft opgelegd en hoe vaak partijen daar tegen op zijn gekomen. Dit levert het volgende beeld op:
| 2002 | 2003 | 2004 | 2005 | 2006 | 2007 | 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ambtshalve onderzoek | 11 | 73 | 70 | 80 | 83 | 49 | 95 | 108 | 60 | 85 | 58 | 73 | 85 | 43 |
| Boete (meldplicht) | 0 | 1 | 35 | 9 | 3 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| Dwangsom | 0 | 1 | 5 | 2 | 0 | 39 | 68 | 26 | 35 | 6 | 12 | 19 | 13 | 17 |
| Bestuursdwang | 1 | 1 | 1 | 1 | 2 | 0 | ||||||||
| Bezwaar | 1 | 2 | 8 | 15 | 2 | 5 | 5 | 6 | 10 | 6 | 7 | 6 | 11 | 15 |
| Beroep | 1 | 2 | 4 | 15 | 2 | 9 | 2 | 2 | 10 | 3 | 8 | 3 | 7 | 1 |
(Vanaf 2008 vermelden de jaarverslagen dwangsom en bestuursdwang onder één noemer. Vermoedelijk betreft het hier louter last onder dwangsom)
Verschuiving van accenten
Opvallend is dat de AP initieel relatief veel tijd heeft gestoken in het controleren van de naleving van de algemene meldplicht (niet te verwarren met de meldplicht datalekken!) en dan met name bij overheden.
Voor schending van diezelfde melding zijn sinds 2007 geen boetes meer opgelegd. De meldplicht is echter nooit volledig goed nageleefd.
Tegenwoordig wordt deze algemene meldplicht zo weinig relevant gevonden, dat er sinds januari 2016 zelfs geen boete meer staat op schending van deze verplichting. Onder de AVG vervalt de algemene meldplicht overigens.
Selectieve transparantie
Wat verder opvalt is dat de Autoriteit Persoonsgegevens naar eigen zeggen in de loop der jaren honderden onderzoeken heeft uitgevoerd (als ik het optel kom ik tot 973).
Op de website staan op dit moment echter slechts 315 onderzoeken vermeld. Dat aantal ziet op documenten die zelfs terug gaan tot 1993, dus het aantal gepubliceerde onderzoeken uit bovengenoemde periode ligt nog lager.
Minder dan 1/3 van de onderzoeken leidt dus tot een publicatie. Onduidelijk is waarom de AP niet ook over andere onderzoeken rapporteert.
Van terughoudend en anoniem naar 'naming and shaming'
Verder valt op dat de AP in het verleden nog zeer terughoudend was in de publicatie van gegevens van vermeende overtreders. Zo valt op dat in 2003 nog wordt gesproken over "een handelsinformatiebureau" en over cameratoezicht bij geanonimiseerde gemeenten. In 2016 is die terughoudendheid verdwenen en worden in alle publicaties de namen genoemd.
In veel gevallen zijn de genoemde bedrijven/instellingen betrekkelijk toevallig slachtoffer van onderzoek door de AP en is niet op voorhand duidelijk wat deze bedrijven/instellingen anders doen dan hun branchegenoten (en kan dus de vraag worden gesteld in hoeverre 'naming and shaming' proportioneel is).
Relatief weinig handhavend optreden
Het aantal opgelegde lasten onder dwangsommen is, in verhouding tot het aantal onderzoeken, laag. Dat kan logischerwijs een aantal oorzaken als verklaring hebben:
- uit het onderzoek blijkt geen overtreding;
- de overtreding is gestaakt naar aanleiding van (de publicatie over) het onderzoek;
- de ernst van de overtreding rechtvaardigt geen last onder dwangsom.
Reden 1 gaat vermoedelijk niet op, aangezien de AP niet of nauwelijks lijkt te publiceren over verantwoordelijken die de wet niet overtreden.
Verantwoordelijken kiezen eieren voor hun geld
Naar mijn inschatting is met name reden 2 bepalend: veel bedrijven en instellingen kiezen er voor hun gedrag aan te passen naar aanleiding van (publiciteit over) onderzoek door de Autoriteit Persoonsgegevens. Liever, al dan niet met tegenzin, de visie van de AP onderschrijven, dan in de media, al dan niet terecht, worden 'geframed' als privacyschender.
De AP heeft, als hoeder van de privacy (en daarmee ook van reputatie), ironisch genoeg dus met schending van die reputatie een heel sterk en goedkoop middel in handen om ander gedrag af te dwingen. Dit terwijl er op menige publicatie van de AP vanuit juridisch perspectief wel het nodige af te dingen is.
Wordt dit onder de AVG anders?
Het is maar zeer de vraag of dit alles onder de AVG heel anders wordt. Ook onder de AVG bestaat het privacyrecht nog grotendeels uit open normen. En de regering zelf heeft diverse malen, bijvoorbeeld in de memorie van toelichting bij de meldplicht datalekken, onderkend dat er een spanning bestaat tussen open normen en handhaving:
De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen. Dit raakt niet alleen artikel 13 van de Wbp, maar feitelijk de hele vraag naar de verbreding van de handhaving van de materiële normen van de Wbp.
Met andere woorden: juist omdat het privacyrecht uit zoveel open normen bestaat, ligt het voor de hand dat de AP bij handhaving eerst haar interpretatie van een bepaalde norm geeft, alvorens handhavend op te treden wegens vermeende schending van die norm. Dat is ook de reden dat onder de huidige Wbp een boete alleen in ernstige gevallen direct kan worden opgelegd.
Dit nog los van de verplichting voor de AP om een besluit tot handhaving zeer zorgvuldig en gedegen voor te bereiden (zie o.m. afdeling 3.2 Awb).
Blik in het verleden veelzeggend voor de toekomst?
Wanneer deze blik in het verleden iets belooft voor de toekomst, dan ligt het voor de hand:
- dat overheden en semi-publieke instellingen eerst zullen worden gecontroleerd op naleving van de AVG (*);
- dat er door de AP nog meer publiciteit gezocht wordt bij handhaving;
- dat handhaving eerder via een last onder dwangsom dan een boete zal gebeuren.
(*) Met de kanttekening dat de landelijke overheid in de opmerkelijke positie verkeert middels wetswijzigingen haar eigen overtredingen te kunnen legaliseren en de AP daar dus mogelijk weinig eer aan kan behalen (vgl. de casus over delen inkomensgegevens door de Belastingdienst).
Wat zelf te doen bij onderzoek door de AP?
Ontvangt u een brief of telefoontje van de Autoriteit Persoonsgegevens? Dan is het dus zaak daarop direct zeer adequaat te reageren. Juist door in de onderzoeksfase al aan de AP te laten zien dat er geen sprake is van overtreding van de wet, of dat er geen belang is bij verder onderzoek, verkleint u de kans straks ook op de website van de AP te staan of te maken te krijgen met handhaving door de AP.
Neem bij vragen gerust contact op.
Mark Jansen
advocaat IT- en privacyrecht
