De UAVG is samen met het van toepassing worden van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 in werking getreden. De AVG lijkt op sommige punten meer een richtlijn en bevat open normen die nadere invulling op nationaal niveau behoeven. De wijze waarop daaraan tegemoet is gekomen in de UAVG is echter beperkt gebleven volgens de onderzoekers en zij doen enkele voorstellen voor verbetering. In het rapport wordt ook uitgebreid stilgestaan bij de ervaringen met de bestuurlijke boete en de meldplicht datalekken.
De onderzoekers stellen meermaals in het rapport dat de evaluatie niet een evaluatie van de AP is. Uit het rapport zelf komt echter een heel ander beeld naar voren. Zo is er volgens de onderzoekers bijvoorbeeld nog ruimte voor de AP om nadere invulling te geven aan de normen uit de UAVG, zoals de praktijk graag zou zien. Voorts blijkt uit de casestudy’s dat de ondertoezichtgestelden bot vangen bij de AP wanneer in specifieke situaties om nadere invulling van de normen wordt verzocht. De AP wenst dan niet altijd in gesprek te gaan (blz. 9 van het rapport). Minder dan de helft van de FG’s die reageerden op het vragenlijstonderzoek dat de onderzoekers uitvoerden, voelt zich ‘altijd vrij om de AP te benaderen’ en een kwart voelt zich zelfs ‘nooit of soms vrij’ om dit te doen. Zo bestaat de vrees dat contact met de AP kan leiden tot interventies of versterkte controle (blz. 128 van het rapport).
In dat kader is het extra jammer dat de ‘Dag van de FG’ is uitgesteld. Dat was namelijk een mooi moment geweest om dit beeld weg te nemen én nogmaals de voorafgaande raadpleging procedure onder de aandacht van FG’s te brengen. De AP merkte namelijk op dat daar weinig gebruik van wordt gemaakt terwijl dit juist een rol kan spelen om de gevraagde ‘nadere duiding door de AP’ voorafgaand aan een voorgenomen verwerking te bieden (blz. 98 van het rapport).
Men ontkomt er ook niet aan iets te zeggen over het werk van de AP gelet op de onderwerpen die aan bod moesten komen in de evaluatie (al dan niet opgedragen door de Kamer). Zo zijn de boetebevoegdheid en de meldplicht datalekken ook onderdeel geweest van de evaluatie, precies de onderwerpen waar een grote rol voor de AP is weggelegd. De conclusies over de boetebevoegdheid zijn helder: beleidsregels waarin het toezichts- en handhavingsbeleid is vastgelegd ontbreken. Het door de AP gehanteerde risicogerichte toezicht wordt niet nader uitgewerkt in concrete beleidsregels zoals bij andere toezichthouders wel het geval is. Dit is een groot gemis in de praktijk. Het opstellen van een dergelijk beleid wordt daarom aanbevolen (blz. 129 van het rapport).
Ook de conclusies in het kader van het handelen van de AP inzake de meldplicht datalekken liegen er niet om. Omdat de AP zich grotendeels richt op de gemelde datalekken lijkt het ‘niet ondenkbaar’ dat die werkwijze ertoe leidt dat potentiële melders terughoudender worden om te melden, omdat niet-melders ‘min of meer vrij spel’ lijken te hebben.
Uit het rapport komt naar voren dat de AP ook niet stond te springen om geëvalueerd te worden. De AP uitte bezwaren ‘met betrekking tot de totstandkoming van de opdracht, en de aard, opzet en scope van het onderzoek en de betrokkenen daarbij’. Dit leidde in eerste instantie tot het intrekken van de medewerking van de AP aan het onderzoek. Een concepteindtekst met vragen is wel voorgelegd en daarop heeft de AP uitvoerig gereageerd. De onderzoekers stellen dat zij hiermee hun voordeel hebben kunnen doen en dat dit tot enkele aanpassingen heeft geleid (blz. 7).
De evaluatie van de UAVG was dan misschien niet een officiële evaluatie van de AP, maar deze gaat er op korte termijn wel komen. Uit de begroting van het ministerie van J&V blijkt dat in 2023 een evaluatie van de AP op het programma staat. Volgend jaar kunnen we ook de afronding van de Verzamelwet gegevensverwerking verwachten; wordt er een strategische visie op internationale gegevensstromen geïnitieerd én komt er een Nederlandse visie op het gegevensbeschermingsrecht, met speciaal aandacht voor onder andere effectief toezicht, de rechten van minderjarigen en technologische ontwikkelingen (blz. 8 van de begroting).
Uw snelrechters op het gebied van privacyrecht gaan het nog druk krijgen in 2023.
