De tragedie van het privacytoezicht

De Autoriteit Persoonsgegevens is nog altijd onvolwassen

Beeld door: Foto: Laurens van Putten/HH

Nieuws

Nederlandse privacywaakhond kan toevloed klachten niet aan

De Nederlandse toezichthouder op de privacy, de Autoriteit Persoonsgegevens, wordt sinds de invoering van de nieuwe Europese privacywet overspoeld door klachten en meldingen van datalekken. De organisatie ontving per maand zo’n 1.610 privacyklachten en 1.483 meldingen van datalekken. De privacy-waakhond is daarvoor niet uitgerust, blijkt uit onderzoek van Investico voor De Groene Amsterdammer. Ondanks een verdubbeling van het personeel worstelt de organisatie nog steeds met te veel werk voor te weinig mensen.

Het ministerie van Justitie gaf de toezichthouder in 2017 geld om maandelijks 667 klachten en 500 meldingen van datalekken te kunnen behandelen. In werkelijkheid blijken er 40 procent méér meldingen en klachten te zijn. Het tekort aan geld en personeel is niet nieuw. De toezichthouder is in haar dertigjarig bestaan structureel genegeerd en kreeg tot voor kort te weinig middelen om effectief op te treden, blijkt uit het Investico-onderzoek.

Blijf op de hoogte van onze onderzoeken. Meld je aan voor de nieuwsbrief

De Autoriteit Persoonsgegevens staat sinds 2016 onder voorzitterschap van Aleid Wolfsen, voormalig PvdA-kamerlid en oud-burgemeester van Utrecht. Met de nieuwe Europese privacywet in aantocht zegde hij toe de ‘ombudsman voor de privacy te worden’ maar kan die belofte niet nakomen, blijkt nu. Ruim veertig procent van de klachten is nog niet behandeld. Bovendien stuurde de autoriteit ruim een derde van de behandelde klachten terug naar de organisatie waar de klacht over ging.

scenarios-def
Beeld door:
Visualisatie: Adriana Homolova

Vorige voorzitters van de toezichthouder lieten klachten van burgers bewust onbehandeld omdat de organisatie structureel onderbemand was, en anders niet aan haar belangrijkste werk als toezichthouder zou komen. De waakhond voor privacy is de kleinste belangrijke, landelijke toezichthouder in Nederland. Haar toezichtgebied – van gemeenten tot ziekenhuizen en grote techbedrijven – is echter het grootste. De pakkans voor bedrijven, overheden en andere organisaties is dus klein, waarschuwde de waakhond in het jaarverslag van 2015. De kans dat de toezichthouder aan de deur klopt is ‘kleiner dan eens in de duizend jaar’.

vergelijking-def
Beeld door:
Visualisatie: Adriana Homolova

In tegenstelling tot andere toezichthouders mocht de privacy-autoriteit tot 2016 geen boetes opleggen, ondanks jarenlange waarschuwingen van de organisatie dat zonder deze boetebevoegdheid toezichthouden ‘een fictie wordt’. Het enige sanctiemiddel was een ‘gele kaart’. Met een zogeheten last onder dwangsom werd de overtreder eerst gewaarschuwd. Als ze haar gedrag beterde, verviel de dwangsom.

Bedrijven voor wie datahandel hun businessmodel is, zoals Facebook en Google, konden hierdoor wachten tot de toezichthouder aanklopte om vervolgens alleen het minimum toe te geven. Dat gold ook voor overheidsinstanties die hun databanken slecht beveiligen, waaronder het UWV en de Nationale politie.

Dwangsom-def
Beeld door:
Visualisatie: Adriana Homolova

Verantwoording

Investico is radicaal transparant. In verantwoordingsdocumenten maken wij onze onderzoeksmethodes en resultaten openbaar zodat publiek en andere onderzoekers ons werk kunnen controleren en erop kunnen voortbouwen. In de longread van het onderzoek hieronder verwijzen noten naar het bronmateriaal. Wilt u meer weten over onze missie en methode? Lees meer

Onderzoek met bronnen

De tragedie van het privacytoezicht

Beeld door: Foto: Laurens van Putten/HH

Privacyschendingen komen vaak in het nieuws. Maar de waakhond die de privacy moet beschermen staat er slecht voor. Profiel van een toezichthouder die klein en machteloos is gehouden.

Het is begin 1998 als Albert Heijn zijn bonuskaart lanceert. De supermarkt trekt er een advertentie voor uit die twee volle krantenpagina’s beslaat: een rijkelijk gevulde boodschappenwagen tegen een helblauwe achtergrond. ‘We zijn een beetje van de kaart’, staat erboven, in de kenmerkende witte letters. Met de bonuskaart is Albert Heijn een van de eerste bedrijven die op technologische, grootschalige wijze gegevens verzamelt over het gedrag van zijn klanten om dat te kunnen beïnvloeden. Binnen twee weken hebben twee miljoen klanten een bonuskaart op zak. Onbekommerd vullen ze hun gegevens in – geboortedatum, gezinssamenstelling – om korting te krijgen én de grootgrutter mee te laten kijken in hun mandjes. Niets lijkt Albert Heijn in de weg te staan om een van de grootste databanken van Nederland te worden.

Dan komt de privacytoezichthouder in actie. Een bijzonder moment, want sinds de oprichting in 1989 heeft deze zelden een vuist gemaakt. De komst van de bonuskaart was de waakhond bekend, die is met Albert Heijn overlegd. Maar dit is niet de uitvoering waarop was gehoopt. ‘Albert Heijn speelt geen open kaart’, zegt toenmalig bestuurslid Ulco van de Pol tegen de pers. De supermarkt maakt mensen helemaal niet duidelijk wat ze met de gegevens gaat doen en ook niet dat ze níet verplicht zijn om al die persoonlijke informatie te geven. Met de strenge woorden zet de toezichthouder zichzelf in één klap op de kaart, maar mobiliseert ook weerstand. Albert Heijn is woest en dreigt de organisatie voor de rechter te slepen. VNO start een lobby bij de politiek om de macht van het privacytoezicht te beperken. De toezichthouder schrikt en gaat opnieuw overleggen met de supermarkt. Gezamenlijk vinden ze een oplossing: het alternatief van een anonieme bonuskaart. ‘Ook mijn moeder nam zo’n anonieme kaart’, vertelt Van de Pol trots.

Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland

Steun ons

Sinds de bonuskaartaffaire is het aantal bedrijven, instanties en organisaties dat onze persoonsgegevens verzamelt, analyseert en verhandelt explosief gestegen. Dit gebeurt vaak buiten ons zicht en zonder onze bewuste toestemming. Onze persoonsgegevens zijn goud waard en daar wordt gretig gebruik van gemaakt. Zo legden kredietbureaus met deels illegaal verkregen informatie profielen aan van bijna alle acht miljoen Nederlandse huishoudens om deze te verkopen aan woningcorporaties en energieleveranciers. ‘Smart cities’ Eindhoven en Utrecht volgen bezoekers in uitgaansstraten met camera’s, microfoons, bewegingssensoren en sociale-mediamonitoring om in te kunnen grijpen bij agressief gedrag. Talpa verzamelde de afgelopen jaren geruisloos gegevens over inkomen, interesse en beroep van 7,5 miljoen mensen, om te verdienen aan gepersonaliseerde advertenties. De privacytoezichthouder viel in al deze gevallen die Platform voor onderzoeksjournalistiek Investico eerder onderzocht vooral op door afwezigheid.

Wie is toch die toezichthouder die al dertig jaar onze privacy moet beschermen? Investico portretteerde een toezichthouder die tot voor kort structureel klein werd gehouden, werd genegeerd, en onvoldoende middelen kreeg om effectief op te treden. Nu staat de privacywaakhond voor een historische taak. Dankzij Europa is in mei 2018 een nieuwe wet van kracht gegaan die de toezichthouder in staat stelt om met torenhoge boetes de strijd aan te gaan met grote techbedrijven en andere privacyschenders. Maar de toezichthouder staat er niet best voor. Veel ervaren medewerkers zijn weggevlucht sinds de komst van de nieuwe voorzitter, oud-burgemeester Aleid Wolfsen, juist nu de organisatie in korte tijd veel harder moet groeien dan ze aankan. Investico sprak tientallen betrokkenen en deskundigen, waarvan velen hun hart vasthouden.

Onzichtbare toezichthouder

‘We waren onzichtbaar’, zegt oud-bestuurslid Ulco van de Pol over de beginperiode van de privacytoezichthouder. Die heeft dan nog de stoffige naam Registratiekamer, omdat ze een register bijhoudt van instanties die persoonsgegevens verzamelen. Voorzitter is jurist Peter Hustinx, die nauw betrokken was bij databescherming in de Raad van Europa en naast zijn voorzitterschap ook in Europa blijft werken aan het ontwerp van een nieuwe privacywet. Zijn expertise levert hem de bijnaam ‘Mr. Privacy’ op. Maar ook ‘de professor’. De minder dan vijftig medewerkers behandelen klachten en geven wetgevingsadviezen aan de regering, maar houden zich vooral bezig met het bestuderen en uitleggen van privacyregels aan bedrijven en organisaties. ‘Voorlichting’ ziet de Registratiekamer als haar belangrijkste taak. Hustinx: ‘We bekeken gedragscodes en brachten studies uit over allerlei vraagstukken. Videocamera’s bijvoorbeeld – dat was een van onze tophits.’

Dankzij al dat studeren heeft de Registratiekamer in de tweede helft van de jaren negentig een vrijwel compleet overzicht van bedreigingen voor de privacy – die ook nu nog spelen: van de woekerende handel in schulden tot privacyschendingen op de werkvloer en van profilering van klanten tot het koppelen van gemeentelijke databases voor fraudebestrijding. ‘Het dreigt uit de hand te lopen’, waarschuwt Hustinx al in 1995 over de niet te stelpen dataverzameldrang. Al bij het ontwerp van elektronische systemen moet rekening worden gehouden met privacy, betoogt hij. ‘Privacy by design’. Veel meer dan betogen kan hij echter niet. De organisatie mag weliswaar invallen doen om informatie te verzamelen, maar vindt dat een zwaar middel dat dus zelden wordt ingezet. Verdere vervolging moet worden overlaten aan het Openbaar Ministerie. Een straf opleggen, zoals een boete, mag ze niet. Dat moet veranderen met de Nederlandse versie van de Europese privacyrichtlijn, de Wet Bescherming Persoonsgegevens (WBP), die op 24 oktober 1998 van kracht zou moeten worden.

Bonuskaartaffaire

Als in februari 1998 het kabinet na tweeënhalf jaar steggelen het wetsvoorstel aan de Tweede Kamer voorlegt, valt dat samen met de bonuskaartaffaire. Na een ziedende brandbrief van VNO, waarin de werkgeversorganisatie betwijfelt of de toezichthouder wel ‘zorgvuldig’ handelt, neemt de Registratiekamer zich voor om inderdaad niet te scherp actie te voeren, maar beter mee te denken. Albert Heijn, de NS, banken, verzekeraars – ze mogen vanaf dat moment vaker aanschuiven. ‘Het past in de Nederlandse poldercultuur dat je werkafspraken maakt met belangenorganisaties’, vindt Van de Pol. Ook Hustinx ziet samenspraak als het meest werkbare model. Alleen als ‘gesprekspartner’ kan een toezichthouder van zo’n beperkte grootte volgens hen draagvlak creëren.

De bonuskaartaffaire maakt de bespreking van de Wet Bescherming Persoonsgegevens in de Tweede Kamer niet gemakkelijker. Vooral de VVD wil garanties dat het privacytoezicht het bedrijfsleven niet in de weg zal zitten. ‘Er was een stevige lobby van VNO’, herinnert Van de Pol zich. ‘Zij zeiden in contacten met Kamerleden: het moet geen millimeter verder gaan dan wat Brussel vergt. En daar ging dan al een proces van tien jaar Brussel aan vooraf waarbij het bedrijfsleven elke stap bekeek en probeerde te beïnvloeden.’

Bij een congres tijdens de onderhandelingen in Brussel werd Van de Pol met de neus op de feiten gedrukt. Een Amerikaanse advocaat schoot hem aan bij de borrel: ‘Het is allemaal mooi wat jullie doen, maar zolang jullie niet met fikse boetes klaarstaan, ga ik mijn cliënten niet adviseren om al die ingewikkelde regels na te leven.’ Fikse boetes, wist Van de Pol toen al, gaan er niet komen. ‘Wij wilden wel, maar we wisten dat we het niet zouden halen bij het ministerie van Justitie. Privacy had destijds geen achterban. Dat we een tandeloze tijger zouden blijven was uitdrukkelijk de bedoeling.’

Minister van Justitie Benk Korthals (VVD) laat in december 1998 op verzoek van VNO de boete eerst helemaal schrappen uit de Nederlandse invulling van de privacywet, maar dat gaat de Tweede Kamer te ver. Uiteindelijk krijgt onze privacywaakhond een kleine boetebevoegdheid: tienduizend gulden maximaal, en alleen voor het overtreden van de plicht om te melden dat je persoonsgegevens verwerkt. Van de Pol: ‘Het niet melden was een overtreding. Maar god, ik kwam als rechter-commissaris uit de grote wereld van de criminaliteit. Dit soort administratieve dingen, daar ga je het niet op doen.’ Voor de echte privacyschendingen krijgt de toezichthouder de ‘last onder dwangsom’: een gele kaart. De overtreder wordt eerst gewaarschuwd, betert hij zijn gedrag, dan vervalt de dwangsom.

Door alle discussie treedt de Wet Bescherming Persoonsgegevens bijna drie jaar later dan gepland in werking. De ingangsdatum wordt 1 september 2001. Minder dan twee weken voordat terroristen met gekaapte vliegtuigen de Twin Towers in vliegen. Het belang van privacy leek met de bonuskaartaffaire even zichtbaar, maar moet meteen weer plaatsmaken voor veiligheid.

OV-chipkaart

De OV-chipkaart is een ‘jongensdroom’. Tenminste, zo noemt TransLink, een bedrijf grotendeels in handen van de NS, de door hen ontworpen reispas. ‘Uitvinders die op hun zolderkamertje aan het pionieren zijn en dan een grootse doorbraak bereiken.’ De Nederlandse vervoerbedrijven staan te springen: met de komst van de digitale pas kunnen ze alle reizigers bijna in real time volgen. Een weelde aan data, waarmee ze hun klanten gerichte reclames kunnen sturen of, bijvoorbeeld, kunnen motiveren om buiten de spits te reizen. In 2004 beginnen de vervoerbedrijven met een proef in Rotterdam, ze hopen de pas snel in heel Nederland in te voeren.

De plannen hebben de speciale aandacht van Jacob Kohnstamm, die in 2004 de voorzitter wordt van de privacywaakhond, inmiddels College Bescherming Persoonsgegevens genaamd. ‘Privacybescherming had toen ik aantrad een slecht imago’, zegt Kohnstamm ons. ‘Het zou “de schuilplaats van het kwaad” zijn, van terroristen.’ Als oud-politicus weet hij hoe het spel werkt: hij zoekt naar een manier om ‘het artikel privacy te verkopen’ en ‘draagvlak’ te creëren. De toezichthouder gaat nog meer luisteren, belooft hij. En hij concentreert zich op ‘gewone burgers’. ‘Mensen die denken dat ze niets te verbergen hebben moesten denken: dit is te gek. Dit kan niet!’

Dus kijkt hij naar ziekenhuizen, privacybescherming van kinderen én naar de OV-chipkaart. ‘Een mooie vinding, handig voor iedereen? Zeker, maar wel met een paar privacykanten om goed over na te denken’, schrijft Kohnstamm in het jaarverslag van 2005. Hij schuift regelmatig aan bij de NS om te horen wat de plannen zijn. Ook spreekt hij met andere vervoerbedrijven, reizigersvereniging Rover, de consumentenbond en het ministerie van Vervoer. Vervolgens probeert hij het privacystandpunt van het College over te brengen: enkel commerciële redenen zijn niet genoeg voor massale dataverzameling. ‘Maar de NS wilde niet luisteren.’ Na ruim twee jaar vruchteloos overleg verlaat hij de gesprekstafel. ‘Het was voor mij een les’, zegt hij achteraf. ‘De NS vroeg advies maar al onze adviezen waren gratis, dus waardeloos.’

‘Praten, praten, praten’

Als Madeleine McLaggan in september 2006 door Kohnstamm wordt binnengehaald om het bestuur van de privacywaakhond te versterken, gelooft ze nauwelijks wat ze aantreft. ‘Een toezichthouder die heel veel adviseerde, veel beschreef, observeerde, en die met partijen aan tafel ging zitten. Praten praten praten! Ondernemingen probeerden zo veel mogelijk dekking te krijgen. Terwijl ondernemen betekent dat je zelf zorgt dat je aan de wet voldoet, niet dat de toezichthouder mee gaat ontwerpen, dat kan gewoon niet.’ McLaggan weet wat een toezichthouder kan betekenen: aan het begin van het millennium leidde zij bij kartelwaakhond NMa het onderzoek naar de bouwfraude. Met een team van zo’n 35 mensen ontrafelde ze het gigantische schandaal van honderden bouwbedrijven die elkaar opdrachten toespeelden en soms zelfs ambtenaren omkochten. Bij haar overstap naar de privacywaakhond is ze vol van adrenaline, klaar om overtredingen aan te pakken, maar daarvoor is een cultuurverschuiving nodig.

De bouwfraudevrouw ontwerpt een nieuwe strategie: onderzoek doen naar die overtredingen die ernstig zijn, structureel, en veel mensen treffen. En daar dan ook op handhaven. Met de beperkte capaciteit moeten ze selectief zijn, maar als ze de belangrijkste zaken eerst doen, verwacht McLaggan ‘een handhavend effect voor iedereen, want iedereen ziet dat’. Het kost haar weinig moeite om haar medebestuursleden Kohnstamm en Jannette Beuving, die in 2005 aantrad, te overtuigen. Beuving: ‘Het kwartje viel onmiddellijk en daarna ging het sprankelen en lopen. Madeleine was in feite gewoon een lading peper in de organisatie.’

De privacywaakhond zet in op het krachtigste wapen dat ze op dat moment heeft: de dreiging met de last onder dwangsom voor partijen die niet meewerken of die duidelijk de privacyregels schenden. De omslag van adviseren naar handhaven is direct het volgende jaar zichtbaar: van nul last-onder-dwangsomprocedures in 2006 gaan ze naar 39.

Gouden jaren

2007 tot en met 2010 zijn voor Beuving de gouden jaren van de toezichthouder. Het opnieuw inkijken van de jaarverslagen emotioneert haar: ‘Het spat eraf! Als je ziet wat er gebeurt, de onderwerpen, de cijfers!’ Gemeenten die hun inwoners bespieden om uitkeringsfraude te ontdekken, krijgen de toezichthouder op de stoep. Plannen van handelaars in schulden worden openlijk bekritiseerd. Onder dreiging van dwangsommen scherpen ziekenhuizen de beveiliging van patiëntgegevens aan. Een arbodienst die gegevens van zieke werknemers doorspeelt aan werkgevers moet een dwangsom betalen. Zelfs Google wordt aangepakt, als blijkt dat het bedrijf e-mailadressen, medische gegevens en financiële transacties verzamelt via Street View-auto’s.

Het privacytoezicht lijkt op stoom te komen, maar het gaat met horten en stoten. In het rapport iOverheid (2011) constateert de Wetenschappelijke Raad voor het Regeringsbeleid dat wetgevingsadviezen van de toezichthouder door de politiek meermalen in de wind worden geslagen. Zo waarschuwt het College voor het risico van misbruik als er biometrische gegevens worden opgenomen in reisdocumenten. Daarna wordt de toezichthouder niet meer om advies gevraagd. De achterban voor privacy is nog altijd beperkt.

McLaggan vindt het ondertussen niet hard genoeg gaan met de onderzoeken naar privacyschendingen. Een deel van de medewerkers wil liever blijven voorlichten. ‘We hebben cursussen gedaan om mensen te leren om als toezichthouder een inval te doen’, vertelt ze. ‘Toen zeiden docenten: het zijn helemaal geen toezichthouders, ze zitten nog in de stand van studeren. Nou, dat herken ik wel.’ De bouwfraudevrouw beoordeelt de juridische verantwoording van rapporten geregeld als onvoldoende. In de jaren 2007 en 2008 is het verloop onder het personeel groot. Als Beuving in de loop van 2011 vertrekt naar de Eerste Kamer wordt de situatie steeds moeizamer. McLaggan legt eind dat jaar haar bestuurstaken neer. Met haar vertrek verdwijnen ook de bureaus die in schulden handelen, die vanaf 1998 elk jaar een punt van aandacht waren, uit de jaarverslagen. Maar ze heeft haar stempel op de organisatie gedrukt. De strategie om achter ernstige overtredingen en grote spelers aan te gaan wordt voortgezet.

Privacyschendingen Facebook

‘Benieuwd hoe je een nieuwe partner vertelt over een stoma?’ En: ‘Nooit meer lekken.’ Het zijn deze advertenties waardoor een Nederlandse Facebook-gebruiker bij de toezichthouder in juli 2016 aan de bel trekt. Ze heeft een darmoperatie ondergaan en sindsdien wordt ze bestookt met reclames voor stoma’s. Vlak voor de ingreep zocht ze via Google naar de risico’s, maar nooit zonder eerst uit te loggen op Facebook. Hoe weet het bedrijf dan toch van mijn operatie? vraagt ze de toezichthouder.

Het vierkoppige internetteam van de privacywaakhond is dan al anderhalf jaar bezig met een onderzoek naar Facebook. Hoofdonderzoeker Sjoera Nas begrijpt meteen waar de klager het over heeft en voegt haar ervaringen toe aan een uitgebreid rapport – een van hun onderzoeken naar de grote techbedrijven, ze brengen ook schendingen van Google, WhatsApp en Microsoft in kaart. ‘Het internetteam was echt fantastisch’, zegt Kohnstamm, ‘ze wisten er alles van.’ Hoofdonderzoeker Sjoera Nas wordt door alle experts en oud-bestuurders die wij spreken bejubeld. ‘Zij is mijn heldin’, zegt Kohnstamm.

Een jaar na de klacht, mei 2017, verschijnt de conclusie van het Facebook-onderzoek op de site van de toezichthouder: ‘Facebook handelt in strijd met de privacywetgeving.’ Het sociale netwerk heeft de bijna tien miljoen Nederlandse gebruikers onvolledig geïnformeerd en verwerkte gevoelige gegevens over gezondheid en seksuele geaardheid om op basis hiervan gerichte advertenties te tonen. Facebook belooft een transparanter privacybeleid en zegt het ‘constructieve overleg’ met de toezichthouder in het onderzoek op prijs te stellen.

Geen boetes

Maar het onderzoek was allesbehalve gemakkelijk, vertelt Nas, die niet over de organisatie wil praten maar alleen toelichting geeft op haar werk destijds. ‘Wij hadden Facebook al lang in het vizier, maar de hoofdvestiging stond in Ierland en het bedrijf vond dat het alleen met de Ieren zaken hoefde te doen.’ Facebook was zeer tevreden met ‘zijn’ Ierse toezichthouder, die anno 2014 nog maar uit 29 mensen bestond, in een klein kantoortje naast een supermarkt resideerde, en berucht was om zijn ‘tea and biscuits’-bedrijfsvriendelijkheid. Begin 2015 weigerde Facebook mee te werken aan het onderzoek van de Nederlanders. ‘Toen moesten we echt zo ver gaan om een last onder dwangsom op te leggen om vragen beantwoord te krijgen.’ Het bedrijf schakelde drie advocatenkantoren in. ‘Uitstel, weigeringen, protesten – eindeloos in bezwaar tegen alles.’ Als het bedrijf wel antwoord gaf, was dat in eerste instantie altijd incompleet. Op die manier duurde het tweeënhalf jaar van de aanvang van het onderzoek tot het de pers haalde.

Ondanks Facebooks overtredingen kon de toezichthouder geen boete opleggen. Nas: ‘Toen we dat onderzoek begonnen, hadden we nog geen boetebevoegdheid voor privacyovertredingen. Dan zou je een nieuw onderzoek moeten doen.’

Kohnstamm pleitte er zijn hele voorzitterschap al voor om boetes te kunnen uitdelen, maar vond geen gehoor bij de Kamer en het ministerie van Justitie. ‘Iemand die bewust en weloverwogen de wet heeft geschonden, moet boetes krijgen’, zegt Kohnstamm ons. ‘Een last onder dwangsom is een moeizame, lange procedure die je oplegt aan een first offender.’ Grote bedrijven waarvoor datahandel het businessmodel is en overheidsinstanties die hun enorme databanken slecht beveiligen – of het nu Google is, UWV of de Nationale Politie – kunnen zo wachten tot de toezichthouder aanklopt en dan alleen het strikt noodzakelijke toegeven. Zoals Kohnstamm schreef in zijn jaarverslag van 2010: ‘Zonder boetebevoegdheid is de kans groot dat naleving van het fundamentele recht op bescherming van persoonsgegevens een fictie wordt.’

Klachten van burgers

‘Ik heb uw hulp nodig’, schrijft Michiel Jonker in juni 2014 aan de toezichthouder. Als zijn gemeente straks een nieuwe afvalpas invoert, kan de Arnhemmer zijn vuilnis niet meer weggooien zonder dat precies wordt bijgehouden wanneer hij dat doet. Ook kan hij door de afschaffing van papieren kaartjes niet langer met korting op een anonieme OV-chipkaart reizen en maakt hij zich zorgen om pinbetalingen en zijn elektronische medische gegevens. ‘De opeenstapeling van dingen die op mij afkomen maakt het voor mij bijna onmogelijk om mijn privacy te beschermen.’ Het College Bescherming Persoonsgegevens doet weinig met zijn hulpvraag. De toezichthouder neemt zonder het grondig te bekijken aan dat de gemeente Arnhem en de NS goede redenen hebben voor de gegevensverwerking. Jonker laat het er niet bij zitten en stapt naar de rechter. Die bepaalt dat de toezichthouder de klachten serieuzer moet onderzoeken.

Ook in twee andere zaken, aangespannen door Miek Wijnberg, voorzitter van burgerrechtenvereniging Vrijbit, spreekt de rechter de toezichthouder vermanend toe. Corien Prins, hoogleraar recht en informatisering en huidig voorzitter van de WRR, vindt dat de privacytoezichthouder te lang klachten van burgers heeft genegeerd. ‘Als je niet bij de toezichthouder terechtkunt, waar moet je dan heen? De rechter? Die drempel is hoog.’

Onderbemanning

‘De Autoriteit stond er op de dag dat de nieuwe privacywet inging slechter voor dan de tien jaar daarvoor.’ ‘Al de nieuwe medewerkers hebben werkelijk geen idee wat de nieuwe wet inhoudt’
Kohnstamm verdedigt het als een strategische keuze. De beperkte menskracht wil het College Bescherming Persoonsgegevens inzetten voor de grove overtredingen. De toezichthouder ontvangt in de periode van Kohnstamm jaarlijks gemiddeld zo’n zevenduizend vragen en signalen: al snel 140 per week. ‘Er zaten mensen aan de telefoon’, zegt oud-bestuurslid Beuving, ‘maar we gingen niet elke klacht behandelen. Voor je het weet word je helemaal lamgelegd.’ ‘De Tweede Kamer was daar kritisch op’, blikt Kohnstamm terug, ‘maar als jullie vinden dat we die individuele burgers moeten helpen: kom maar op!’

De toezichthouder krijgt echter nauwelijks meer personeel. Sterker: tussen 2009 en 2016 krimpt het College van de schamele tachtig banen van zijn hoogtepunt naar iets meer dan zeventig. En dat is niet veel voor een toezichthouder die in die periode ruim honderdduizend partijen in de gaten moet houden. Voor een organisatie of onderneming ‘die eens een gok wil wagen: de kans dat de toezichthouder aan de deur klopt, is kleiner dan eens in de duizend jaar’, schrijft de privacywaakhond in het jaarverslag van 2015.

vergelijking-def1
Beeld door:
Visualisatie: Adriana Homolova

Maar onderbemanning is niet de enige reden waarom de toezichthouder niet ingrijpt bij klachten als die van Jonker. Jonkers verzoek raakt aan een fundamenteel punt. Hij wil zich kunnen onttrekken aan ‘onnodige’ dataverzameling. Jonkers idee van ‘onnodig’ verschilt van dat van de toezichthouder. De interpretatie van de complexe privacywetgeving is uiteindelijk een belangenafweging. De privacywaakhond oordeelde in deze gevallen dat voor het kortingsabonnement van NS het bedrijf – binnen de wet – zelf mag bepalen hoe het klanten identificeert. En dat Arnhem persoonsgegevens mag verzamelen voor het testen van een nieuw afvalsysteem waarbij de vervuiler betaalt. ‘Wij staan technologische ontwikkelingen niet in de weg’, zegt een huidige woordvoerder van de toezichthouder. ‘De wenselijkheid van het doel stellen wij niet ter discussie, maar we kijken kritisch of de verwerking van persoonsgegevens in lijn is met dat doel en de wet.’ Jonker vecht nog altijd bij de rechter voor anonieme alternatieven.

Nieuwe privacywet

In het voorjaar van 2016 vieren de privacytoezichthouders in Europa een overwinning: na jarenlange discussie wordt een nieuwe privacywet aangenomen die de regels voor alle lidstaten gelijktrekt, de AVG. De lobby in Brussel was nog heviger dan bij de eerdere wet, maar deze keer lijkt de invloed ervan beperkt. Als de wettekst er eenmaal is, ziet deze er volgens privacydeskundigen over het geheel genomen goed uit. De principes zijn hetzelfde gebleven, maar bedrijven, organisaties en overheidsinstanties die veel of gevoelige persoonsgegevens verwerken moeten nu ook kunnen laten zien dat ze daar netjes mee omgaan. Als ze geen goede reden hebben voor gegevensverwerking of geen expliciete toestemming van de betrokkenen, dan kunnen vanaf de ingang van de wet op 25 mei 2018 serieuze boetes volgen, oplopend tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet.

Terwijl in Europa de laatste onderhandelingen worden gevoerd, vindt bij Tweede-Kamerleden een hevige lobbystrijd plaats tussen VNO en de toezichthouder. Kohnstamm kletst zich ‘de blaren op de tong’ om, enkele maanden voor zijn vertrek, toch nog een politiek succes te boeken. De toezichthouder krijgt per 1 januari 2016 een steviger naam: Autoriteit Persoonsgegevens. De Autoriteit krijgt ook een voorproefje op de boetebevoegdheid die ze straks onder de AVG heeft: maximaal 820.000 euro voor bewijsbare overtredingen onder de oude wet. Eindelijk lijkt de toezichthouder klaar om werkelijk in te grijpen.

‘Als een zonnetje’

‘Het loopt als een zonnetje’, zegt Aleid Wolfsen, oud-burgemeester van Utrecht en sinds augustus 2016 de nieuwe voorzitter van de Autoriteit Persoonsgegevens. Wij spreken hem eind 2018 in het kantoor van de Autoriteit in Den Haag, een tijdelijk onderkomen, want de organisatie barst uit haar voegen. Lachend pareert Wolfsen elke kritiek. Dat hij, in tegenstelling tot eerdere bestuurders, maar 3,5 dag in de week werkt in plaats van fulltime, en dat in een periode waarin de Autoriteit haar naam zal moeten waarmaken, is in zijn ogen een detail. ‘Ik heb een redelijk ontspannen leven.’ Ook de klacht van privacy-experts dat de nieuwe, strenge wetgeving nog geen boetes heeft opgeleverd wuift hij weg. ‘Wij zeggen altijd: een boete is geen doel op zich.’ De nieuwe voorzitter is vooral trots: ‘We zijn het eerste jaar doorgekomen zonder gedoe of rare dingen zoals de telefoon niet opnemen.’

Voor Wolfsen staat er veel op het spel. Bij de Autoriteit krijgt hij een nieuwe kans om zich te bewijzen na een onvoorspoedig burgemeesterschap. Wolfsen laat een heel ander geluid horen dan zijn voorganger Kohnstamm. Indien nodig kunnen er ‘draconische’ boetes gegeven worden, maar niet zomaar, zegt hij tegen Trouw. Met de nieuwe wet in het vooruitzicht krijgt ‘voorlichting’ prioriteit. De toezichthouder gaat bedrijven weer ‘actief voorlichten en adviseren’. Ook belooft hij de wettelijke verplichting om klachten te behandelen zeer serieus te nemen. De Autoriteit zal een ‘ombudsman van de privacy’ worden, verklaart hij, tot onaangename verrassing van de medewerkers. Wolfsen lijkt álles te willen doen, duidelijke keuzes blijven uit.

Kort voor zijn vertrek heeft Kohnstamm, in een laatste poging om het ministerie van Justitie te overtuigen, een onafhankelijk onderzoeksbureau laten berekenen hoeveel mensen de organisatie nodig heeft voor de extra taken die de nieuwe privacywet met zich meebrengt. Het absolute minimum wordt geschat op 185 voltijdbanen, maar 220 zou realistisch zijn en wellicht moeten het er zelfs 270 worden. Maar dat is niet wat zijn opvolger Wolfsen krijgt. Het ministerie verhoogt het budget met de minimale middelen die het onderzoeksbureau adviseert: de toezichthouder mag op termijn groeien van de iets meer dan zeventig naar 185 banen, te beginnen tot zo’n 150 mensen in 2018. Wolfsen vindt het ‘top’, zegt hij. De relatie met het ministerie is ‘constructief’.

Chaos en ontgoocheling

In werkelijkheid gaat er kostbare tijd verloren waarin de Autoriteit zich had moeten voorbereiden op de nieuwe wet. Pas in de zomer van 2017 geeft het ministerie groen licht voor de groei. Met al het extra personeel in aantocht gaat de organisatie op de schop. In plaats van de twee afdelingen publiek en privaat komt er een opdeling in vier afdelingen met elk hun eigen directeur. Drie van de vier directeuren die Wolfsen aanstelt zijn nieuw en hebben, volgens voormalige medewerkers die anoniem willen blijven, te weinig ervaring met privacy. De oud-medewerkers geven aan dat Wolfsen niet naar hen luisterde en zich autoritair opstelde. De toezichthouder veranderde volgens hen in een angst-gedreven organisatie. Wolfsen herkent er niets van, zegt hij als we ernaar vragen. ‘Misschien dachten mensen dat ze een mooie plek zouden krijgen die ze niet hebben gekregen.’

Het blijft niet bij anonieme klachten. In ongeveer één jaar tijd vertrekt de volledige top: bestuurslid Wilbert Tomesen neemt na bijna zeven jaar ontslag (‘weggepest’, aldus oud-medewerkers), vier van de zes leden van het managementteam vertrekken, waaronder directeur Paul Frencken, die er bijna twaalf jaar zat. De hoofden van de oude twee toezichtsafdelingen vertrekken, na tien en negen jaar. En ook de bejubelde Sjoera Nas, die de strijd aanging met Facebook, houdt het voor gezien. In de jaren 2017 en 2018 vertrekken in totaal zo’n dertig ervaren krachten en stromen zo’n 115 nieuwelingen binnen. Een chaotische situatie.

‘De Autoriteit stond er op de dag dat de nieuwe privacywet inging slechter voor dan de tien jaar daarvoor’, zegt een ontgoochelde oud-medewerker. Nieuwe medewerkers vertellen ons, op voorwaarde van anonimiteit, dat ze het wiel opnieuw aan het uitvinden zijn. ‘Al die nieuwe mensen hebben werkelijk geen idee wat de nieuwe wet inhoudt, dat had ik ook niet’, zegt een van hen. ‘Het is onwaarschijnlijk gecompliceerd. Het duurt gewoon echt wel een tijdje voordat je dat een beetje doorziet.’

Investico werkt altijd samen met andere media. Zo versterken we de onderzoeksjournalistiek in Nederland.

Lees meer over ons

Gedreven nieuwe mensen worden bedolven onder het werk. Er ligt nog veel onderzoek van voorgangers dat afgehandeld moet worden, zoals een rapport over online taxiplatform Uber. Op de valreep van 2018 leidt de afronding daarvan tot een boete, nog onder de oude wetgeving. Het aantal meldingen van datalekken valt een stuk hoger uit dan het onderzoeksbureau dat de benodigde menskracht moest schatten heeft berekend. Ook het aantal klachten dat de Autoriteit individueel moet behandelen overschrijdt alle verwachtingen: tussen mei en november 2018 al bijna tienduizend. Ruim veertig procent daarvan blijft liggen. En ‘afhandeling’ blijkt relatief: in een derde van de wel afgehandelde gevallen verwijst de toezichthouder de klager terug naar de organisatie waarover hij klaagde.

Achter de feiten aan

De politieke keuze om de privacywaakhond al die jaren klein en onmachtig te houden wreekt zich nu. De Autoriteit heeft last van groeistuipen. Door de kennisachterstand van de nieuwe mensen, vele klachten en extra taken, loopt ze achter de feiten aan. In de woorden van een van de nieuwe medewerkers: ‘We zitten nog steeds in de opbouwfase. Het duurt nog zeker twee tot drie jaar voordat we volwassen zijn.’

Ondertussen razen de technologische ontwikkelingen voort, van kunstmatige intelligentie tot gezichtsherkenning. Door Facebook-schandalen en de nieuwe privacywet lijkt er een momentum te zijn voor privacybescherming, maar dat is ook zo weer verdwenen. ‘De wet wordt al geridiculiseerd’, zegt WRR-voorzitter Corien Prins. ‘Het gaat dan over scholen die geen klassenlijsten meer naar ouders zouden mogen sturen. Hoe vaak ik wel niet onterecht hoor: “Dat mag niet van de AVG.”’

Onze Autoriteit Persoonsgegevens kan de datadrang niet stoppen, maar ze is wel de instantie die het meest volledige overzicht heeft of zou moeten hebben van de bedreigingen voor onze privacy. De instantie die moet ingrijpen bij overtredingen, en die ons weer moet gaan waarschuwen. Een heldere visie, een strategie is onontbeerlijk. ‘Het is niet voldoende om bij actuele problemen op de trommel te roffelen’, zegt Corien Prins. ‘Het is noodzakelijk om te voorzien dat we volgend jaar met een probleem zitten, en nu op de trommel te roffelen. En dat heb ik de Autoriteit Persoonsgegevens nog niet horen doen.’

Wilt u onafhankelijke onderzoeksjournalistiek ondersteunen? Word Vriend van Investico

U las de longread van dit onderzoek. Heeft u naar aanleiding hiervan een tip? Neem contact met ons op

Onafhankelijke onderzoeksjournalistiek is onmisbaar in een democratie. Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland.

Word vriend