Nieuw jasje voor Autoriteit Persoonsgegevens: ‘De boetes komen’
Het gemeentebestuur zit Wolfsen, oud-Kamerlid voor de PvdA en voormalig burgemeester van Utrecht, duidelijk nog in hart en nieren. Het interview is nauwelijks begonnen of hij heeft het al over de decentralisatie van de overheid, die gemeenten meer taken – en dus ook meer gevoelige persoonsgegevens – oplevert.
Wolfsen staat niet bekend als groot voorvechter van de privacy. Veel mensen zullen hem vooral kennen als de controversiële burgemeester die drie moties van wantrouwen overleefde, onder meer nadat hij had geprobeerd om een kritisch artikel in een huis-aan-huisblad te onderdrukken.
Toch zegt Wolfsen al langer betrokken te zijn geweest bij het onderwerp, onder meer toen hij eind jaren 90 als rechter werkte. In die functie besloot hij bijvoorbeeld over het uitvoeren van telefoontaps of huiszoekingen. “Dat zijn heel ingrijpende beslissingen”, zegt hij nu.
Voorlichting
Bijna twee decennia later heeft het internet gezorgd voor immer groeiende databases met persoonsgegevens, bij bedrijven en overheden. “Het is onvermijdelijk geworden dat je in bestanden zit”, zegt Wolfsen. “Er is geen maatschappelijke ontwikkeling mogelijk zonder ICT en zonder dataverzameling. Dat is zo. En dat mag. Bijna elke dag komt elke burger er wel in een bestand bij.”
Zelf gebruikt Wolfsen geen Facebook – “Ik heb geen behoefte aan vage vrienden” – en surft hij met een ad-blocker, om ervoor te zorgen dat adverteerders hem online niet volgen.
Het moet een kerndoel zijn van de Autoriteit Persoonsgegevens (AP) om mensen voor te lichten over privacyvraagstukken, zegt hij. Burgers moeten weten dat ze met hun gegevens betalen voor gratis internetdiensten.
“Als wij samen naar de bibliotheek zouden gaan en er zou bij de ingang een man staan met een camera, die permanent zou meelopen. Welk boek je inkijkt, waar je naar zoekt… Nou, die sla je onmiddelijk in elkaar. Althans vrij snel. Nu zit de bibliotheek op internet en gebeurt hetzelfde. En niemand maakt zich er zorgen over. Vind ik raar.”
“Bijna elke dag komt elke burger er wel in een bestand bij.”
Aleid Wolfsen
Boetes
In een Europese verordening, die op 25 mei 2018 van kracht wordt, is geregeld dat bedrijven transparanter moeten zijn over de manier waarop data worden verwerkt. Burgers moeten gemakkelijk inzage kunnen krijgen in hun eigen data, en om verwijdering kunnen vragen. Wolfsen is optimistisch over de gevolgen van de nieuwe wet.
“Het is een van de meest belobbyde, ingewikkelde wetgevingstrajecten in Europa geweest, met duizenden amendementen, dus dat geeft het belang al aan. Maar de rechten voor burgers zijn er echt in versterkt. De verantwoordelijkheden voor bedrijven verzwaard. En onze mogelijkheden tot draconische boetes uitgebreid.”
Onder het nieuwe systeem kunnen Europese privacytoezichthouders als de AP boetes van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet van een bedrijf uitdelen. Nu ligt de maximumboete voor overtredingen van de Wet bescherming persoonsgegevens op 820.000 euro, al heeft de AP zijn dit jaar ingevoerde boetebevoegdheid nog nooit gebruikt.
Daar komt verandering in, belooft Wolfsen. Sinds het begin van het jaar zijn er bijna vierduizend meldingen van datalekken binnengekomen. “We hebben inmiddels ook al tientallen onderzoeken lopen naar aanleiding van die meldingen”, zegt hij.
De toezichthouder doet verder geen uitspraken over de individuele onderzoeken, maar het gaat om gevallen waar de bescherming van persoonsgegevens “drastisch niet op orde” is. Het ligt dan ook in de lijn der verwachting dat er boetes zullen worden uitgedeeld, zoals deze week in het Verenigd Koninkrijk gebeurde nadat privégegevens werden gestolen bij de provider TalkTalk, die zijn beveiliging niet op orde had.
“We hebben een hele serie lekken, we hebben nu tientallen onderzoeken lopen, dus dat gaat hier ook gebeuren”, zegt Wolfsen. “Die boetes zitten eraan te komen.”
Klachten
Onder de nieuwe EU-regels wordt het voor burgers ook mogelijk om een officiële klacht in te dienen bij hun nationale privacytoezichthouder. Wolfsen wil daarmee een soort privacy-ombudsman worden, zei hij eerder deze week al in Trouw.
“Als je nu op de Wet bescherming persoonsgegevens klikt en je zoekt op het woord ‘klacht’, dat tref je dat niet aan in relatie tot een burger. Het komt niet voor.” In de toekomst zullen alle klachten van burgers worden behandeld. “Als wij dan zeggen: u hebt gelijk, u heeft uw klacht op goede gronden ingediend, dan gaan we optreden. Dan geven we een aanwijzing, een berisping, leggen we een boete op.”
Zo’n klachtensysteem zal de Autoriteit Persoonsgegevens ongetwijfeld meer werk opleveren, terwijl Wolfsens voorganger Jacob Kohnstamm al klaagde over het gebrek aan capaciteit bij de waakhond.
“Honderd procent zeker dat we groter moeten worden”, zegt Wolfsen ook, maar hij wil daar verder nog niet over uitweiden. In opdracht van het ministerie van Justitie wordt een onderzoek uitgevoerd – “objectief, onafhankelijk en deskundig” – en daaruit moet een blauwdruk van een nieuwe AP rollen.
Overheid
Wolfsen lijkt er in ieder geval op te vertrouwen dat de Nederlandse politiek privacy hoog in het vaandel heeft staan. Hij komt steeds weer terug op een recente stemming in de Eerste Kamer – “Unaniem! Heel mooi! ” – waarmee het kabinet werd verzocht om de AP intensiever te laten toezien op het uitwisselen van elektronische patiëntgegevens, en daar budget voor vrij te maken.
Ook prijst hij de reactie van minister Kamp op de diefstal van de energiegegevens van 2 miljoen huishoudens. De minister riep de sector deze week op om snel verbeteringen in de beveiliging door te voeren. “Misschien had Kamp dat een paar jaar geleden helemaal niet gedaan”, zegt Wolfsen.
“Honderd procent zeker dat we groter moeten worden.”
Aleid Wolfsen
Toch wil hij zich niet uitlaten over enkele controversiële plannen van het kabinet, waarmee nieuwe druk wordt gezet op de privacy. Met de Wet computercriminaliteit III wil de regering de politie de mogelijkheid geven om computers van verdachten te hacken. Daarbij kunnen ook gegevens van onschuldige burgers worden ingezien.
In 2014, toen Wolfsen al in de Raad van Advies van het toenmalige College Bescherming Persooonsgegevens zat, was de toezichthouder nog erg kritisch op het voorstel. Er werd onvoldoende onderbouwd waarom de wet nodig was, stelde de organisatie toen.
Gevraagd naar het wetsvoorstel zegt Wolfsen nu: “Die heb ik niet paraat, ik ben er net. In alle eerlijkheid ben ik daar niet ingedoken.” Hij wil zich ook niet uitlaten over de voorgestelde Wet op de inlichtingen- en veiligheidsdiensten, die de bevoegdheden van de inlichtingendiensten zou uitbreiden. Vermoedelijk zal de AP nog wel een officieel advies over die wet uitbrengen aan het kabinet, op het moment dat ook de Raad van State zijn advies openbaar maakt.
Wolfsen wil alleen zeggen dat AIVD-directeur Rob Bertholee onlangs te ver ging toen hij in de Volkskrant suggereerde dat versleutelde communicatie altijd gekraakt moet kunnen worden door de inlichtingendienst. “Als je een openingetje maakt, altijd, dan kunnen slimme technische jongens daar ook bij”, zegt Wolfsen. De keuze tussen veiligheid en privacy noemt hij een “valse tegenstelling”.
Gemeenten
Meest kritisch is hij over de beveiliging van persoonsgegevens door gemeenten. Bijna 10 procent van de gemelde datalekken vond plaats bij gemeenten, bleek onlangs uit cijfers van de AP. “Ik denk dat men zich in Gemeenteland nog onvoldoende bewust is van het feit dat ze over zo ontzettend veel data en ook heel gevoelige gegevens van mensen beschikken.”
Elke gemeente, groot of klein, moet zijn beveiliging op orde hebben, betoogt Wolfsen. “Als een kleine gemeente dat niet lukt, dan moeten ze de hulp van een grote broer inroepen. Er is altijd een grote gemeente in de buurt, die daar meer verstand van heeft.”
“Er is ook in Lutjebroek geen enkele rechtvaardiging om te zeggen: ze hebben bij ons in de computersystemen kunnen inbreken, want we hebben geen deskundige mensen. Geen rechtvaardiging. Daar kun je niet streng genoeg in zijn.”