Handhaving AVG laat te wensen over

De Autoriteit Persoonsgegevens (AP) schiet tekort bij de handhaving van de Algemene verordening gegevensbescherming (AVG). Ook andere Europese landen hebben moeite om de privacywet te handhaven. Het Europees Parlement wil dat de lidstaten het budget voor de toezichthouders verhogen. Demissionair minister Dekker (Rechtsbescherming) laat die beslissing over aan een volgend kabinet.

31 maart 2021 | Door redactie

Vorige week stemden de Europarlementariërs in met een motie die de lidstaten oproept om het budget van de toezichthouders van de AVG te verhogen. Ook voor de Nederlandse toezichthouder zou het budget al jaren ontoereikend zijn om zijn controlerende taken uit te voeren. Hierdoor kampt de AP met achterstanden en schiet de handhaving van de privacywet tekort. In 2020 leidde slechts 0,15% van alle gemelde datalekken tot onderzoek door de AP. Een goede reden dus voor de ondernemingsraad (OR) om kritisch te kijken naar de bescherming van de persoonsgegevens in de eigen organisatie. De OR moet immers waken over de privacy in de organisatie (artikel).

Budget moet volgens AP verdrievoudigd

Volgens de AP zijn het gebrekkige toezicht en de lange wachttijden te verklaren door een structureel gebrek aan geld. Het budget van de AP bedraagt zo’n € 21 miljoen per jaar. Accountantsbureau KPMG berekende onlangs dat de toezichthouder jaarlijks meer dan het dubbele (minimaal €45 miljoen) nodig heeft om zijn kerntaken uit te voeren. AP-voorzitter Aleid Wolfsen legt de ondergrens zelfs bij € 66 miljoen.
Een Kamermeerderheid stemde in met een verhoging van het budget, kort nadat het datalek bij de GGD aan het licht was gekomen. Demissionair minister Dekker laat de beslissing hierover echter over aan een volgend kabinet. Volgens het KPMG-rapport is namelijk onduidelijk of de AP voldoende efficiënt werkt. Hierdoor kan de minister moeilijk inschatten hoeveel budget de AP nodig heeft.

Privacy is belangrijk aandachtspunt voor OR

Privacymanagement (toolbox) is een belangrijk aandachtspunt voor zowel de bestuurder als de OR. De OR heeft namelijk instemmingsrecht bij regelingen die betrekking hebben op de verwerking en bescherming van de persoonsgegevens van iedereen die in de onderneming werkzaam is (artikel 27, lid 1k WOR), en op regelingen die betrekking hebben op voorzieningen om de aanwezigheid, het gedrag of de prestaties van werknemers te monitoren (artikel 27, lid 1l WOR).
De vele recente berichten over datalekken tonen aan dat de kans reëel is dat systemen worden gehackt en privacygevoelige gegevens hierdoor in verkeerde handen komen. De OR doet er daarom verstandig aan om kritisch te kijken naar de beveiliging van persoonsgegevens. De OR mag hierbij de hulp van een externe deskundige inschakelen (artikel 16 WOR). Is de OR van mening dat de beveiliging van persoonsgegevens beter kan, dan kan de raad hiervoor (ongevraagd) een verbetervoorstel indienen bij de bestuurder (artikel 23, lid 3 WOR).