Beeld © Ivo van de Grift

Overheid laat privacybeschermer ‘gênant’ spartelen onder stortvloed van klachten

De privacyrechten van EU-burgers zijn duidelijk vastgelegd. Wie vindt dat ze worden geschonden, kan terecht bij een toezichthouder – in Nederland de Autoriteit Persoonsgegevens. Maar die verdrinkt in een stuwmeer van bijna 10.000 klachten die nog op behandeling wachten.

Dit stuk in 1 minuut
  • In het nieuws: De Autoriteit Persoonsgegevens (AP) legde Locatefamily.com vorige week een boete op van 525.000 euro. Het internetbedrijf bewaart en publiceert ongevraagd adresgegevens en telefoonnummers en heeft in de Europese Unie geen loket waar burgers kunnen aankloppen om hun gegevens te laten verwijderen.
  • De boete toont een zeldzame daadkracht. De Autoriteit Persoonsgegevens kraakt namelijk onder gebrek aan personeel en middelen.
  • Dat is een probleem. De overheid is verplicht de Autoriteit voldoende budget te geven, zodat burgers er terechtkunnen als bedrijven of instanties hun privacyrechten schenden. Dat heeft Nederland zo afgesproken met andere EU-lidstaten, waar eenzelfde verplichting geldt. 
  • Maar Den Haag komt die verplichting niet na, zegt AP-voorzitter Aleid Wolfsen. Zijn organisatie wordt overspoeld door klachten.
  • Opmerkelijk: Premier Mark Rutte hamert er tegenover zuidelijke lidstaten graag op hoe belangrijk het is om Europese afspraken na te komen. Maar uitgerekend bij bewindspersonen van de VVD krijgt de toezichthouder al jaren nauwelijks gehoor.
Lees verder

In maart 2018 ontvouwt premier Mark Rutte (VVD) in Berlijn zijn visie op de toekomst van de Europese Unie. Wat hem stoort is dat de EU telkens mooie beloftes doet, maar dat de daden achterblijven bij de woorden. Pogingen om beloftes waar te maken zijn ‘soms op zijn best halfslachtig’. 

‘Dit ondermijnt de geloofwaardigheid van Europa en het vertrouwen van de mensen.’

Volgens Rutte zou de EU vooral praktisch nut moeten hebben, zo houdt hij het Berlijnse publiek voor in zijn toespraak bij de Bertelsmann-Stiftung.

Een afspraak die Europeanen bij uitstek veel belooft, is de Algemene Verordening Gegevensbescherming (AVG). Die regelt sinds 25 mei 2018 een trits nieuwe rechten die EU-burgers grip moet geven op hun privacy, zoals het recht om een (internet)bedrijf te vragen persoonlijke gegevens te verwijderen.

Age Bosma doet zo’n verzoek in de zomer van 2018 bij verhuursite Airbnb. Het contact verloopt echter frustrerend: hij krijgt soms wekenlang geen reactie en dan weer tegenstrijdige verhalen van Airbnb.

Hij meldt zich bij Follow the Money nadat hij las over mijn eveneens moeizame contact met Airbnb. ‘Herkenbaar,’ zegt Bosma.

Maar ook de instantie die toezicht houdt op naleving van de privacyverordening – de Autoriteit Persoonsgegevens – reageert bepaald niet snel. 

Bosma dient in oktober 2018 een klacht in over Airbnb. Na vier maanden krijgt hij pas een ontvangstbevestiging. En de laatste keer dat Bosma iets van zijn zaakbehandelaar bij de AP hoorde, was in juni 2019. Bijna twee jaar geleden. Hij wacht nog altijd op de behandeling van zijn zaak.

Weinig hoop

Bosma’s verhaal is niet uniek. Naar aanleiding van mijn eerdere artikel meldden verscheidene lezers zich met verhalen over de Autoriteit Persoonsgegevens. Gemene deler: ze wachten al lang op een oplossing van hun klacht, soms al twee jaar. 

Dat biedt weinig hoop voor een snelle afwikkeling van mijn eigen klacht over Airbnb, die ik indiende op 2 maart. 

Sinds de privacyverordening drie jaar geleden van kracht werd, ontving de Autoriteit bijna 76.000 meldingen over privacyschendingen. Op 1 januari 2021 lagen er nog 9.800 op behandeling te wachten. Aanstaande donderdag (20 mei) debatteert de Tweede Kamer met de verantwoordelijke minister, Sander Dekker (Rechtsbescherming, VVD) over de toezichthouder, die dus omkomt in het werk.

Silvan Jongerius, oprichter en directeur van het adviesbureau TechGDPR, is een van de velen die een beroep doen op de Autoriteit. Hij helpt bedrijven om de Algemene Verordening Gegevensbescherming na te leven en diende sinds de inwerkingtreding al zo’n tien keer een klacht in, op persoonlijke titel

Zo vraagt hij de Autoriteit in februari 2019 te kijken naar Integrated Systems Europe, een organisator van vakbeurzen, die mensen korting op toegangstickets zou hebben gegeven in ruil voor toestemming hun persoonsgegevens met derden te delen. 

De Autoriteit vertelt Jongerius per brief dat zijn klacht wordt samengevoegd met die van anderen en dat hij niet meer individueel op de hoogte wordt gesteld van vorderingen met zijn dossier. Die brief krijgt hij pas in april 2020, ruim een jaar nadat hij zijn klacht indiende. Hij moet ook lang wachten op reacties op zijn andere klachten.

Heel gênant

‘We zijn ernstig onderbemenst. We worden overladen door werk,’ verklaart Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens in een telefoongesprek met Follow the Money. ‘Als iemand nu een klacht indient dan zijn we zes, zeven maanden verder voordat we die überhaupt openmaken. Dat is heel vervelend en heel gênant zelfs.’

De toezichthouder waarschuwt op zijn website tegenwoordig ook zelf voor de lange wachttijden: 
‘Let op: omdat de AP enorm veel klachten ontvangt, duurt het momenteel ongeveer 6 maanden voordat de AP uw klacht kan behandelen. Bedenk daarom, voordat u een klacht indient, of dat op dit moment wel de juiste oplossing voor u biedt.’

Silvan Jongerius heeft kritiek op die passage: ‘Als je zo al communiceert, demotiveer je mensen om een klacht in te dienen. Dat is niet in lijn met de bedoeling van de AVG.’

AP-voorzitter Wolfsen bestrijdt dat de boodschap is bedoeld om potentiële klagers af te schrikken. ‘Dat zou ook niet goed zijn. We ontmoedigen mensen niet, maar we zijn wel eerlijk over het feit dat het lang duurt – zeer tot onze spijt en buiten onze schuld.’

Het verantwoordelijke ministerie van Justitie en Veiligheid heeft ook geen problemen met de passage op de website: ‘Het is goed dat er voorlichting is om te voorkomen dat verkeerde verwachtingen bestaan.’

Wie zich niet laat demotiveren, kan gewoon online een klacht indienen bij de AP. De mogelijkheden om dat telefonisch te doen zijn wel ingeperkt.

In maart 2020 was de Autoriteit ‘vanwege de maatregelen tegen het coronavirus’ tijdelijk beperkt bereikbaar, van 9.00 tot 13.00 uur in plaats van tot 17.00 uur. In juni werd dat weer iets langer, tot 15:00 uur, nog altijd vanwege corona. In juli 2020 verdween de verwijzing naar corona van de website, maar wat bleef was de beperkte openingstijd tot 15.00 uur. 

In haar klachtenrapportage over 2020 geeft de Autoriteit toe dat niet de pandemie maar ‘haar krappe budget’ de reden is.

Sinds kort wordt de telefoon opnieuw na 13.00 uur niet meer opgenomen. Wolfsen: ‘Als je wilt voorkomen dat de medewerkers overspannen en overwerkt raken, dan moet je gewoon noodmaatregelen nemen.’

Sinds 2019 vraagt de toezichthouder al van klagers om zich eerst te melden bij de veroorzaker van hun klacht en dan pas bij de Autoriteit Persoonsgegevens.

‘Ik vond dat verbazingwekkend,’ zegt AVG-adviseur Jongerius. Volgens hem is daar geen wettelijke basis voor. ‘Een klacht kan je direct na het verstrijken van de dertigdagentermijn indienen. Het lijkt een middel van de Autoriteit om verantwoordelijkheid te ontlopen.’

Volgens Wolfsen is het advies bedoeld om mensen ‘handelingsperspectieven’ te geven: wat kunnen ze zélf doen, zonder een klacht in te dienen bij de toezichthouder?

Het vroeger sluiten van de telefoonlijnen, het terugverwijzen naar het bedrijfsleven, het vermelden van de wachttijd van zes maanden – het lijkt allemaal van invloed geweest op het aantal ingediende klachten. Dat daalde in 2020 met 8 procent ten opzichte van het jaar daarvoor en dat komt volgens de Autoriteit zelf door de bovengenoemde aanpassingen van het beleid. Niet per se omdat persoonsgegevens beter worden beschermd.

De reden voor het inkrimpen van de dienstverlening is telkens dezelfde: de toezichthouder kampt met een personeelstekort. En dat is tegen de afspraak.

Mark Rutte: ‘Steeds vaker lijkt het dat lidstaten vinden dat afspraken terzijde kunnen worden geschoven als het nationaal even tegenzit. Alsof Europa een menukaart is waaruit je kunt kiezen wat je wil hebben en weigeren wat je niet zint. Maar Europa is geen menukaart. We moeten ervan op aan kunnen dat een “ja” ook echt “ja” betekent.’
Berlijn, 2 maart 2018

Als er de afgelopen jaren één Europese politicus is die het belang van het nakomen van afspraken heeft benadrukt dan is het Rutte. In zijn Berlijnse toespraak (video) over de toekomst van Europa zei hij in nog geen drie kwartier zes keer hetzelfde: ‘A deal is a deal.’ Afspraak is afspraak.

Nederland zei twee jaar eerder ‘ja’ tegen de privacyverordening. Ruttes VVD-collega, minister van Veiligheid en Justitie Ard van der Steur, stemde voor.

Bij een schriftelijke stemming schaarden bijna alle lidstaten zich achter de tekst, die ze hadden uitonderhandeld met het Europees Parlement en de Europese Commissie.

Hiermee zei Nederland ook ‘ja’ tegen artikel 52, lid 4: ‘Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden [...].’

‘Daar zit geen woord Spaans bij,’ zegt AP-voorzitter Wolfsen. Hij verwijst naar drie onderzoeken die elk vaststelden dat de toezichthouder flink moet groeien om zijn taken uit te voeren. ‘Je hoeft geen EU-rechtskundige te zijn om te zien dat Nederland die verplichting uit de AVG niet is nagekomen.’ 

Nederland heeft overigens tijdens de onderhandelingen geprobeerd om de verplichting uit de verordening te halen (zie kader).

Reconstructie van de totstandkoming van artikel 52, lid 4

Het is begin 2012 wanneer de Europese Commissie de concepttekst voor de verordening voorstelt. Vanaf dan begint de ingewikkelde en trage wetgevingsmolen te draaien: lidstaten behandelen het voorstel in de Raad van de EU, politieke partijen in het Europees Parlement. 

De voorgestelde verordening bevat allerlei regels over digitale rechten waarvan de Commissie vindt dat EU-burgers ze moeten krijgen. Nationale toezichthouders moeten ervoor zorgen dat die regels worden nageleefd: één Europese toezichthouder is politiek een brug te ver

Het Commissievoorstel bevat echter wel een duidelijke opdracht: de lidstaten moeten er ook voor zorgen dat die nationale toezichthouders de menskracht en financiële middelen hebben voor hun waakhondfunctie.

Adequate financiering en bestaffing

Die passage, in de eerste versie nog artikel 47, lid 5, valt ook in Den Haag op. In een eerste beoordeling verwijst Ben Knapen (CDA), toenmalig staatssecretaris van Buitenlandse Zaken, expliciet naar de voorgestelde ‘verplichting tot adequate financiering en bestaffing van de nationale toezichthouder’.

Knapen schrijft: ‘Of aan die verplichting wordt voldaan staat uiteindelijk ter beoordeling aan de Europese Commissie. Dit roept uit oogpunt van het budgetrecht een probleem op.’ Het is volgens hem duidelijk dat het voorstel ‘gevolgen heeft voor de (apparaats)begroting van het College Bescherming Persoonsgegevens’ (CBP), de voorloper van de Autoriteit Persoonsgegevens.

Budgettair gezien komt het voorstel op een slecht moment. Het kabinet is juist bezig met bezuinigen, in reactie op de financiële crisis. Ook het CBP moet inleveren.

Overigens benadrukt staatssecretaris van Veiligheid en Justitie Fred Teeven (VVD) in 2012 dat het CBP zoveel mogelijk wordt ‘ontzien’: het budget voor de privacywaakhond krimpt sinds 2010 jaarlijks met slechts 1 procent, ‘waar andere organisaties tot 10 procent of meer structureel hebben moeten inleveren’.

Het voorstel is duidelijk: de lidstaten moeten zorgen voor menskracht en financiële middelen voor hun waakhonden

Maar het CBP heeft het al niet breed. Dat weet ook de Raad van State, die door de Tweede Kamer is gevraagd advies te geven over het plan voor een nieuwe privacyverordening van de Europese Unie.

‘Uit de Nederlandse praktijk is bekend dat het CBP uit capaciteitsoverwegingen besloten heeft om binnen zijn takenpakket bepaalde prioriteiten te stellen. Dat heeft tot gevolg gehad dat bepaalde taken niet meer of slechts zeer beperkt worden uitgevoerd.’

Dat leidt volgens de Raad van State tot de vraag of de lidstaten wel moeten vasthouden aan het door de Commissie voorgestelde ambitieuze nieuwe takenpakket. ‘De kosten van deze activiteiten zijn vooralsnog niet op toereikende wijze in kaart gebracht.’ 

Ook sommige politieke partijen maken zich in 2012 zorgen over hoe toezicht moet worden gefinancierd.

De SP-fracties in beide Kamers vragen het kabinet om een ‘(privacy)waakhond met tanden’ die voldoende personeel heeft om onderzoek te doen. 

Ivo Opstelten (VVD), de minister van Veiligheid en Justitie, oordeelt echter dat het CBP ‘thans’ genoeg financiële en personele middelen heeft om ‘zijn taken op redelijke wijze te vervullen’, maar over de verzwaring van het takenpakket als gevolg van de nieuwe EU-regels, zegt Opstelten niets.

Nederland is ‘ongelukkig’ met de verplichting

In de Raad van de Europese Unie keert Nederland zich tégen de expliciete verplichting voor lidstaten om ervoor te zorgen dat hun nationale toezichthouders genoeg middelen en personeel hebben. 

Teeven schrijft in 2013 in een toelichting dat Nederland ‘ongelukkig’ is met de ‘verplichting tot financiering van de toezichthouder, onder eindcontrole van de Europese Commissie’. Die bepaling ‘interfereert’ volgens Teeven met ‘het grondwettelijk vastgelegd budgetrecht’. Met andere woorden: het Nederlands parlement hoort te bepalen hoe Nederlands belastinggeld wordt besteed, niet de Europese Commissie.

Bovendien, dat elke lidstaat zijn toezichthouder voldoende personeel en geld geeft, ‘spreekt wat Nederland betreft voor zich [..]. Nederland komt die verplichting na,’ schrijft Teeven.

Tegelijk benadrukt hij dat moet worden voorkomen dat de EU-verordening bij burgers de ‘onjuiste indruk’ wekt dat elke toezichthouder alle taken zal kunnen uitvoeren. ‘Er kan geen sprake zijn van 100 procent handhaving. En dat wordt moeilijker naarmate ook toezichthouders minder te besteden hebben in een tijd van budgettaire beperkingen.’

Volgens Teeven ‘interferreert’ de verplichting met het nationale budgetrecht

De Nederlandse delegatie in Brussel stelt in juni 2013 voor om de verplichte financiering te verwijderen. Ook andere landen uiten die zomer kritiek op de tekst van artikel 47, lid 5. Frankrijk, Zweden en Slowakije vinden de tekst te rigide; Letland en het Verenigd Koninkrijk te vaag.

Het ministerie van Justitie zegt dat Nederland een alternatieve tekst heeft voorgesteld, maar geeft geen antwoord op de vraag wat daarmee is gebeurd. ‘Over hoe andere lidstaten en de Europese Commissie op dit voorstel hebben gereageerd kunnen vanwege de vertrouwelijkheid van de besprekingen in de Raad geen mededelingen worden gedaan.’

In de Raad verschuift de aandacht naar andere elementen in de verordening en uit een analyse van vrijgegeven documenten blijkt artikel 47, lid 5 geen groot onderwerp van debat meer te zijn geweest.

Ergens onderweg is het verzet gestaakt.

Wanneer de lidstaten in maart 2015 akkoord gaan met een compromistekst is de passage over financiële middelen voor de toezichthouder nagenoeg dezelfde als in het Commissievoorstel uit 2012.

Die tekst van maart 2015 wordt de inzet van de Raad in de onderhandelingen met het Parlement en de Commissie. Die gesprekken zijn complex en duren nog de rest van het jaar – maar over artikel 47, lid 5, gaat het niet meer.

Lees verder Inklappen

Nu, in 2021, wijst Aleid Wolfsen erop dat de Algemene Verordening Gegevensbescherming ‘het meest belobbyde wetgevingstraject ooit’ kende, waarvan de onderhandelingen vier jaar hebben geduurd. ‘Alle aandacht ging naar de inhoud en die lobby. Dat er voor het toezicht ook op tijd geld gereserveerd had moeten worden, daar is gewoon niet goed opgelet. Dat is heel pijnlijk en dat moet nu gecorrigeerd worden.’

Mark Rutte: ‘Alle compromissen die we sluiten, zijn op elke lidstaat volledig van toepassing. Je kunt niet alleen diegene eruit pikken die thuis gemakkelijk te verkopen zijn.’
Berlijn, 2 maart 2018

Hoe dan ook: ondanks het initiële verzet geldt nu voor lidstaten – ook voor Nederland – een taak om ervoor te zorgen dat de toezichthouders genoeg geld hebben om de verordening toe te passen. ‘Het is gewoon het nakomen van een wettelijke verplichting. Zo eenvoudig is het,’ zegt Wolfsen.

Toch blijkt dat niet zo eenvoudig, en ook niet zo vanzelfsprekend als Teeven in 2013 beweerde, toen hij aan de Kamer schreef: ‘Nederland komt die verplichting na’. 

Wolfsens voorganger Jacob Kohnstamm voorspelde al in december 2015 in NRC Handelsblad dat de Autoriteit Persoonsgegevens het werk niet aan zou kunnen. ‘Ik ben erg enthousiast over de nieuwe taken en de Europese verordening. Maar ik ben er niet in geslaagd om het ministerie te overtuigen van de noodzaak van extra menskracht,’ zei Kohnstamm. Hij pleitte toen voor een vervijfvoudiging van het personeelsbestand als ‘goed begin’. 

Aan het einde van 2015 had het CBP bijna 75 fte. De Autoriteit Persoonsgegevens telt er nu 184. Wolfsen: ‘We zijn natuurlijk wel fors gegroeid de afgelopen jaren, eerlijk is eerlijk.’ Ook de begroting is flink gestegen, van 8 miljoen euro in 2015 tot bijna 25 miljoen vorig jaar. 

Maar volgens Wolfsen, die zich baseert op onderzoek van KPMG, is in 2025 een personeelsbestand van 470 fte nodig en een budget van 66 miljoen euro.

Sander Dekker, demissionair minister van Rechtsbescherming, is verantwoordelijk voor de begroting van de Autoriteit Persoonsgegevens. Hij meldt op 1 maart aan de Kamer dat het ‘gelet op de demissionaire status van dit kabinet’ niet mogelijk is om budgetverhogingen te beloven, omdat dit ‘nieuw beleid’ zou zijn.

‘Investeringen als deze vragen om fundamentele beleidskeuzes die aan een volgend kabinet zijn.’ Ook zegt Dekker dat er te veel onzekerheden in het KPMG-rapport staan om ‘tot een eenduidige, meerjarige, vooruitkijkende capaciteitsraming te komen’.

‘Hij loopt er een beetje bij weg,’ zegt Wolfsen over Dekker. ‘Hij zegt: ik ben demissionair en ik kan niet in de portemonnee van de opvolger zitten graaien. Daar zit wat in. Tegelijkertijd hebben hij en ik samen het onderzoek van KPMG gevraagd. Daarvan wisten we beiden dat eruit ging komen dat de AP moet groeien. Dan kun je daar ook de middelen alvast voor reserveren, omdat je het onderzoek niet voor niks doet.’

Onzekerheden zijn er altijd, zegt Wolfsen. ‘Dekker weet ook niet wat er volgend jaar bij de politie gaat gebeuren of hoeveel rechtszaken er gaan komen.’ 

‘De minister loopt er een beetje bij weg: ik ben demissionair en kan niet in de portemonnee van mijn opvolger graaien’

Ook Wolfsens verzoek om de Autoriteit uit te breiden naar 470 fte is gebaseerd op schattingen en verwachtingen.

‘Je kunt er natuurlijk over twisten of het er tien of twintig meer of minder moeten zijn. Het is geen wiskunde. Maar dat er een heel groot gat zit tussen wat we hebben en wat we moeten hebben, dat is evident. Dat heeft niets met nieuw beleid te maken, dat is puur het nakomen van de afspraken van alle ministers in Europa.’

Het ministerie van Justitie zegt in een reactie dat Nederland zijn verplichtingen nakomt en dat de verordening ‘geen kwantitatieve eisen’ stelt aan ‘input’ als begrotingen en personeel of aan ‘output’. 

Daarbij heeft de Autoriteit Persoonsgegevens, volgens Justitie, Europees gezien ‘een relatief hoog budget’ en was de groei in begroting en personeel relatief sterk. ‘Aangezien voor alle landen dezelfde juridische basis geldt (namelijk de AVG) is dat een aanwijzing dat Nederland het relatief goed doet qua uitvoering van de verordening.’

Europees probleem

Het capaciteitsprobleem speelt op meer plekken. In slechts zeven van de 27 lidstaten (plus die in Noorwegen en het Verenigd Koninkrijk) zeggen de toezichthouders begin 2020 in een peiling dat ze voldoende slagkracht hebben om hun taken uit te voeren. Twintig lidstaten zijn dus in overtreding van de verplichting om hun datawaakhonden voldoende financiële middelen te geven.

Wanneer een lidstaat zich niet houdt aan een Europese verordening, is het de taak van de Commissie om dat land tot de orde te roepen. Het voornaamste middel dat zij daarvoor heeft, is de zogeheten inbreukprocedure. Vooralsnog heeft de Commissie die niet willen inzetten om lidstaten te manen meer geld vrij te maken voor nationale toezichthouders.

Hoewel de Autoriteit Persoonsgegevens zelf heeft verklaard dat ‘Nederland niet aan wettelijke toezichtseisen’ voldoet, weigert de Europese Commissie specifieke vragen over Nederland te beantwoorden.

Een meerderheid in het Europees Parlement spreekt in maart 2021 zijn bezorgdheid uit over ‘het feit dat de Commissie niet ingrijpt om iets te doen aan het gebrek aan middelen van de gegevensbeschermingsautoriteiten’. Het Parlement ‘betreurt het’ dat de landen daarmee ‘inbreuk plegen op artikel 52, lid 4’ van de AVG. 

De Europarlementariërs roepen de Commissie op om ‘onverwijld’ actie te ondernemen. 

Opvallend is dat die oproep wordt gesteund door onder meer de Europarlementariërs van VVD en D66, maar dat die van CDA en ChristenUnie tegenstemden. Deze vier coalitiepartijen zijn sinds 2017 samen verantwoordelijk voor de huidige situatie in Nederland.

Slechts een maand eerder – in februari 2021 – stemde de Tweede Kamer over een motie van Maarten Hijink (SP) waarin hij pleit voor een verhoging van het budget van de Autoriteit Persoonsgegevens. Die motie kon juist niet rekenen op de steun van de VVD, maar wel op die van de ChristenUnie.

Kamermoties die aandacht vragen voor de capaciteitsproblemen van de AP.

Dus de VVD zegt in Brussel dat de Commissie actie moet ondernemen tegen landen als Nederland die hun toezichthouders budgettair in de steek laten, maar weigert in Den Haag een oproep te steunen voor een hoger budget. Ondertussen doet de ChristenUnie precies het omgekeerde.

Het kan nog bonter.

Op 8 maart 2018 eist de Tweede Kamer in een motie ‘dat de Autoriteit Persoonsgegevens voldoende capaciteit en middelen moet hebben en houden om haar taken en bevoegdheden goed uit te kunnen voeren’ en dat het kabinet voor het einde van het jaar informatie geeft ‘over de wijze waarop de Autoriteit Persoonsgegevens in staat is haar additionele taken en bevoegdheden goed uit te voeren’.

Dat is zes dagen na de Berlijnse toespraak van VVD-leider Mark Rutte – a deal is a deal – over het nakomen van afspraken. De enige partij die tegen deze motie stemt: de VVD.

De volledige reactie van het ministerie van Justitie en Veiligheid

‘De taken van AP bestaan onder andere uit toezicht, klachtafhandeling, advisering, voorlichting en internationale taken. Als onafhankelijke toezichthouder heeft de AP de vrijheid om zelf te bepalen hoe de middelen die het ministerie beschikbaar stelt over deze taken worden verdeeld. 

De AVG stelt daar geen kwantitatieve eisen aan, noch qua input (in hoeveel euro’s of fte’s) noch qua output. Elke lidstaat moet de toezichthouder op redelijke en evenredige wijze in staat stellen om zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Ook uit het eind 2020 afgeronde KPMG-onderzoek naar taken en middelen van de AP blijkt dat de AP aan haar wettelijke taken voldoet. Uiteraard kan de AP, net als andere organisaties, niet alle taken in de volle omvang oppakken. Dat vraagt dat de AP, zoals alle organisaties, prioriteiten stelt in de uitvoering van haar taken. Hoewel de instroom van bijvoorbeeld klachten en datalekmeldingen niet direct beïnvloedbaar is, is de wijze waarop hiermee wordt omgegaan door de AP dat wel.

Daarnaast is gebleken uit een vergelijking met 31 leden van de European Data Protection Board dat de AP een relatief hoog budget heeft. Aangezien voor alle landen dezelfde juridische basis geldt (namelijk de AVG) is dat een aanwijzing dat Nederland het relatief goed doet qua uitvoering van de verordening. 

Ook is er sprake van een relatief sterke groei in budget en personeel: in 2016 was het budget van de AP nog 7,7 miljoen euro. Na inwerkingtreding van de AVG op 25 mei 2018 is haar budget gestegen naar 12,8 miljoen euro. 

Het huidige structurele financiële kader van de AP is circa 19 miljoen euro, incidenteel zijn er jaarlijks ook extra middelen aan de AP verstrekt om een goed financieel verloop te waarborgen; in 2020 had AP een uiteindelijk budget van 23,8 miljoen euro en aan begin 2021 is een budget van 24,6 miljoen euro ter beschikking gesteld. 

Alleen in Finland en Ierland was zowel de personele als de budgettaire groei hoger dan in Nederland.’

Lees verder Inklappen