Onderbezetting toezichthouder privacy(CBP) is politieke keuze
Op de webpagina van het NRC-Handelsblad staan op 30 december 2015 een tweetal artikelen die gebaseerd zijn op een openhartig interview met Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens(CBP). Het eerste heeft als kop “Privacy kan mensen wél wat schelen”, het tweede de kop: “Privacywaakhond CBP kampt met onderbezetting” (overigens ook deels op www.nu.nl te lezen). Kohnstamm geeft er in aan dat privacy wel degelijk een belangrijk item is. Hij noemt persoonsgegevens ook het nieuwe goud. Daarnaast geeft hij een zeer sterk signaal af dat het CBP zwaar onderbezet is. Hij zegt duidelijk dat er minstens vijf keer zoveel personeel als er nu bij het CBP is, een goed begin zou zijn omdat anders de handhaving van de privacywetgeving in het gedrang komt. Hij heeft meerdere keren bij de politiek neergelegd dat er meer geld en mensen nodig zijn voor de huidige taken plus de uitbreiding door het ingaan van nieuwe regelgeving, maar kreeg nul op het rekest.
Autoriteit Persoonsgegevens
Jacob Kohnstamm werd geïnterviewd vanwege de naamsverandering van het CBP per 1 januari 2016. Het College Bescherming Persoonsgegevens gaat dan Autoriteit Persoonsgegevens heten. Het lijkt een naam die gezag moet uitstralen, maar de mogelijkheden om dat te doen zijn beperkt door de onderbezetting. Het CBP ontstond in 2000 uit de Registratiekamer en staat te boek als een zelfstandig bestuursorgaan gerelateerd aan het ministerie van Veiligheid en Justitie. Overigens zal Kohnstamm per 1 augustus 2016 het voorzitterschap neerleggen.
Onderbezetting
Eigenlijk is het CBP al vanaf het ontstaan een organisatie geweest die “undermanned and understaffed” is. Men heeft continu keuzes moeten maken wat wel of niet aangepakt moest gaan worden. Ook in het beoordelen van sommige zaken heeft het ook geschort aan voldoende en goede oordeelsvorming. Zo moest bijv. in 2013 het CBP een draai van 180 graden maken ten aanzien van haar eerdere goedkeringsbesluit betreffende de Gedragscode Zorgverzekeraars. Ook het stelselmatig ontwijkend reageren op het verzoek tot handhavend optreden tegen de onrechtmatige verwerking van gegevens in het DIS(DBC-Informatie-Systeem), als één van de grootste en meest risicovolle databanken van Nederland, is er een uiting van. Hier ligt een rechterlijke uitspraak van het College van Beroep voor het bedrijfsleven aan ten grondslag. Ook gaf het CBP in januari 2012 ten aanzien van het Landelijk SchakelPunt(LSP) slechts een beoordeling van het doorstartmodel van de Vereniging voor Zorgaanbieders Voor Zorgcommunicatie(VZVZ) vanuit de situatie dat de minister van VWS er verantwoordelijk voor was. Van de toen aangekondigde beoordeling van de daadwerkelijk gegevensuitwisseling in de praktijk is nooit iets terecht gekomen. In 2014 kwam het CBP ook met een halfzachte beoordeling van het verkrijgen van de opt-in-toestemmingen voor het LSP. Met een zeer beperkte steekproef, waren er best wel flinke missers. Het CBP rapporteerde echter pas, nadat VZVZ in staat was gesteld eerst een aantal missers te corrigeren.
Het nieuwe goud
Vanaf 1 januari 2016 treedt de meldplicht datalekken in werking en mag het CBP als kersverse autoriteit Persoonsgegevens hoge boetes opleggen in plaats van voorwaardelijke dwangsommen. Op 1 januari 2017 komt er de implementatie van Europese privacyregels bij. Het CBP werkt nu met 80 mensen, waarvan er 60 daadwerkelijk toezicht uitoefenen op de privacy. Desondanks moet Kohnstamm na verzoeken om uitbreiding van formatieplaatsen constateren dat er geen budget voor uitbreiding komt. Volgens Kohnstamm heeft het ministerie wel beloofd het budget van zijn organisatie opnieuw te overwegen als blijkt dat er zeer veel datalekken worden gemeld. Met de huidige bezetting kan het CBP maar 15 tot 20 grote zaken per jaar aan. De ambitie van Kohnstamm is echter meer en hij maakt zich dan ook terecht bezorgd over bedrijven die met “big data” verzameld via allerhande apps en websites aan “profiling” van de klant doen. Hij noemt “big data” ook het nieuwe goud. Het zoeken naar big data door grote bedrijven is te beschouwen als het fenomeen van “resource grabbing” en heeft dringend regelgeving nodig, zeker nu medische data ook onderdeel van “big data” zijn.
Kort houden
De enige conclusie die er getrokken kan worden bij het lezen van de woorden van Jacob Kohnstamm en bij een nauwkeurige beoordeling van wat het CBP vermag, is dat de overheid, c.q. de minister van Veiligheid en Justitie het CBP heel duidelijk kort houdt. Daardoor is het CBP niet in staat adequaat zaken aan te pakken. Kohnstamm stelt terecht dat privacy voor de burger wél wat kan schelen. De overheid laat merken door de zeer beperkte financiering dat privacy bij haar geen hoge prioriteit heeft. Het is weer een voorbeeld dat papier alles klopt maar dat de werkelijikheid net iets anders ligt.
Eigenlijk heeft wat er nu gebeurt met het CBP duidelijke parallellen met de gang van zaken rond de Nederlandse Voedsel en Waren Autoriteit. Die is ook bewust te klein gemaakt en valt onder een ministerie waar het economische belang van de agrariërs zwaarder telt dan de voedselveiligheid.
Het signaal dat Kohnstamm nu afgeeft moet beschouwd worden als een urgente “wake-up-call”, een beroep op de overheid om op een fatsoenlijke manier recht te doen aan de privacy van de burgers, die zij vertegenwoordigt. Helaas zijn de signalen die de overheid afgeeft over de privacy van burgers niet hoopgevend.
W.J. Jongejan
Recente reacties