GDPR-interview: Autoriteit Persoonsgegevens wil vooral problemen oplossen

Op 25 mei gaat de AVG/ GDPR in, dat zal niemand zijn ontgaan. ChannelConnect stelde daarom een aantal vragen aan Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens (AP) is de toezichthouder die de naleving van de GDPR gaat controleren in Nederland. De AP heeft de bevoegdheid om boetes op te leggen, maar dat is geen doel op zich, legt Wolfsen uit. “We willen vooral problemen oplossen. Dat betekent dat we steeds kijken welk handhavingsmiddel het meeste effect heeft. Soms kan een snelle interventie het beste werken: dus een briefje of telefoontje naar de organisatie dat men mogelijk in overtreding is, soms is een sanctie in de vorm van een last of een boete beter op zijn plaats.”

Hoe ver zijn bedrijven en organisaties met de voorbereidingen?
“We horen verschillende geluiden van bedrijven en organisaties. Sommige zijn al jaren bezig met de voorbereiding en lijken hun zaakjes goed op orde te hebben. Andere komen van ver, en hebben nog veel werk aan de winkel. De Autoriteit Persoonsgegevens probeert zo veel mogelijk begeleiding te bieden aan organisaties die zich voorbereiden op de start van de AVG. We zijn een voorlichtingscampagne gestart, staan op beurzen en hebben een regelhulp geïntroduceerd. We merken dat het aantal vragen bij onze afdeling publieksvoorlichting toeneemt.“

Is de Autoriteit Persoonsgegevens klaar voor de start van de AVG op 25 mei?
“Jazeker, wij zien de datum van 25 mei met vertrouwen tegemoet. Wij realiseren ons dat het voor organisaties best wat werk is om alle processen en producten op tijd aan te passen en AVG-proof te zijn. Tegelijkertijd is het al twee jaar bekend dat de AVG op 25 mei geldt. Iedereen heeft dus ruim voldoende tijd gehad om zich voor te bereiden.

Hoe gaat het toezicht in zijn werk?
Iedereen kan een klacht bij ons indienen over een mogelijke overtreding. Wij zijn verplicht iedere klacht in behandeling te nemen. Een klacht kan een controlerend onderzoek tot gevolg hebben. Vervolgens hebben we een hele gereedschapskist aan instrumenten om te handhaven. Dat kan een waarschuwing zijn, maar ook een sanctie als een last of een boete.
De boetebevoegdheden van de Autoriteit Persoonsgegevens worden onder de AVG uitgebreid: het opleggen van boetes wordt laagdrempeliger: We hoeven niet meer te bewijzen dat er opzet in het spel is.“

En we introduceren het systeemtoezicht. Dat is een vorm van tweedelijns toezicht, ofwel toezicht op het toezicht van de organisatie zelf. Systeemtoezicht maakt gebruik van het aanwezige interne toezicht in een organisatie, bijvoorbeeld in de vorm van een functionaris gegevensbescherming. Is het toezicht binnen een sector of organisatie goed geregeld met bijvoorbeeld gedragscodes en goede functionarissen gegevensbescherming? Dan zal de AP wat meer op afstand toezicht houden.

Er bestaat niet zoiets als een audit voor de AVG. Hoe/wanneer weten organisaties dan zeker dat ze aan de richtlijnen voldoen?
Het is uiteindelijk de verantwoordelijkheid van organisaties zelf om de wet na te leven. De Autoriteit Persoonsgegevens werkt wel veel samen met brancheorganisaties en doet veel aan voorlichting. Ook bieden we hulpmiddelen, bijvoorbeeld een handige regelhulp. Hiermee kunnen organisaties kijken wat ze allemaal nog moeten doen om AVG-proof te zijn.

Elk land kan ook een eigen draai geven aan de AVG, wat betreft de hoogte van boetes of het inschatten van de ernst van een overtreding. Wat verwachten jullie daarvan?
Het mooie van de AVG is dat er straks binnen de hele Europese Unie één regime zal gelden. Op een aantal kleine punten kunnen landen een eigen invulling kiezen. De AVG gaat uit van de zogeheten onestopshop-regel. Onestopshop houdt in dat organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren nog maar met één privacytoezichthouder zaken hoeven te doen.
De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.

Wie controleert de nationale toezichthouders op de handhaving van de AVG?
Organisaties die zich niet kunnen vinden in een besluit van de Autoriteit Persoonsgegevens, kunnen daartegen in bezwaar en beroep gaan. Een beslissing op bezwaar kan een partij uiteindelijk voorleggen aan de rechter. Onze besluiten kunnen verstrekkende gevolgen hebben, dus het is goed dat daar een zorgvuldige rechtsgang bij hoort.