Veel organisaties die met gevoelige gegevens werken, worden daarnaast
wettelijk verplicht een ‘functionaris gegevensbescherming’ aan te
wijzen. De internationale privacyorganisatie IAPP schatte eerder dat
wereldwijd minstens 75.000 van deze mensen moeten worden aangesteld, van
wie 28.000 in Europa en de Verenigde Staten.

Kleine speler

In een tijd waarin persoonlijke data als het nieuwe zwarte goud
worden bestempeld, past naast regelgeving ook een privacytoezichthouder
met armslag. De Autoriteit Persoonsgegevens kreeg afgelopen tijd juist
vaak de kritiek dat ze te weinig optrad. In liefst vier rechtszaken
bepaalden rechters de afgelopen maanden dat de autoriteit had moeten
optreden of onderzoek had moeten doen naar mogelijke privacyschending.
De Raad van State oordeelde eind vorige maand nog dat de AP eerder
onderzoek had moeten doen naar prijsdiscriminatie van mensen die met een
anonieme OV-chipkaart reizen.

Andere toezichthouders kunnen jaloers zijn op het groeitempo van de
AP. Had ze vorig jaar nog zeventig arbeidsplaatsen, nu zijn het er meer
dan negentig en het streven is honderdveertig in mei volgend jaar. Het
blijft desondanks een relatief kleine speler: de toezichthouder op de
financiële markten, de AFM, heeft bijvoorbeeld zo’n zeshonderd mensen
in dienst en de Autoriteit Consument en Markt vijfhonderd.

De nieuwe regels vragen een hoop van de AP. Ze moet bijvoorbeeld
officieel toezicht gaan houden op het interne toezicht bij overheden en
bedrijven. En binnenkort vallen ook alle bedrijven met een hoofdkantoor
in Nederland onder haar gezag. Als een Spanjaard een probleem heeft met
bijvoorbeeld Philips, Akzo Nobel of Aegon, komt dat op het bordje van de
Nederlandse toezichthouder.

„Als wij straks één klacht krijgen en zeggen: ‘dit is fout’, dan kan
het zijn dat zo’n bedrijf systemen voor miljoenen klanten in heel Europa
moet aanpassen”, zegt Wolfsen. De toezichthouder kan nu ook al boetes
uitdelen, maar de drempel vervalt. Nu moet nog altijd sprake zijn van
ernstig verwijtbare nalatigheid of opzet, legt de voorzitter uit.

Alle telefoontjes

Ook nieuw aan de privacyverordening is dat de AP straks álle klachten
van individuen over privacy in behandeling moet nemen. Dat gebeurt nu
meestal niet, door onderbezetting. „Wat allemaal blijft liggen, zijn
telefoontjes van individuele burgers die problemen aankaarten over hun
privacy”, zegt Wolfsen. „Wij pakken zaken op die om grote groepen mensen
gaan, of gevoelige gegevens zoals seksuele voorkeur. Theoretisch kunnen
we ook met de rest aan de slag, maar we hebben er gewoon niet de
mensen voor. Dat is af en toe best pijnlijk. Want wat moet je als gewone
burger tegen een grote overheid of een groot bedrijf?”

Wolfsen, oud-rechter en oud-Kamerlid (PvdA), schreef dit voorjaar aan
staatssecretaris Klaas Dijkhoff (Veiligheid en Justitie, VVD) dat hij
het „realistisch” acht dat zijn waakhond in de nabije toekomst 24
miljoen euro per jaar nodig heeft. Wolfsen baseert zich op een rapport van het Utrechtse adviesbureau Andersson Elffers Felix,
waarvoor hij samen met het ministerie van Dijkhoff opdracht heeft
gegeven. In de begroting van Veiligheid en Justitie is slechts 12
miljoen voor volgend jaar gereserveerd voor de toezichthouder, wat later
oploopt tot 14 miljoen.

„Dat dit te weinig zal blijken, is evident”, zegt Wolfsen. „Toch vind
ik het in beginsel positief dat ons budget, nu ruim 7 miljoen, wordt
verdubbeld. Ik verwacht dat meer geld wordt vrijgemaakt wanneer de
uitvoeringswet van deze verordening eind dit jaar wordt besproken in de
Tweede Kamer.”

Meer administratie

Volgens Jurriaan Jansen, specailist in privacyrecht bij
advocatenkantoor Norton Rose Fulbright in Amsterdam, lijken de nieuwe
privacyregels „best wel” op de oude. Maar er is één groot verschil:
Bedrijven moeten goed kunnen aantonen dat ze zich eraan houden. Meer
administratie dus. „Je hebt onder de nieuwe wet een verplichting om
precies bij te houden wat voor soort persoonsgegevens je van iemand
gebruikt, voor welk doel, en wat de wettelijke grondslag is. Dat in
kaart brengen en bijhouden is ontzettend veel werk.”

Onder organisaties is sprake van een ‘compliancekoorts’ om te voldoen
aan de nieuwe regels. Veel adviseurs, accountants en andere bedrijven
spinnen garen bij de privacywet. „Je ziet bureaus wel even een
tweedaagse stoomcurus geven over de nieuwe regels, met een wel erg hoog
prijskaartje”, zegt Wolfsen.

Lees ook dit opinie-artikel: KLM levert je privacy uit aan Facebook/WhatsApp

Zijn organisaties klaar voor de nieuwe regels? Niet echt.
Accountants- en adviesbureau PwC publiceerde in juni een onderzoek
waaruit bleek dat slechts zo’n 12 procent van de organisaties helemaal
is voorbereid op de nieuwe regels.

Jansen: „Je ziet vooral dat privacy ook op de agenda is komen te
staan bij veel bedrijven waarvan de corebusiness niet de verwerking van
persoonsgegevens is, zoals bouwbedrijven.” De advocaat maakt zich vooral
zorgen om kleinere bedrijven, met weinig juridische kennis in huis,
zoals webshops.

Ook bij grote ondernemingen is niet alles in orde, weet Wolfsen.
„Sommige bedrijven met duizenden werknemers hebben nog geen functionaris
gegevensbescherming aangesteld. Daar ben ik echt bezorgd over.”

Bron: NRC.nl