Met (de) AP gaat het niet zo goed. De pijlen richten zich vooral op de nieuwe voorzitter Aleid Wolfsen (PvdA). De ex-burgemeester van Utrecht werd ondanks een reeks schandalen via de Haagse banencarrousel tot AP-voorzitter gemaakt. Hem wordt een gebrekkige houding verweten door de privacylobby’s.

Uitspraken van Wolfsen in de pers en het optreden van AP doen de stekels recht overeind staan bij privacyvoorvechters. Zo zette de maatregel om verzekeraars de mogelijkheid te geven om medische gegevens te vragen, kwaad bloed.

Je treft in Nederland snel gehoor bij de geringste verdenking van mogelijke privacyschending, en staat als organisatie snel een verkeerd daglicht. Kleine clubjes als Bits of Freedom, Privacy First en Vrijbit hebben korte lijntjes naar media en stappen snel naar de rechter.

Chaos troef?

Zo raakt de AP bekneld tussen de vereiste handhaving van strenge regelgeving die zich in een transitie bevindt van de Wbp naar de nieuwe AVG (vanaf mei 2018), een groeiend aantal benodigde oordelen en behandeling van klachten, publicitaire druk en gebrek aan personeel en organisatie.

Zo vroeg Netkwesties twee weken geleden telefonisch om wederhoor en kreeg per mail te horen dat we nog drie weken moeten wachten op commentaar. Zo bont maken weinigen het. Geschrokken van die kritiek kwam er alsnog commentaar.

‘Het is niet enkel de druk op de organisatie, maar ook chaos’, zegt een advocaat die met de AP moet werken. Een collega, eveneens lid van de Vereniging Privacyrecht, bevestigt dit: ‘M’n vertrouwen in de toezichthouder neemt bepaald niet toe.’

Een voorbeeld: alle organisaties in Nederland moeten volgens Artikel 27 van de huidige Wet Bescherming persoonsgegevens (Wbp) melding maken van ‘geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’. Deze irritante vereiste vervalt met de AVG, maar de AP ziet er geen heil in om dit wetsonderdeel nog te handhaven volgens advocaten.

Dat lijkt, pragmatisch gezien, een juist besluit. Maar de AP maakte dit niet bekend, tot ergernis van juristen die nog braaf hun zinloze meldingen inzenden. ‘Een technische storing die we nu wel melden’, aldus de woordvoerster, met de verzekering: ‘We handhaven de huidige wet uiteraard nog wel.’

Drie verloren rechtszaken

Ondertussen lopen er al langer procedures tegen de AP wegens het vermeende verzaken van plichten. In drie zaken achter elkaar krijgt de toezichthouder een gevoelige tik op de vingers:

1) Op 7 juli 2017 sprak de rechtbank Utrecht een tussenvonnis uit in een zaak aangespannen door Miek Wijnberg van burgerrechtenvereniging Vrijbit dat de de AP onvoldoende handhaaft inzake de laDBC-Informatiesysteem (DIS) van de Nederlandse Zorgautoriteit (NZa). De AP krijgt acht weken de tijd om te eisen dat de NZa medische gegevens voldoende anonimiseert en voorzichtig is met het delen met derden. De verstrekking van data aan het ministerie van VWS en het CPB was volgens de rechtbank onrechtmatig en de AP moet dit aanpakken.

2) In een ander tussenvonnis van de rechtbank van 7 juli 2017, in een zaak eveneens aangespannen door Miek Wijnberg van Vrijbit, staat dat de AP niet juist optreedt inzake de gedragscode van zorgverzekeraars voor het verwerken van medische persoonsgegevens van ondermeer declaraties.

De rechter verklaarde die code al in 2013 onrechtmatig, maar de AP treedt niet handhavend op. AP ‘had meer onderzoek moeten doen. Zij had zich niet zonder meer op het standpunt kunnen stellen dat zij geen indicatie had dat de werkwijze van de zorgverzekeraars niet in orde zou zijn. Die indicatie is er namelijk wel: het gegeven dat de zorgverzekeraars nog steeds volgens een gedragscode zouden werken die de rechtbank Amsterdam als onvoldoende heeft beoordeeld.’ De rechter eist nu dat de AP binnen acht weken alsnog haar werk doet.

3) Op 13 juli 2017 schorste de rechtbank Arnhem in kort geding het besluit van de AP om niet handhavend op te treden in de zaak van een Arnhemse burger tegen de gemeente Arnhem over het afvalpassenssysteem dat sinds juli 2014 de toegang tot ondergrondse afvalcontainers regelt. Weliswaar concludeerde de AP dat Arnhem in strijd met de Wbp persoonsgegevens verwerkt, maar weigerde om handhavend op te treden. Eind dit jaar wil de gemeente Arnhem immers een nieuw systeem invoeren (Diftar). Volgens de voorzieningenrechter is helemaal niet zeker dat Diftar wordt ingevoerd, dus moet de AP van de gemeente eisen dat ze het huidige systeem aanpast.

4) Een kort geding aangespannen door stichting Stop benchmark met ROM  gericht tegen de verzameling van gepseudonimiseerde GGZ-data voor de Routine Outcome Monitoring wegens gebrekkige handhaving door AP ging niet door omdat de betrokken partijen aankondigden om het anders aan te pakken en privacy goed te gaan regelen.

‘Geen chaos’, wel grote druk

De woordvoerster van de AP laat weten dat haar club zich aan de (tussen)vonnissen zal houden. Verder is er eigenlijk geen probleem, laat staan een ‘chaos’ ten burele van de AP te Den Haag. Gezien de vakanties is de bezetting krapper dan gewoonlijk.

De druk op de AP is wel aanzienlijk. De club wil al jaren meer armslag en heeft nu een rapportage in handen die dat onderschrijft: het stuk ‘Organisatorische vertaling Verordening & Richtlijn gegevensbescherming’ stuurde staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie recent naar de Tweede Kamer.

Het rapport is gemaakt door Andersson Elffers Felix (AEF) in Utrecht, een bekend bureau voor opdrachtgever en AP-baas Aleid Wolfsen. Het is opgesteld in samenspraak met het ministerie van Justitie en de AP onderschrijft de bevindingen.

AEF beschrijft drie scenario’s: inclusief overhead is er 20 miljoen, een kleine 24 miljoen of ruim 29 miljoen nodig, bij een bezetting van respectievelijk 185, 222 of 270 fte.

Dit is noodzakelijk om op een efficiënte en effectieve wijze invulling te kunnen geven aan de gegeven taken en bevoegdheden van de AP met de komst van de nieuwe AVG per mei 2018.

De AP is zich ervan bewust dat het op dit moment lastig is inschattingen te maken van de toekomstige werkstromen, maar maakt een voorlopige keuze voor het middelste scenario, ofschoon het duurste ‘niet uit te sluiten’ is.

In het jaarverslag over 2016 noemt de AP een bezetting van 72,5 fte bij een budget van 8 miljoen euro. Dit betekent bij de keuze van het door AP gewenste scenario 2 een verdrievoudiging van het budget en het aantal personeelsleden.

Dat is niet zomaar een exorbitante enorme uitbreiding, maar ook een opgave gezien de arbeidsmarkt. Daar grote bedrijven een functionaris voor de gegevensbescherming moeten hebben en advocatenkantoren miljoenen kunnen opstrijken met advies over het ‘compliant’ worden met de nieuwe AVG is de arbeidsmarkt voor privacyspecialisten krap.

Volgens Dijkhoff worden er momenteel gesprekken gevoerd over het AP-budget voor 2018. De voorgestelde hoogte van het budget krijgt het parlement te zien bij het wetsvoorstel voor de invoering van de AVG.

Uit het AEF-rapport blijkt dat de organisatie nu onder druk staat, vooral door de meldplicht datalekken die op 1 januari 2016 in werking trad. Over 2016 zijn bijna 5700 meldingen ontvangen, over het eerste kwartaal 2017 ruim 2300. (Het aantal meldingen ligt overigens  nog ruimschoots onder het geraamde aantal van 66.000 per jaar.)

Vanwege capaciteitsbeperkingen is het telefonisch spreekuur bij de AP in het tweede kwartaal van 2016 gereduceerd van 15 naar 8 uur per week. Er zijn echter maar 10 procent minder telefoontjes binnengekomen. Er wordt volgend jaar een verdubbeling van aantal het telefoontjes verwacht, naar 13.000 en toename van het aantal klachten van 7.500 naar 9.000.

De uitbreiding van de rechten van burgers in de AVG (artikel 12-22) en plichten voor organisaties kan tot een enorme groei leiden van het aantal klachten en de handhaving, kortom van de bureaucratie.