Minister Sander Dekker van Rechtsbescherming laat de Tweede Kamer in een brief weten dat er ‘nog te veel onzekerheden zijn om voor de Autoriteit Persoonsgegevens tot een eenduidige, meerjarige, vooruitkijkende capaciteitsraming te komen. Dit komt onder meer door het ontbreken van een solide datapositie bij de toezichthouder.’

Zo heeft KPMG bij een onderzoek naar het werk van de AP een kostprijsmodel noch een betrouwbare tijdsregistratie kunnen ontdekken, mede redenen voor onzekerheid over de effectiviteit van het werk van de AP. Dat aangedragen klachten vele maanden op de plank blijven liggen en onderzoeken ellenlang duren, is niet noodzakelijkerwijs toe te schrijven aan gebrek aan capaciteit volgens KPMG.

Het ministerie van Justitie en Veiligheid kijkt mee over de schouder van de Autoriteit Persoonsgegevens om tot een verbetering van de informatie over het reilen en zeilen van de club te komen, teneinde vast te stellen of, en zo ja, welke groei van de club reëel is.

Datalekmeldingen slechte maatstaf

De AP zelf luidde de ‘noodklok’ na een stijging met 30 procent van het aantal gemelde datalekken in 2020. Dat zou dringend nopen tot een capaciteitsuitbreiding. Het aantal datalekken duidt volgens minister Dekker niet direct op enorme problemen en is dus geen maatstaf voor een ‘realistisch groeipad’ dat in Kamervragen werd genoemd als reden om uitbereiding van de AP te eisen.

Toen de meldplicht datalekken werd ingevoerd in 2013, was al onzeker wat de AP - toen nog Cbp geheten - aan extra werk zou krijgen, ‘omdat het overgrote deel van deze meldingen het Cbp geen enkele aanleiding geeft tot een onderzoek of tot handhavingsmaatregelen.’ Wel stelde de regering: ‘Het Cbp zal deze meldingen moeten beoordelen en een inschatting moeten maken of er aanleiding is een onderzoek in te stellen.’

Dat is een onmogelijke opgave gezien het aantal, want zou een beoordeling van 300 meldingen per dag inhouden. Toen is overigens ook besloten dat de lekken niet openbaar zouden worden, want dat zou de vrijwilligheid van de meldingen ondergraven. Gevolg is dat naming en shaming geen effect vormen van de meldplicht die mede daardoor loos is.

Overigens werd in 2013 uitgegaan van 66.000 meldingen per jaar, met daaruit volgend slechts tien boetebesluiten. De recente noodklok van de AP betrof 24.000 datalekmeldingen in 2020. Dat was een daling ten opzicht van de 27.000 van 2019. Het overgrote deel betreft stommiteiten en geen kwade opzet. De AP stelt zelf dat de daling was veroorzaakt doordat incassobureaus minder betalingsherinneringen naar verkeerde ontvangers sturen; van die dingen.

De claim voor uitbereiding is als volgt geformuleerd: ’Door tekort aan personeel en budget bij de AP krijgen datalekken te weinig opvolging: van de 27.000 datalekken in 2019 leidt maar 0,3% tot onderzoek.’ Stel dat de AP een verdrievoudiging van de capaciteit krijgt, dan stijgt dat percentage tot 1 procent. Het is geen goede maatstaf, zeker niet in het licht van de verwachte 66.000 meldingen en de daling nu. De meldplicht veroorzaakt hooguit rumoer wat wellicht leidt tot beter opletten.

Criminaliteit weegt zwaarder

Maar Nederland kent een volk met een ongekend zeurpietenniveau. Uit een staatje van het aantal meldingen in de EU-landen blijkt dat de AP per 100.000 inwoners meer datalekmeldingen heeft dan de onderste 20 landen bij elkaar. En voor klachten is het aantal per 100.000 inwoners hoger dan de onderste 10 landen gezamenlijk. Alleen Ierland heeft meer klachten per 100.000 inwoners, maar daar zijn de Europese hoofdkantoren van onder meer Facebook en Google gevestigd.

De grote problemen doen zich voor in criminaliteit, geen terrein waar de AP ook maar enige invloed kan uitoefenen ondanks dat Wolfsen daaraan vaak refereert. Boeven beschikken over voldoende persoonsgegevens die op het dark web tegen een steeds lagere prijs verkrijgbaar zijn. Alleen al het lekken van de RDC-database met de eigenaren van de duurste wagens met al hun gegevens geeft hen voor vele jaren werkgelegenheid. Het enorme Facebook-lek biedt eveneens overvloedige data om ID-fraude toe te passen.  Daarin kan de AP weinig betekenen.

Bovendien zegt de AP onze privacy te bewaken maar ze moet toezien op de databeschermingswet AVG. Voor het gemak noemen wij journalisten deze ‘privacywet’, maar als al die datalekken werkelijk de privacy zouden schenden, zouden we geen leven meer hebben. De scherpslijpers die dat niettemin beweren, krijgen ruim baan krijgen in de pers. We schenden vooral onze eigen privacy met al onze uitingen. De grote data-exploitanten doen de rest.

De effecten van cybercrime op mensen zijn vooralsnog veel heftiger dan van datalekken die door de AP niet te voorkomen zijn, zelfs niet met de hoogste boetes. De regering was wel overtuigd van de noodzaak om de cyberpolitie uit te breiden met totaal 145 fte. De politie bestrijdt digitale criminaliteit, wat wel aantoonbaar hard nodig is, en zo’n aantal schiet nog te kort.

P.r en miljoenen

AP-chef Wolfsen heeft er alle belang bij om zijn club in een gunstig daglicht te zetten, al is het maar omdat zijn eigen herbenoeming dit jaar gestalte moet krijgen. In ijdelheid doet Wolfsen niet onder voor zijn voorganger Jacob Kohnstamm, maar deze had beduidend meer kwaliteiten. Wat overigens ook nog niet leidde tot een solide organisatie. Volgens KPMG staat de bedrijfsvoering van de AP nog altijd in de kinderschoenen, juist als gevolg van de groei, en is de automatiseringsgraad laag.

Wolfsen heeft zijn p.r. wel goed voor elkaar. Deze week mocht NRC, de krant met te veel Haagse invloed, de primeur hebben van de boete van 475.000 voor Booking.com wegens te late melding van ontvreemding van klantgegevens. Dat was overigens een diefstal met social engineering door criminelen die via hotels ‘namens Booking.com’ de namen, adressen en telefoonnummers van ruim 4.000 klanten bemachtigden, plus creditcardgegevens en beveiligingscode van 300 van hen.

Wolfsen pleegt ook p.r. voor verhoging van het budget van nu jaarlijks ruim 22 miljoen euro (met 173 fte) tot minimaal 66 miljoen euro. Wat nu precies nodig is, en wat het kan opleveren, blijft onduidelijk. Die 22 miljoen is al een verdrievoudiging ten opzichte van 2016 zonder duidelijke verbetering van de databescherming, laat staan privacy.

In 2017, voorafgaand aan de inwerkingtreding van de AVG, kwam adviesbureau Andersson Elffers Felix (AEF) tot scenario’s met bedragen van 20 tot bijna 30 miljoen euro per jaar. AP heeft die prognose in 2019 laten herijken, waarbij het benodigde budget en capaciteit zijn geraamd op 21 miljoen euro in 2019 oplopend naar 28 miljoen in 2022.

Dekker liet in november al weten, bij de openbaarmaking van het KPMG-rapport, dat de nood variabel is. KPMG schat aan de hand van prioriteiten 173 tot 275 fte noodzakelijk, met een benodigd budget van 19 miljoen euro (bij de huidige 173 fte) tot maximaal 38 miljoen (bij 275 fte, afhankelijk van het gehanteerde kostenniveau per fte); oplopend tot een maximum van 45 miljoen of 325 fte.

KPMG vindt een hoger budget plausibel als de club goed gaat werken. De huidige werkwijze, die bijvoorbeeld het bankroet van VoetbalTV tot direct gevolg had, volstaat daartoe niet. De AP is ook een ongezonde organisatie. Het ziekteverzuim over 2019 bedroeg ruim 7 procent, mede als gevolg van de hoge druk. Wolfsen is voor 0,83 fte in dienst, met een bezoldiging van 144.000 euro. De accountant stelde vast dat de oplopende druk en achterstanden noodzaken tot het aanbrengen van focus aan de hand van effectiviteit van de inzet.

Met andere woorden: doe de hoofdzaken. Europese coördinatie schiet nog altijd tekort. Zo heeft Ierland het onevenredig druk met toezicht op onder meer Google en Facebook, maar houden vrijwel alle landen zich ook apart met deze giganten bezig als gevolg van nationale klachten. Binnen Duitsland hebben bovendien alle staten een eigen toezichthouder voor de databescherming. Europese coördinatie is altijd moeilijk. Wolfsen is mede-vicevoorzitter van de Europese bundeling van toezichthouders EDPB.

Met de komst van Internet of Things en meer toezicht op data-analyse met algoritmes willen de waakhonden ieder voor zich hun terrein uitbreiden. En is er druk om de (te) complexe AVG uit te breiden met nieuwe wetgeving, waardoor het kat-en-muis spel kan toenemen; met meer toezicht versus bedrijven die nog meer gaan uitgeven aan advocatuur. Terwijl er een markt ontstaat voor durfinvesteerders die rechtszaken om databescherming als een verdienmodel zien. Tel uit je maatschappelijke winst…

*) Afbeelding: Het vrolijke huisgezin, Jan Havicksz. Steen, 1668, Rijksmuseum Amsterdam ('Het huishouden van Jan Steen')