Iets minder geld voor AP komende jaren

De Autoriteit Persoonsgegevens krijgt volgens de Miljoenenennota in 2026 een budget van 53,5 miljoen euro. Dat is ruim vier miljoen euro meer dan in 2024 werd begroot. In de daaropvolgende jaren daalt het budget van de privacytoezichthouder.

Het budget voor 2026 is echter 2 miljoen euro lager dan het budget voor 2025 van bijna 56 miljoen euro, zo schrijft Tweakers. In de komende jaren komt er niet meer geld bij, integendeel. Tot 2030 daalt het budget tot 51 miljoen euro. Inclusief de inflatie is dat een flinke vermindering.

In plaats van de verhoging waarvoor al jaren gepleit is, moet de AP dus de broekriem aanhalen; in weerwil van de uitbreiding van taken, met de (gedeeltelijke) handhaving van de nieuwe Europese wetten DSA en AI Act.

Tweakers vroeg AP om een reactie. Die luidde: “Wij hebben in verschillende publicaties en brieven steeds aangegeven dat er structureel een bedrag van minimaal 100 miljoen euro per jaar nodig is om al onze wettelijke taken goed te kunnen uitvoeren. Het huidige budget blijft daar ruim onder. Het is aan de politiek om te bepalen welk budget wordt toegekend. Onze taak is om duidelijk te maken welke middelen er nodig zijn om de privacy van mensen adequaat te beschermen.”

Die laatste zin lijkt me problematisch, omdat niet duidelijk is waarom de handhaving van de AVG met 50 miljoen euro onmogelijk is, en met 100 miljoen helemaal op orde zou zijn. Kan de AP niet wat vlotter handelen, dichter op de markt zitten, sneller besluiten, strijd- en zichtbaar zijn? Nu staat er wel een bordje “pas op voor de hond”, maar komt die die hond altijd met gezwinde spoed zijn hok uit als het moet, zodat dit bordje niet meer serieus wordt genomen?

Zo kom ik nog aan de lopende band opt-in privacyvinkjes tegen om akkoord mee te gaan. Als ik een dagtaak aan controle kon besteden, dan zou er veel te publiceren zijn. De AP kan wekelijks op de trom slaan, toch?

Klacht in Brussel over budget Oostenrijks toezicht

Misschien moet Bits of Freedom een klacht indienen bij de Europese Commissie over de AP-middelen en effectiviteit van het toezicht. Dat doen twee Oostenrijkse organisaties, waaronder de bekende Noyb van Max Schrems. Ze klagen dat de Oostenrijkse toezichthouder DSB haar werk niet kan doen en veel te weinig maatregelen neemt c.q. straffen uitdeelt.

In de nieuwsbrief van de DSB wordt een budget genoemd van 6 miljoen euro. Dat is dus een fractie van de 50 miljoen van de AP, bij een Oostenrijkse bevolking van 9 miljoen zielen. In de brief aan de Europese Commissie staat dat de toezichthouder veel te weinig personeel heeft, en gezien de inflatie dat aantal nog moet verminderen.

Bovendien is een toezichthouder de facto winstgevend, zo bewijzen de CNIL in Frankrijk en de DPA in Ierland volgens Noyb (die doorgaans de Ieren juist fel bekritiseert wegens gebrekkig optreden, maar goed).

Het zou best aardig zijn om de budgetten in alle lidstaten eens op een rij te zetten, afgezet tegen de omvang van de bevolking en de inkomsten van de boetes. Op het eerste gezicht is het budget van de AP in een internationale vergelijking nog niet zo laag. Wie schenkt me de tijd/opdracht om het uit te zoeken?

Overigens: de Spaanse privacywaakhond, de Agencia Española de Protección de Datos (AEPD), behoudt de inkomsten uit zijn boetes. Die bereikten in 2024 een recordbedrag van ruim 35 miljoen euro.

Justitie onderzoekt betere datawetgeving

Het ministerie van Justitie & Veiligheid heeft een Taskforce Gegevensdeling opgericht voor het “aanpakken van knelpunten in gegevensdeling op gebieden zoals de georganiseerde en ondermijnende criminaliteit, maar ook problemen bij gegevensuitwisseling met instanties zoals het UWV en de Belastingdienst”. Dat schrijft Computable op grond van informatie uit de Begroting van J&V voor 2026.

Het gaat concreet om de Verzamelwet gegevensbescherming en de Uitvoeringswet AVG (UAVG) die moeten ruimte bieden teneinde effectiever gegevens te kunnen delen. De AP zal betrokken zijn als handhaver van de AVG. Dat wordt uiteraard een flink robbertje vechten tussen de AP en de organisaties die hun taken van bijvoorbeeld fraudebestrijding beter willen uitvoeren met het delen van persoonsgegevens.

Naast dit initiatief beoogt het ministerie een betere grensoverschrijdende toegang tot digitale gegevens voor opsporing te regelen, aan de hand van de E-evidence-verordening, betere aanpak van ‘bad hosting’ en adequate inzet van het Clean Networks-project (Cleannet Works).

Verder beziet het ministerie hoe in Nederland een ‘Anti Phishing Shield’ (APS) structureel voor alle internetgebruikers is op te zetten, zodat surfers tegen malafide websites beschermd worden. Het Nationaal Cyber Security Centrum (NCSC) en KPN testen dit.

LinkedIn wil uitingen aan AI onderwerpen

LinkedIn wijzigt haar servicevoorwaarden per 3 november 2025, met nieuwe privacyregels voor de EU. Lappen tekst, en zeker een journalist zou ze moeten lezen. Maar de eerste reactie is: waarom wordt dit toegestaan onder een AVG die voorschrijft dat voorwaarden toegankelijk moeten zijn? Hoeveel arbeidsuren kost het als iedereen die voorwaarden helemaal gaat lezen? Waar ben je dan, AP?

De wijzigingen komen erop neer dat ongeveer alles wat je publiceert via LinkedIn wordt gebruikt om de AI-systemen van moeder Microsoft te trainen, of in de woorden van Microsoft zelf: “Vanaf 3 november 2025 zullen we ook gegevens van leden in uw regio gebruiken om de AI voor het genereren van content te verbeteren. Dit verbetert uw ervaring en geeft onze leden een grotere mogelijkheid om kansen te ontdekken. Dit kan werkgevers helpen u gemakkelijker te vinden en te bereiken, en leden helpen bij het creëren van content, zoals profielupdates, berichten en bijdragen. Voorbeelden van deze gegevens zijn details uit uw profiel en openbare content die u maakt op LinkedIn. We maken geen gebruik van uw privéberichten.”

Dat laatste is een geruststelling. Niettemin, ga fluks naar de instellingen. Dat was vanuit de e-mail mededeling van LinkedIn niet eens mogelijk. Ik moest opnieuw inloggen, dat ging domweg niet. Je denkt als gebruiker: wat doe ik fout? Nee, je doet niets fout. Het zijn sluwe drempels van Big Tech, dat volslagen onbetrouwbaar is geworden. Als het dat al niet was.

Ga eens door de instellingen om te ontdekken dat er een heleboel ‘aan’ staat dat je beter kunt uitvinken, zoals “promoties van LinkedIn-producten”. Maar je moet voor de AI-instelling in het linkermenu naar ‘Gegevensprivacy’ en dan bovenin naar ‘Hoe LinkedIn uw gegevens gebruikt’. De onderste van de zeven opties luidt: “Gegevens voor verbetering van generatieve AI”. Die staat nu aangevinkt. Klikken en uitzetten, potverdikkie…

(Zie net dat ook Jeroen Terstegge de nodige kritiek heeft op de geboden ‘keuzes’)

AP publiceert Twitter-archief

De Autoriteit Persoonsgegevens heeft bij X haar archief aan geplaatste berichten gedownload en op de eigen site gepubliceerd. Het behelst de periode 2018-2022 met het account @toezicht_AP, want de AP heeft X verlaten. Het bestand is 92 megabyte groot.

Bij de antwoorden op de tweets van anderen zijn de namen weggehaald. Want ja, de AP, privacy nietwaar? Maar het behelst hier domweg openbare informatie en vrijheid van meningsuiting. Bovendien is er zoiets als een Archiefwet met verplichte opslag waarvoor men geen censuur zou mogen toepassen.

De AP biedt zelf een goede uitleg over het spanningsveld van de Archiefwet en de AVG en een aparte pagina Voorwaarden archivering van persoonsgegevens. Eerste vraag: Is het blijvend bewaren van persoonsgegevens in overheidsinformatie noodzakelijk voor het doel van archivering in het algemeen belang? Aan de hand van de zelf uit te voeren belangenafweging beslist de organisatie of de persoonsgegevens bewaard moeten blijven.

We zagen dit spanningsveld ook met de opening van het oorlogsarchief CABR. Ik was het oneens met de AP in de strijd met het Nationaal Archief. Ik ga nu maar eens een bezwaar indienen – ik weet niet waar overigens – over het schrappen van namen in het Twitter-archief van de AP.

Bij het verlaten van X in november 2022 heeft de AP de reden niet aangegeven. Is X toen plotseling onveilig geworden? Of had de AP nooit op Twitter moeten gaan? Zijn de uitingen tussen 2018 en 2022 conform de AVG, of verwerkt X de door de AP weggestreepte namen wel? Boeiende vragen...

In 2024 heeft de AP een waarschuwend advies aan Binnenlandse Zaken gegeven over gebruik van Facebook. Chef Aleid Wolfsen stelt daarin: “Maar overheidsorganisaties zouden zulke platforms niet moeten inzetten als communicatiekanaal als zij concluderen dat zij niet zeker te weten wat er met de gegevens van mensen gebeurt. Het moet kraakhelder zijn wat er met je gegevens gebeurt. Dat is de norm.”

Eind 2024 maakte Sjoerd Hartholt voor Binnenlands Bestuur een inventarisatie: “Momenteel raadt iets meer dan 88% van de gemeenten op zijn officiële website en in online uitingen bewoners aan om de gemeente ook via X te volgen. Dat is iets meer dan de populaire platforms Instagram (84,5%) en LinkedIn (77,2%), maar iets minder dan Facebook (98,2%). Hoewel de meeste gemeenten en provincies ondanks de meerdere overtreden Europese wetten actief zijn op het platform van Musk, is er een terugtrekkende beweging gaande binnen de overheid.”

(Floor Terra merkt op dat weggehaalde tweets door AP niet worden gearchiveerd, zoals over een eigen overtreding met Google Analytics.)

*) Afbeelding: Jiskefet: LinkedIn privacy op het werk