‘Europese privacywaakhonden niet in staat om AVG te handhaven’

‘Europese privacywaakhonden niet in staat om AVG te handhaven’

Laatst bijgewerkt: 28 april 2020
Leestijd: 3 minuten, 42 seconden

Privacytoezichthouders van Europese lidstaten hebben niet de capaciteit en financiële middelen om de AVG-regels in eigen land uit te voeren. Twee jaar na de lancering van de verordening komt de handhaving ervan in gevaar. Dat is volledig te wijten aan het handelen van nationale overheden, die beknibbelen op de handhaving van onze privacy.

Dat schrijven de makers van de webbrowser Brave op basis van eigen onderzoek. Dat is in strijd met Europese regels en daarom heeft de organisatie een klacht ingediend bij de Europese Commissie tegen alle 27 EU-lidstaten.

Te weinig financiële middelen

Na jarenlang onderhandelen introduceerden Europese politici in 2018 de Algemene Verordening Gegevensbescherming, of kortweg AVG. Daarin is afgesproken door wie, wanneer en hoe in de EU persoonsgegevens verwerkt mogen en moeten worden. Zo mag een bedrijf of sportvereniging niet zomaar informatie van hun medewerkers of leden aan derden verkopen. Doen ze dit wel, dan riskeren ze een fikse boete. Dat overkwam de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) onlangs. De sportvereniging kreeg in maart een boete van ruim een half miljoen euro opgelegd wegens het ongeoorloofd doorverkopen van persoonsgegevens van leden aan sponsoren. De tennisbond heeft hoger beroep aangetekend tegen de boete.

Alle EU-lidstaten hebben een belangenorganisatie die toeziet op naleving van de AVG. In ons land is dat de Autoriteit Persoonsgegevens (AP), in Frankrijk de Commission Nationale de l’Informatique et des Libertés (CNIL), en ga zo maar door. Uit onderzoek van Brave blijkt dat de nationale toezichthouders niet in staat zijn om de AVG te handhaven in eigen land. Zelfs als ze constateren dat grote techbedrijven de fout in gaan, kunnen privacywaakhonden geen vuist tegen ‘de grote jongens’ vormen. Een rechtszaak is een juridisch langdurig proces dat handen vol geld kost. En deze financiële middelen hebben de toezichthouders niet.

Volgens Brave heeft de helft van alle Europese privacywaakhonden jaarlijks een budget van 5 miljoen euro of minder te besteden. Er zijn uiteraard uitzonderingen. De AP heeft volgens de onderzoekers een begroting van 18,6 miljoen euro. In het Verenigd Koninkrijk en Duitsland komen deze bedragen uit op respectievelijk 61 miljoen euro en 58,9 miljoen euro. Het jaar na de introductie van de AVG steeg het budget van alle toezichthouders tezamen met 56,1 miljoen euro. Direct daarna werd er flink bezuinigd door overheden.

Onvoldoende gekwalificeerd personeel

De beperkte financiële middelen is slechts deel van het verhaal. Uit het onderzoek van Brave blijkt tevens dat de privacywaakhonden te weinig gekwalificeerd personeel in dienst hebben. Van de 27 privacytoezichthouders hebben er 23 niet meer dan 10 technisch specialisten in dienst. Zij bezitten de ervaring en expertise om online onderzoek te verrichten naar privacyschendingen. De AP in ons land heeft volgens de onderzoekers 182 medewerkers op de loonlijst staan, waarvan slechts 4 technisch specialisten.

Duitsland is een verhaal apart. Daar investeren de deelstaten afzonderlijk in de handhaving van AVG en privacy. In Sleeswijk-Holstein bijvoorbeeld werken 28 man bij de toezichthouder, waarvan 8 technisch specialisten. 7 toezichthouders hebben slechts 1 of 2 technisch specialisten. In totaal zijn er 305 technisch specialisten werkzaam bij de Europese waakhonden, waarvan eenderde in Duitsland werkt.

Door het gebrek aan gekwalificeerd persoon, ligt de werkdruk behoorlijk hoog. In ons land hebben de medewerkers van de AP een case load van gemiddeld 45 zaken per persoon. In Ierland ligt dat aantal met 127 privacyzaken per medewerker aanzienlijk hoger. Dat is te verklaren doordat techbedrijven als Google en Facebook hier hun Europese hoofdkantoren hebben gevestigd.

Artikel 52

Aangezien internet een steeds belangrijker deel uitmaakt van ons leven, zouden toezichthouders hier meer tijd en aandacht aan moeten schenken, zo betoogt Brave. Zij moeten hiervoor meer financiële middelen beschikbaar stellen en beter hun best doen om gekwalificeerd personeel aan te trekken.

In het vierde lid van artikel 52 van de AVG staat dat alle lidstaten ervoor moeten zorgen “dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden”. Daar is volgens de webbrowsermaker geen sprake van. Daarom heeft ze een klacht ingediend bij de Europese Commissie tegen alle 27 EU-lidstaten. Brave heeft het dagelijkse bestuur van de EU verzocht om een procedure te starten tegen alle lidstaten en hen te dwingen om de AVG te handhaven.

“Robuuste handhaving is essentieel. AVG-handhavers moeten in staat zijn om grote techbedrijven op een gedegen manier te onderzoeken, en zonder angst voor beroep optreden. De nationale overheden van Europese lidstaten geven ze niet de middelen om dat te doen. Daarom moet de Europese Commissie zich ermee bemoeien”, aldus Brave.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen