Minder privacyklachten en datalekken in 2020

Mappen met klachten liggend op een bureau

De Autoriteit Persoonsgegevens heeft afgelopen jaar minder privacyklachten en datalekken ontvangen. Het aantal klachten daalde met 8 procent, het aantal meldingen van datalekken nam af met 11 procent. Verder legde de toezichthouder zeven boetes op, waarvan er zes niet openbaar zijn gemaakt.

Dat staat in het jaarverslag van de Autoriteit Persoonsgegevens.

Om deze redenen nam vorig jaar het aantal klachten en datalekken af

De privacywaakhond heeft als taak om de bescherming van persoonsgegevens te waarborgen. Ze controleert of bedrijven die in Nederland actief zijn zich aan de Europese privacyregels houden. Naast een adviserende rol mag de Autoriteit Persoonsgegevens ook handhavend optreden. Organisaties die de Algemene Verordening Gegevensbescherming (AVG) aan hun laars lappen, kunnen op een boete rekenen. Deze kan oplopen tot 20 miljoen euro, of maximaal 4 procent van de wereldwijze omzet, afhankelijk van welk bedrag hoger is.

Burgers die een klacht hebben over een bedrijf die hun privacy schendt, kunnen hiervoor terecht bij de Autoriteit Persoonsgegevens. Dat gebeurde afgelopen jaar 25.590 keer, zo blijkt uit het jaarverslag van de toezichthouder. Dat is minder vaak dan in 2019, toen de AP 27.854 privacyklachten ontving. Volgens de AP zijn er een aantal verklaringen voor deze daling. Om te beginnen waarschuwt de toezichthouder dat het gemiddeld een half jaar duurt voordat een klacht behandeld wordt. Mogelijk is dat voor sommigen reden om geen klacht in te dienen. En het telefonisch spreekuur is afgenomen van acht uur naar zes uur per dag.

Ook het aantal meldingen van datalekken nam af. Vorig jaar kwamen er 23.976 datalekmeldingen binnen, een jaar eerder waren dat er nog 26.956. Dat komt naar eigen zeggen omdat incassobureaus minder (postgerelateerde) datalekken hebben gemeld. De meeste lekken zijn afkomstig uit de zorgsector (30 procent), de financiële sector (22 procent) en het openbaar bestuur (22 procent). Bedrijven en organisaties die datalekken structureel te laat melden, zijn door de toezichthouder aangesproken op hun gedrag.

AP deelt zeven boetes uit

In totaal heeft de Autoriteit Persoonsgegevens 2.780 keer een interventie gedaan. Dat houdt in dat de toezichthouder contact opneemt met bedrijven en instanties waarover een privacyklacht binnenkwam. In 2019 deed de privacywaakhond dat 2.082 keer. Vorig jaar startte de Autoriteit Persoonsgegevens 24 onderzoeken en rondde ze er 47 af, waaronder naar proctoring en thuisonderwijs en gezichtsherkenningscamera’s.

Afgelopen jaar legde de toezichthouder zeven keer een boete op wegens schending van de AVG. Van deze boetes is er slechts één openbaar gemaakt: Booking.com. De reisorganisatie kreeg een boete van 475.000 euro voor het te laat melden van een datalek. De AVG verplicht bedrijven om bij een datalek dit binnen 72 uur door te geven aan de nationale toezichthouder. Booking.com deed dit pas na 22 dagen, waarmee het volgens de AP zich schuldig maakte aan ‘een ernstige overtreding’. De boete had niets te maken met de informatiebeveiliging of de wijze waarop Booking.com de zaak afhandelde.

Verder maakte de Autoriteit Persoonsgegevens drie boetes die stammen uit 2019 openbaar. Het gaat om de boete van 525.000 euro aan de Koninklijke Nederlandse Lawn Tennisbond (KNLTB), de boete van 725.000 euro aan een bedrijf dat vingerafdrukken van werknemers verwerkte, en een boete van 830.000 euro aan Bureau Kredietregistratie (BKR) omdat de instantie geld vroeg aan klanten voor inzage van hun persoonsgegevens.

AP klaagt over tekorten en achterstanden

De Autoriteit Persoonsgegevens klaagt in het jaarverslag over de grote tekorten en achterstanden. Vorig jaar lagen er 1.500 klachten en 8.300 tips van burgers op de planken waar niets mee gebeurde. Ook is ze niet in staat om alle privacyklachten en datalekken op te pakken. Voorlichtende activiteiten liggen stil en de toezichthouder heeft onvoldoende capaciteit om meer boetes op te leggen. Tot slot komt toezicht op algoritmes die persoonsgegevens verwerken maar niet van de grond.

KPMG deed in 2020 onafhankelijk onderzoek naar de taken en middelen van de Autoriteit Persoonsgegevens. De onderzoekers concludeerden dat de capaciteit en het budget flink tekortschieten. Om het wettelijke takenpakket naar behoren uit te voeren, moet de toezichthouder groeien van de huidige 184 fte naar 470 fte. Het budget moet de komende jaren stijgen van 24,6 miljoen euro naar 66 miljoen euro eind 2025. De toezichthouder zelf plet voor een structurele verhoging van het budget van 100 miljoen euro per jaar.

Om iets aan de tekorten en achterstanden te doen, nam een meerderheid van de Tweede Kamer een motie aan om extra geld vrij te maken voor de toezichthouder. Demissionair minister voor Rechtsbescherming Sander Dekker gaf daarop aan dat hij weigerde om deze motie uit te voeren. Hij vond dat de onderbouwing in het KPMG-rapport tekortschoot. Daarnaast vond hij het, gezien de demissionaire status van het kabinet, niet passend om zoveel geld uit te trekken. Daarom laat hij de uitvoering van de motie over aan een volgend kabinet.

Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, waarschuwt hier niet te lang mee te wachten. “Het grootste risico is onvoldoende rechtsbescherming voor de burger. Intussen gaan de Big Tech-bedrijven door met het ontwikkelen van allerlei datagebaseerde businessmodellen. We kunnen niet langer wachten, het onrecht dat privacyslachtoffers wordt aangedaan moet gestopt worden”, aldus Wolfsen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen