Op 6 september 2022 verscheen het rapport “Bescherming gegeven? ” van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC). Dit rapport bevat een evaluatie van de Uitvoeringswet AVG (UAVG), en de wijze waarop de Autoriteit Persoonsgegevens (AP) toezicht houdt en handhaaft. De kritiek op de UAVG en toezichthouder AP is niet mals.
Achtergrond
De nieuwigheid is er inmiddels wel af: de Algemene Verordening Gegevensbescherming (AVG) is al ruim vier jaar van toepassing in de EU. In de aanloop naar de inwerkingtreding van de AVG hebben ondernemingen behoorlijk wat werk moeten verzetten om ervoor te zorgen dat ze op tijd voldeden aan de strenge eisen van de AVG. Voor de meeste ondernemingen kent de AVG dan ook geen geheimen meer.
In de AVG zijn privacyregels vastgelegd die in de hele EU gelden. Maar wat niet is vastgelegd in de AVG, is de wijze waarop er uitvoering wordt gegeven aan deze privacyregels. Er is geen Europese autoriteit die toezicht houdt op de naleving van de AVG en zo nodig handhavend optreedt door het uitdelen van boetes. De uitvoering van de AVG is namelijk overgelaten aan de individuele lidstaten. De AVG bevat open normen waaraan nationale wetten verdere invulling kunnen geven. Hoewel in de hele EU dus grotendeels dezelfde privacyregels gelden, verschilt het van lidstaat tot lidstaat hoe hier concreet uitvoering aan wordt gegeven. In Nederland is de uitvoering geregeld in de Uitvoeringswet AVG (UAVG), die tegelijk met de AVG in werking trad en de tot dan toe geldende Wet bescherming persoonsgegevens verving. In de UAVG is privacywaakhond AP aangewezen als toezichthouder in Nederland.
Conclusies
Zoals gezegd is de kritiek van het WODC op de UAVG niet mals. Zo klaagt het rapport dat de UAVG onvoldoende concrete invulling geeft aan de open normen in de AVG, wat (mede) veroorzaakt is door de korte tijd waarin de UAVG tot stand moest komen. Feitelijk is er niet veel meer gebeurd dan het in een nieuw jasje gieten van de op dat moment al bestaande privacyregels. Gevolg is dat het de UAVG ontbreekt aan de nodige duidelijkheid en toegankelijkheid. Het rapport concludeert dat de toegevoegde waarde van de UAVG hierdoor beperkt is.
Niet alleen de UAVG is onderwerp van kritiek. Het rapport is ook niet mals over de wijze van toezichthouden en handhaving door de AP. Als voorbeeld noemt het rapport dat het verschillende keren is voorgekomen dat partijen die door de AP onder toezicht zijn gesteld behoefte hadden aan nadere duiding van de open normen uit de AVG, waarover ze graag in gesprek wilden met de AP. De AP blijkt niet altijd bereid te zijn om dit gesprek aan te gaan. Dit terwijl de onder toezicht gestelde partijen voor de gewenste duiding geen beroep kunnen doen op beleidsregels waarin het toezichts- en handhavingsbeleid van de AP is vastgelegd. Dergelijke beleidsregels publiceert de AP, anders dan vergelijkbare instanties in andere lidstaten, namelijk niet.
Het rapport bevat meer punten van kritiek, zoals het gebrek aan gedragscodes van brancheorganisaties op sectorniveau, terwijl de AVG hier juist alle mogelijkheid toe biedt. Het volledige rapport kunt u hier downloaden.