1 OKT, 2021

Aleid Wolfsen (AP) wil ondernemer niet laten wachten: 'Groei is nodig'

Elk groot bedrijf zou een bestuurder of commissaris moeten hebben met verstand van privacy en de digitale wereld. Was getekend, Aleid Wolfsen (voorzitter Autoriteit Persoonsgegevens). Intussen kampt de toezichthouder zelf met grote achterstanden. Wat moet er gebeuren?

 

Het gebouw aan de Haagse Bezuidenhoutseweg waar Aleid Wolfsen nu zo’n vijf jaar huist als voorzitter van de Autoriteit Persoonsgegevens? Dat wordt te krap. Zo krap dat een deel van de staf inmiddels ingetrokken is bij het Paleis van Justitie. En voorlopig is de toezichthouder nog niet uitgegroeid, zegt hij. Een onderzoek van KMPG ondersteunt die woorden: de toezichthouder heeft meer mensen nodig. Is dat wel goed nieuws voor ondernemers? Die klagen steen en been over het lange wachten op goedkeuring om data uit te mogen wisselen. Krijgt de ondernemer wel echt genoeg prioriteit?

 

Multinationals wachten vaak jarenlang op goedkeuring van hun plannen om data uit te wisselen met vestigingen buiten de EU. Dat kan toch niet?

‘Wij zijn daar zelf ook niet blij mee. We hebben het geluk dat er in Nederland veel hoofdkantoren zijn van grote bedrijven – dat is goed voor onze economie – maar dat is ook onze pech, want dat betekent veel extra werk. En ik zal de eerste zijn die toegeeft dat het veel te lang duurt. Wij geven ook al jaren aan de politiek aan dat dit niet kan. Dat burgers en bedrijven de dupe zijn van de onderfinanciering van de AP.’

 

Wordt u weleens boos gebeld door de baas van zo’n groot bedrijf?

‘Nee, boos zijn ze niet. Maar ze zeggen wel: ‘Aleid, waarom duurt dit zo verschrikkelijk lang?’ Dan leg ik uit wat wij allemaal doen. Dat we nog 25.000 klachten moeten behandelen, 25.000 datalekken, honderden vergunningen, honderd wetgevingsadviezen. En dat met ongeveer 170 mensen, terwijl uit onderzoek blijkt dat we daar zo’n 500 mensen voor nodig hebben. Ieder logisch nadenkend mens snapt dat dat niet kan.’

 

En wat zegt zo’n ceo dan tegen u aan de telefoon?

‘Ze bieden aan om in de pen te klimmen en te schrijven naar de politiek. Dat vind ik een mooi aanbod, want wij kunnen ons eigen geld niet maken. Maar het hoeft niet: de Tweede Kamer heeft al uitgesproken dat de Autoriteit Persoonsgegevens moet groeien en twee, drie keer zo groot moet worden. De plannen liggen er dus. Wel erg jammer dat het demissionaire kabinet nog niets met die plannen doet: op Prinsjesdag maakte het kabinet bekend dat het budget van de AP in 2022 niet stijgt.’
‘Nederland digitaliseert, en dat geeft enorm competitief voordeel. Onze digitale positie is sterk. Dat is ook één van de redenen waarom Nederland relatief goed de coronacrisis door is gekomen. Maar dat betekent ook dat zo’n beetje elk bedrijf dataverwerker is en daar hoort een stevige, robuuste toezichthouder bij.’

Wie is Aleid Wolfsen?Aleid Wolfsen (Kampen, 1960) is sinds september 2016 voorzitter van de Autoriteit Persoonsgegevens in Den Haag. Hij studeerde rechten in Groningen. Na een juridische carrière, waarin hij onder meer vicepresident was van de rechtbank in Haarlem, was hij van 2002 tot 2008 Kamerlid voor de Partij van de Arbeid. Daarna was hij tot 2014 burgemeester van Utrecht.

Heeft u door wat bedrijven nu allemaal niet kunnen?

‘Multinationals zijn genoodzaakt te werken met soms honderden losse contracten, totdat wij hun privacyplannen hebben goedgekeurd. Anders kunnen ze zonder onze goedkeuring geen gegevens tussen hun vestigingen overal ter wereld uitwisselen binnen het bedrijf. Wij moeten dat goedkeuren en daar moeten ze soms 5, 6, misschien wel 7 jaar op wachten. Dat is absurd en heel slecht voor hun interne samenwerking. Ik sluit ook niet uit dat bedrijven soms illegaal data uitwisselen. Als ze gepakt worden, kan dat een hele vervelende boete tot gevolg hebben.’

 

Dat lijkt me de wereld op z’n kop – u bent degene die te traag is.

‘Wij zijn niet traag, wij hebben gewoon te weinig mensen om ons werk te doen. En dat is pijnlijk. Daarom zeggen we ook tegen de politiek: help ons. Elke euro rendeert in het kwadraat. En nee, onze groei komt niet alleen maar bij de burger terecht, maar ook bij bedrijven. Een net bedrijf wil goed omgaan met klantgegevens en heeft alleen maar voordelen als ze die op orde hebben. Met meer geld en mankracht kunnen we veel sneller plannen beoordelen, nog meer voorlichting geven en ook beter optreden in Europa.’

 

Europees gezien krijgt u eigenlijk helemaal niet zo weinig geld.

‘Eigenlijk kampt elke privacytoezichthouder, behalve die in Duitsland, met dezelfde problemen als wij. Maar relatief gezien lopen we zelfs nog meer achter, omdat onze economie het meest gedigitaliseerd is van heel Europa. Ik was op vakantie in Duitsland en Oostenrijk, daar kun je vaak niet betalen met een pinpas. Hier zijn we kampioen internetshoppen. En dat levert relatief veel werk op. Er wordt vaak op ons gemopperd dat we de strengste van Europa zijn, maar in Nederland lopen we vaak als eerste tegen problemen aan. En daarna volgen andere landen.’

 

Maar het zou ook kunnen dat u aandacht geeft aan de verkeerde zaken, toch?

‘Nee, dat vind ik niet. We hebben onze tijd goed verdeeld. Ook als je kijkt naar die andere Europese toezichthouders. We zitten bij de laagste vijf als het gaat om het uitdelen van boetes. Dat komt omdat we heel veel doen aan voorlichting én dus aan het goedkeuren van privacyplannen van grote bedrijven. En we zijn er natuurlijk niet alleen voor ondernemers, maar ook voor burgers. Ik krijg buikpijn van zaken zoals de toeslagenaffaire of gelekte dossiers in de zorg. Ook die behandelen we. Het is ook pijnlijk als je tegen een burger moet zeggen: er zijn nog tienduizend wachtenden voor u.’

 

‘Bedrijven profiteren als wij groter worden’

 

Uw critici zeggen dat u te bureaucratisch werkt. Zo moesten alle banken en verzekeraars een losse vergunning aanvragen om met elkaar data over fraude uit te wisselen. Dat kan toch sneller?

‘We doen het zoals de Nederlandse wetgever heeft bepaald. De aanpak is juist niet bureaucratisch. Het is logisch dat elke bank een aparte vergunning nodig heeft, want ze zijn allemaal anders. De template heeft de Nederlandse Vereniging van Banken gemaakt, en die hebben ze tijdens het schrijven steeds bij ons getoetst. Het is heel efficiënt gegaan, maar het heeft wel 4 jaar geduurd. Dat komt ook omdat we lange discussies hebben gehad over de inhoud. En dat moet ook. Want vergis je niet, als je op een lijst staat van zo’n bank als fraudeur, dan ben je sociaal bijna dood. Dan kun je niks meer kopen of lenen. We letten heel goed op die zorgvuldigheid. De toeslagenaffaire heeft ons nog maar eens extra met de neus op de feiten gedrukt. De levens van tienduizenden mensen, totaal verwoest. Dat wil je voorkomen en dat kost soms tijd.’

 

Artikel gaat verder na de foto

Aleid Wolfsen: 'Wij zijn niet traag, wij hebben gewoon te weinig mensen om ons werk te doen'

Aleid Wolfsen: ‘Wij zijn niet traag, wij hebben gewoon te weinig mensen om ons werk te doen’
Foto: Wiebe Kiestra

Het lijkt soms alsof je rechten gestudeerd moet hebben om te begrijpen hoe privacyregels in elkaar zitten. Geeft u wel goede voorlichting?

‘Het is ook ingewikkeld. Dat ben ik met je eens. Kijk, de financiële wereld is ook ingewikkeld. Daar moet je accountancy voor hebben gestudeerd. En daar hebben bedrijven goede financiële mensen voor in dienst.’

 

Maar u kunt toch niet verwachten dat elk mkb-bedrijf een privacy-expert in dienst neemt?

‘Nee, zeker niet. De brancheverenigingen spelen daar een belangrijke rol in. En die zou ik ook meer willen helpen, want al die bedrijven: die kunnen wij niet individueel voorlichten. Maar samen codes en voorlichting ontwikkelen, niet in juristentaal, dat is heel behulpzaam. Maar ik vind trouwens wel…’

Wolfsen slaat met zijn hand op tafel. ‘Weet je welk statement ik nou eens zou willen maken? Dat in de leiding van elk groot bedrijf – in de raad van commissarissen, van toezicht, van bestuur – iemand moet zitten die verstand heeft van de digitale wereld en de privacy wereld. Ze hebben wel mensen die verstand hebben van financiën of van producten. Maar ik merk bij praatjes waarbij ik bijvoorbeeld commissarissen spreek, dat ze niet voldoende digitaal geschoold zijn. En dat vind ik echt een gemis.’

 

‘Ik merk dat bestuurders niet altijd digitaal geschoold zijn’

‘Ik wil oppassen met dit voorbeeld, maar ik wil het toch zeggen. De bankencrisis is ook ontstaan omdat bazen niet meer wisten wat ze verkochten. En de raad van commissarissen al helemaal niet. We hebben veel plezier van de digitale wereld, maar we moeten er wel zorgvuldig mee omgaan. Ik merk nog steeds af en toe dezelfde negativiteit als in 2018 toen de AVG werd ingevoerd. En dat is jammer, want wij houden innovatie echt niet tegen.’

 

Daar denken ze bij VoetbalTV – een initiatief van de KNVB en Talpa – anders over. Jeugdamateurvoetbal mocht niet uitgezonden worden van u.

‘Ouders stelden daar vragen over aan de AP, zij wilden niet dat hun kind voetballend te zien was over de hele wereld. En dat begrijp ik. Vandaag is het voetbaltv, morgen is het zwembadtv. Niet omdat het commercieel is, maar omdat privacyrechten van kinderen in het geding kwamen. Meer kan ik daar niet over zeggen, want de zaak ligt nog bij de rechter.’

 

Een andere innovatie is het Nationaal Fraude Register, zodat ondernemers ook buiten sectoren gegevens van fraudeurs kunnen uitwisselen. Komt het er nog van?

‘Het moet wel binnen de wet passen. In Engeland is dat wettelijk geregeld. Op dit moment hebben wij een vergunningsaanvraag binnen die we zorgvuldig gaan bestuderen. Of we die vergunning gaan afgeven? Daar kan ik niet op vooruitlopen. Het moet sowieso op een nette en beschaafde manier geregeld worden.’

 

Als dat in Engeland kan, kan dat hier ook.

‘Op dit moment niet, want in Nederland hebben we niet zo’n wet als in Engeland. Je zou ook nog kunnen voorstellen dat de politie versterkt wordt zodat die meer fraudezaken kan oppakken. Ook zij zijn onderbemand. Maar niet zo erg als wij, hoor.’ Hij lacht. ‘Ik vind fraude bestrijden altijd goed. Dus we gaan er serieus naar kijken.’

 

Dat wordt waarschijnlijk weer lang wachten…

‘Ik snap dat het vervelend is voor ondernemers om altijd maar te wachten, daarom blijven wij aan de bel trekken bij de politiek om ons van voldoende mensen te voorzien. Maar zoals ik graag zeg: bij bedrijven is de klant koning, behandel zijn data dan ook alsof die van de koning is. Wij willen en moeten zorgvuldige afwegingen maken. Groter worden helpt ons daarbij, en bedrijven profiteren daar ook van.’ 

Data uitwisselenHeel veel bedrijven wisselen persoonsgegevens uit. Binnen Europa is dat goed geregeld met de AVG, maar buiten Europa niet. Bedrijven kunnen de bescherming van de data van hun klanten dan regelen met bijvoorbeeld losse contracten. Voor grote bedrijven die vestigingen buiten Europa hebben is het handiger zogenoemde Binding Corporate Rules (BCR) over het uitwisselen van persoonsgegevens op te stellen. Die beschermen privacy-rechten. De Autoriteit Persoonsgegevens moet die BCRs goedkeuren en dat duurt, op zijn zachtst gezegd, nogal lang. Daarnaast kunnen bedrijven of organisaties vergunningen aanvragen om strafrechtelijke gegevens met elkaar te delen om fraude tegen te gaan. Zo hebben financiële instellingen bijvoorbeeld vergunningen gekregen om gegevens over fraude uit te wisselen.

Handig: de wekelijkse Forum-alert

Handig: de wekelijkse Forum-alert

algemene verordening gegevensbescherming (avg)autoriteit persoonsgegevensbescherming persoonsgegevensdatainnovatieprivacy