Hoe groot is de kans op boetes nu de Autoriteit Persoonsgegevens meer budget krijgt?

‍Met het bekend worden van de Rijksbegroting op Prinsjesdag 2017 werd ook duidelijk dat de Autoriteit Persoonsgegevens fors meer budget gaat krijgen. Het komende jaar krijgt de AP al 5 miljoen euro extra en vanaf 2019 structureel 7 miljoen. Dit is bijna een verdubbeling, aangezien het dit jaar om een totaal budget van 7,7 miljoen gaat. Dat is een grote stap, of een goed begin, waarmee de AP meer mogelijkheden krijgt om de broodnodige uitbreiding te realiseren waar zij al jaren om roept en die met de komst van de AVG, of privacyverordening, alleen maar meer urgentie heeft gekregen. Een logische conclusie zou zijn dat er voor organisaties dus ook meer kans is op boetes. De privacyverordening verruimt immers de boetebevoegdheden aanzienlijk en handhaving is al aangekondigd. Maar zal het ook zo’n vaart lopen of valt dat nog te betwijfelen?

Ondanks dat het budget bijna verdubbeld wordt is het nog lang niet het budget waarop gehoopt werd. Er was namelijk berekend dat een budget van zo’n 24 tot 25 miljoen euro nodig zou zijn en de aangekondigde 15 miljoen ligt daar dus nog een stuk onder. Desalniettemin is er wel de mogelijkheid om flink uit te breiden. Maar om daadwerkelijk tot de gevreesde boetes te komen zie ik nog drie belemmeringen waarvan de tijd zal uitwijzen of deze in de praktijk ook zo uit zullen pakken.

1. De behoefte aan personeel

Ten eerste is het budget berekend op de behoefte aan meer personeel om de handhavende taken uit te kunnen voeren. Een groei van het aantal fte ligt nu wel in het verschiet en de afgelopen tijd zijn er al aardig wat mensen bijgekomen binnen de AP. Maar de AP zal naar verwachting ook tegen het probleem aan lopen dat er in de privacymarkt een tekort is aan ervaren personeel. De spoeling van mensen met tenminste meer dan vijf jaar specialistische werkervaring is dun en dergelijke mensen zijn wel nodig om teams aan te sturen die de handhavingsonderzoeken gaan uitvoeren. En het opleiden van jonge mensen die vers van de universiteiten komen vraagt tijd en inspanning. Dus, zelfs al zou het gewenste budget volledig beschikbaar komen, dan nog is het maar de vraag of dat wel besteed kan worden aan voldoende personeel.

2. Additionele taken van de AP

Ten tweede heeft de AP zelf ook budget en mensen nodig om aan de privacyverordening te voldoen. De verordening geldt voor iedereen en dus ook voor de toezichthouder zelf. Maar de AP heeft daar bovenop ook nog een aantal specifieke taken meegekregen. De AP is straks de partij die bijvoorbeeld mag bepalen welke instanties of bureaus certificeringen mogen uitreiken en onder welke voorwaarden. Ook wordt verlangd dat de AP meer helderheid biedt over de noodzaak voor het uitvoeren van Data Protection Impact Assessments (DPIA’s), door het opstellen van lijsten van verwerkingen waarbij een DPIA juist wel of niet verplicht is. En er moet, in samenwerking met de Europese equivalenten, invulling gegeven worden aan de praktische kanten van een aantal nieuwe aspecten, zoals het recht om vergeten te worden en dataportabiliteit. Naast de handhavende taken staan er dus ook nog wel een aantal andere zaken op de to-do-list van de AP die tijd en aandacht vragen. En dat zijn niet allemaal eenvoudige taken.

3. Non-compliance vaststellen

Ten derde komt een boete lang niet altijd direct in zicht. Een belangrijk uitgangspunt van de privacyverordening is immers accountability. Als organisatie moet je dus goed uit kunnen leggen wat je doet, hoe je dat doet, en waarom dat een verantwoorde en zorgvuldige manier is. Er is ruimte voor afwegingen naar gelang benodigde investeringen in tijd en geld om privacybeschermende maatregelen te treffen, ten opzichte van de winst die daarmee behaald wordt voor de bescherming van privacy van betrokkenen. Het zal in de praktijk dan ook niet vaak eenduidig vast te stellen zijn of er daadwerkelijk sprake is van non-compliance. In de gevallen waar dat wel zo is, bijvoorbeeld door grove nalatigheid of opzet, natuurlijk wel. Maar dan is een boete ook volledig terecht.

Hoe snel de boetes daadwerkelijk komen valt dus nog te bezien. Maar let op: de kans op een boete moet niet de reden zijn om te zorgen voor compliance. Als organisatie heb je namelijk direct een belang bij een goede en zorgvuldige gegevenshuishouding. De beginselen en vereisten uit de privacyverordening kunnen helpen om dat goed vorm te geven. En dat is dus alleen maar voordelig. Beschouw het feit dat je dan ook geen boete krijgt maar als een extraatje.