Kamerstuk
| Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2018-2019 | 32761 nr. 135 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
32 761 Verwerking en bescherming persoonsgegevens
Nr. 135 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 11 juni 2019
Bij brief van 1 april over de eerste ervaringen met de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), (Kamerstuk 32 761, nr. 132), heb ik aangekondigd uw Kamer dit voorjaar een reactie toe te zenden op de motie van de leden Verhoeven en Van Nispen over de capaciteit en de middelen van de AP in relatie tot haar taken en daarin tevens aandacht te besteden aan de eerste ervaringen van de AP met individuele verzoeken en klachten onder de AVG.1 Met deze brief geef ik hieraan uitvoering.
Eerste ervaringen AP met (U)AVG
Op 25 mei 2018 zijn de Algemene verordening gegevensbescherming (AVG) en de bijbehorende Uitvoeringswet Algemene verordening gegevensbescherming in werking getreden. Zij vervangen de richtlijn 95/46/EG en de Wet bescherming persoonsgegevens (Wbp).2 De AVG bevat naast onder de Wbp reeds vertrouwde rechten en plichten ook enkele nieuwe verworvenheden waaronder het recht op vergetelheid en het recht op dataportabiliteit. De versterking van de privacyrechten vertaalt zich ook in meer (expliciete) plichten van de verwerkingsverantwoordelijken. Van hen wordt onder de AVG meer transparantie en verantwoording gevraagd. Dit komt onder meer tot uiting in het bijhouden van een register van verwerkingen en – mits sprake is van een situatie als bedoeld in artikel 37 AVG – de aanstelling van een functionaris gegevensbescherming.
Het jaar 2018 stond voor de AP volledig in het teken van transitie. Niet alleen het wettelijk kader, maar ook de organisatie van de AP zelf was aan veranderingen onderhevig. De AP heeft vanwege de komst van de AVG een interne reorganisatie, diverse personele wisselingen en een stevige personele groei doorgemaakt (in 2018: van 109 naar 157 fte). Daarnaast heeft de AP, na een periode van intensieve voorbereidingen, met ingang van 1 januari 2019 eigen rechtspersoonlijkheid verworven. Vanaf februari 2019 is het bestuur van de AP weer voltallig met de toetreding van twee nieuwe leden.
Voor de jaren 2018 en 2019 heeft de AP een nieuw toezichtkader gepresenteerd.3 Gegevensverwerkingen door de overheid, in de zorg en door datahandelaren hebben in dit verband de bijzondere aandacht van de toezichthouder. Dit geldt ook voor de – gemelde en ongemelde – datalekken. Op 13 december 2018 heeft de AP haar eerste halfjaarlijkse klachtenrapportage onder de AVG gepubliceerd. Op 4 april 2019 heeft de AP haar jaarverslag over 2018 uitgebracht. De klachtenrapportage en het jaarverslag geven een goede indruk van de eerste ervaringen van de AP met klachtbehandeling onder de AVG.4
Op grond van de AVG heeft de AP de wettelijke verplichting om de klachten die gaan over een inbreuk op iemands eigen persoonsgegevens in behandeling te nemen. Naast deze zogeheten privacyklachten, ontvangt de AP ook overige klachten, waaronder anonieme klachten, algemene klachten over een bepaalde organisatie en klachten die persoonsgegevens van een derde betreffen. Deze overige klachten kunnen ook aanleiding geven tot nadere actie, waaronder ambtshalve onderzoeken (in 2018: 11 gestart onder AVG).
In 2018 heeft de AP 22.000, veelal telefonische, informatieverzoeken en ruim 11.000 klachten, waaronder privacyklachten, ontvangen. Ongeveer een derde van de privacyklachten betrof de rechten van betrokkenen, in het bijzonder de wijze van uitvoering van inzage- of verwijderverzoeken door organisaties. Daarnaast ontving de AP veel klachten over het verzamelen van persoonsgegevens die bovenmatig ten opzichte van het doel zou zijn en over het ongewenst doorgeven van persoonsgegevens aan derden.
De focus van de AP lag in 2018 voornamelijk op effectieve en efficiënte klachtafhandeling door voorlichting, normuitleg en normoverdracht. De AP heeft meer dan de helft van de in 2018 ontvangen klachten en telefoontjes in datzelfde jaar afgehandeld.
De AP heeft, naar gelang de aard van de klacht, daarbij diverse afdoeningsmogelijkheden tot haar beschikking, zoals het informeren van de klager over de effectuering van zijn privacyrechten tot bemiddeling van de AP bij de organisatie in kwestie. Als deze interventies niet tot compliance leiden, start de AP een formeel handhavingstraject. In 2018 is dat 17 keer gebeurd.
Ondanks het vele werk dat reeds is verzet, is de feitelijke implementatie van de AVG bij de AP nog niet voltooid. Naast voorlichting en de concrete invulling van de diverse bepalingen uit de AVG (normuitleg), gaat de aandacht van de AP in 2019 nadrukkelijker uit naar handhaving en sanctieoplegging. Ook behoeven nieuwe taken onder de AVG, zoals het binnen de AP op te zetten systeemtoezicht en de samenwerking met de toezichthouders binnen Europa, nog nadere invulling en uitwerking. Met ingang van 15 mei 2019 is de voorzitter van de AP verkozen tot vicevoorzitter van het Europees Comité voor gegevensbescherming (European Data Protection Board – EDPB), dat bijdraagt aan de uniforme toepassing van de AVG en de samenwerking tussen de privacytoezichthouders binnen de EU.
Capaciteit en middelen AP
Voor de consequenties van de inwerkingtreding van de AVG is het budget van de AP voor de jaren 2019 e.v. structureel verhoogd met € 7 mln. euro naar € 15.1 mln.
Tijdens de behandeling van de Uitvoeringswet (Handelingen II 2017/18, nr. 59, item 4) heb ik aan uw Kamer aangegeven de ontwikkelingen rondom de AVG en de gevolgen voor de capaciteit en het budget van de AP nauwlettend te zullen monitoren en hierover het gesprek met de AP te voeren. Vanwege de noodzakelijke groei van de organisatie ten gevolge van de implementatie van de AVG heb ik besloten de AP bij voorjaarsnota een extra budget van € 3,4 mln., inclusief loonbijstelling, toe te kennen. Daarmee komt het budget van de AP voor 2019 en volgende jaren op € 18,5 mln. Samen met de AP bezie ik jaarlijks welke capaciteit c.q. welk budget daadwerkelijk benodigd is.
De Minister voor Rechtsbescherming, S. Dekker
X Noot
1Kamerstuk 34 851, nr. 23 en motie van het lid Koopmans c.s., Kamerstuk 34 851, nr. 19, zesde bullit.
X Noot
2Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
X Noot
3Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-32761-135.html