Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 mei 2017

AEF-onderzoek

Bij brief van 2 september 20161 is uw Kamer geïnformeerd over de toezegging uit het Algemeen Overleg Privacy van 18 mei 2016 (Kamerstuk 32 761, nr. 102) de implicaties van de inwerkingtreding van de nieuwe Algemene Verordening Gegevensbescherming (AVG) voor de capaciteit en het budget van de Autoriteit Persoonsgegevens (AP) in kaart te brengen.

Het adviesbureau Andersson Elffers Felix (AEF) heeft hier in opdracht van de AP onderzoek naar gedaan. Op 7 april 2017 ontving ik de eindrapportage van AEF met aanbiedingsbrief van de voorzitter van de AP. Deze treft u in bijlage aan2.

AEF heeft, op basis van verschillende aannames en deels nog in te richten werkprocessen, de consequenties van de verordening uitgewerkt in drie scenario’s voor het verwachte extra budget – bovenop het huidige budget van € 7,7 mln. structureel – te weten: scenario laag € 12 mln., scenario midden € 16 mln. en scenario hoog € 22 mln.

Momenteel worden gesprekken gevoerd over het aan de AP in het kader van de implementatie AVG toe te kennen extra budget. Factoren die hierbij een rol spelen zijn het absorptievermogen van de organisatie en de noodzaak tot nauwgezette monitoring van de daadwerkelijke realisatie vanwege het indicatieve karakter van het AEF-rapport. De budgettaire consequenties zullen worden opgenomen in het wetsvoorstel ter implementatie van de AVG.

Meldingen datalekken

De meldplicht datalekken is per 1 januari 2016 in werking getreden. Deze meldplicht houdt in dat organisaties en bedrijven binnen 72 uur een melding moeten doen bij de AP wanneer sprake is van een inbreuk op de beveiliging met ernstige nadelige gevolgen (of de aanzienlijke kans daarop) voor de bescherming van persoonsgegevens.

Bij de behandeling van het wetsvoorstel inzake de meldplicht datalekken en de uitbreiding van de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens3, is aan uw Kamer de toezegging gedaan nadere informatie te verschaffen over de aantallen meldingen aangaande datalekken. Deze toezegging wordt hierbij gestand gedaan.

Bij brief van 18 mei 2017 heeft de vaste Commissie van Veiligheid en Justitie mij gevraagd om een reactie op de bekendmaking van de laatste kwartaalcijfers meldingen datalekken en het bijbehorende persbericht.

De kwartaalcijfers en de toelichting daarbij van de AP geven een goed beeld van de aard en de toedracht van de meldingen datalekken. Voor het overgrote deel van het aantal onderzochte meldingen kan worden geconstateerd dat, al dan niet na een korte interventie van de zijde van de AP, er (weer) sprake is van compliance. Slechts in een klein aantal gevallen bleek diepgaander onderzoek op zijn plaats. Tot op heden heeft de AP geen boetes opgelegd. Er tekent zich een gestage stijging van het aantal meldingen datalekken af, mede door actieve communicatie en voorlichting vanuit de AP. Deze stijging ligt in lijn der verwachting. Het toegenomen aantal meldingen hangt immers mede samen met de mate van bekendheid van de meldplicht bij het publiek en de daarop gebaseerde actieve bescherming van persoonsgegevens. Het is nog te vroeg om algemene conclusies te trekken uit het aantal meldingen.

Bij de monitoring door AP van de effecten van de meldplicht datalekken wordt telkens bezien in hoeverre de meldplicht extra capaciteitsinzet van de AP zal vergen. Hoewel er sprake is van een gestage stijging van het aantal meldingen, is de AP vooralsnog in staat om dit binnen het huidige budgettaire kader op te vangen. Het aantal meldingen ligt ook nog ruimschoots onder het in de memorie van toelichting op het wetsvoorstel meldplicht datalekken geraamde aantal meldingen van 66.000 per jaar.

De Staatssecretaris van Veiligheid en Justitie, K.H.D.M. Dijkhoff