Dit is de zelfgemaakte missie van Autoriteit Persooonsgegevens (AP):
‘De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt’
Dat is wat mij betreft een mooi vertrekpunt voor een korte verkenning van de AP in verband met de huidige grootschalige aanval op onze privacy door 8vance. Om ervoor te zorgen dat iedereen zich aan de privacywetgeving houdt, is deze organisatie opgetuigd:
Organogram Autoriteit Persoonsgegevens
En daar werken waarschijnlijk rond de 200 medewerkers (laatste gegevens van 2022: 183 fte, budget: EUR 29 mio, datalekmeldingen: 21.000, klachten: 13.000, onderzoeken: 41, opgelegd boetebedrag: EUR 6,7 miljoen). AP kan zich dus niet bedruipen op basis van het boetebedrag, zoveel is zeker. Maar wat ik vooral schokkend vind is de extreem lage ratio van datalekmeldingen & klachten naar het aantal onderzoeken. Van 34.000 issues naar 40 onderzoeken is net iets meer dan 1 onderzoek per 1.000 aangedragen issues. Roulette spelen geeft een aanzienlijk hogere winkans…
Overigens blijkt UWV geen onbekende voor AP:
AP: Boetes en andere sancties, opgelegd aan UWV
En dan is er nog dit. AP:
- maakt zich sterk voor de bescherming van persoonsgegevens als vanzelfsprekende waarde in onze maatschappij.
- kent de relevante ontwikkelingen en handelt proactief als de bescherming van persoonsgegevens in de knel komt.
- heeft een actieve rol in in de uitwerking van Europese regels en in de samenwerking met de andere Europese toezichthouders.
Hoe AP kan stellen dat zij proactief handelt is mij een raadsel, en gezien mijn eigen ervaring met AP is dit ook volstrekte onzin. Want mijn (beperkte) ervaringen met de Autoriteit Persoonsgegevens (AP) zijn niet bepaald om over naar huis te schrijven. Zo heb ik heb een woordvoerder van AP via e-mail benaderd met de 8vance case waarbij ik het volgende heb meegedeeld:
Ik wil graag een massale overtreding van de AVG melden door een Nederlands bedrijf dat software/diensten ontwikkelt voor het HR domein. Het betreft een volume van meer dan 85 miljoen profielen met persoonsgegevens en contactgegevens waarbij de achterliggende natuurlijke personen niet om toestemming is gevraagd.
Met een verzoek om een afspraak. De reactie was hartverwarmend en bevestigde mijn droeve beeld van de uitvoeringsorganisaties van onze overheid:
U kunt uiteraard een melding doen bij de AP. Dat kan in de vorm van een tip of klacht. Is er sprake van een datalek, dan kan dat ook worden gemeld. Verdere informatie staat hier: Een tip of klacht indienen bij de AP | Autoriteit Persoonsgegevens.
Ik heb een passend bedankje gestuurd:
Ik ben overweldigd door de mate van interesse van onze nationale privacy waakhond. Goeie hemel…
Maar daar heb ik het natuurlijk niet bij laten zitten. Op dat moment was ik onwetend van het aantal tips en klachten dat op jaarbasis bij AP binnenkomt, anders had ik wel naar het casino gegaan. Maar op 13 maart heb ik zowel een tip als een klacht via de site van AP ingediend. Overigens is het proces om dat te doen ongetwijfeld reden voor een redelijk hoog afhaakpercentage, maar dit terzijde.
Tot op heden heb ik nog geen reactie ontvangen van AP, vandaar dat ik er maar weer eens een e-mail aan heb gewaagd (op 8 april):
Ik heb geen feedback gekregen op bovenstaande e-mail. Ook het indienen van een tip en een klacht hebben nog tot geen enkele (zichtbare) actie geleid. Mag ik hieruit opmaken dat AP geen vervolgactie denkt te nemen?
Ik heb geen idee of, en zo ja wanneer, ik een reactie van AP ga krijgen.