Als de Autoriteit Persoonsgegevens niet snel genoeg beslist over jouw verzoek tot handhaving, moet je bij de rechter die beslissing kunnen afdwingen. Maar de Autoriteit Persoons­gegevens heeft nog helemaal geen idee hoe zij de wet moet uitleggen. Dit zorgt voor onduidelijkheid. Tijd voor een actievere waakhond, vinden wij.

Europese privacyregels

Wat bedrijven en overheden met gegevens over jou mogen doen, en onder welke voorwaarden, is vastgelegd in een Europese wetDie Europese wet heet de Algemene Verordening Gegevensbescherming of kortweg AVG. In Nederland handhaaft de Autoriteit Persoonsgegevens die regels. Als jij denkt dat een bedrijf of een overheidsinstantie onzorgvuldig met jouw gegevens omspringt, kun je op basis van die Europese regels bij hen een klacht indienen. Wat ze precies op basis van je klacht doet “hangt af van de situatie”. Het kan zijn dat zij na een snelle blik op je klacht even met de organisatie bellen, maar het kan ook dat ze na uitgebreid onderzoek een boete opleggen.

Nederlands bestuursorgaan

Maar omdat de Autoriteit Persoonsgegevens een onafhankelijk bestuursorgaan is, zijn ook de Nederlandse regelsDie regels staan in de Algemene wet bestuursrecht (Awb) over bestuursorganen van toepassing. Die bepalen hoe je als burger zo’n toezichthouder kunt verzoeken om bepaalde regels te handhaven. Ook is vastgelegd in die wet welke rechten je hebt als je vindt dat de toezichthouder een onjuiste beslissing op zo’n verzoek heeft genomen. Kortom, als jij vindt dat een bedrijf of een overheidsinstelling slordig met jouw persoonlijke gegevens omgaat, kun je, op basis van die Nederlandse wet, de Autoriteit Persoonsgegevens dwingen om de Europese privacyregels te handhaven.

De ene klacht is de andere niet

Je zou verwachten dat die “klacht” uit de Europese regels en het “verzoek om handhaving” uit de Nederlandse regels, op elkaar zijn afgestemd. Helemaal geen vreemde gedachte, want er is in Nederland ook nog een speciale wetUitvoeringswet AVG die expliciet tot doel heeft deze Nederlandse regels af te stemmen op die Europese. Daarin is bijvoorbeeld vastgelegd dat de Autoriteit Persoonsgegevens de toezichthouder is zoals die bedoeld wordt in de Europese regels. Toen de ambtenaren aan die wet schreven bedachten ze dat die “klacht” en het “verzoek om handhaving” praktisch gezien hetzelfde zijn:

“Naast de handhavingstaken kent [die Europese wet] de Autoriteit persoonsgegevens nog andere taken toe, zoals de taak om klachten te behandelen van betrokkenen die menen dat er bij de verwerking van persoonsgegevens van hen, inbreuk wordt gemaakt op [die Europese wet]. Het woord klacht heeft in [die Europese wet] een eigen, en van [de Nederlandse wet] afwijkende, betekenis. […] Naar voor [de Nederlandse wet] gebruikelijke terminologie gaat het hier niet om een klacht, maar om een verzoek tot handhaving aan de Autoriteit persoonsgegevens.”

Maximaal de tijd

Er valt veel voor te zeggen om een klacht gelijk te stellen aan een verzoek tot handhaving. Dan heb je tenminste dezelfde rechtsbescherming. Maar is dat zo? Want de voorwaarden die aan een klacht worden gesteld, zijn lager dan die voor een verzoek tot handhaving. De Nederlandse wet heeft het over een beslistermijn, terwijl de Europese wet de toezichthouder alle tijd lijkt te geven die zij nodig denkt te hebben om op basis van een klacht een beslissing te nemen. Zij hoeft je alleen binnen drie maanden te informeren over de stand van zaken.

Hoe de wet uitgelegd wordt

Dus wat zijn je rechten nu precies als de toezichthouder onredelijk lang doet over het nemen van een beslissing? Kan je naar de rechter stappen om een besluit af te dwingen? Wanneer geldt het niet nemen van een beslissing als een afwijzende beslissing, zoals gebruikelijk is onder de Nederlandse regels? Die onduidelijkheid zorgt ervoor dat je slechter af bent. En dus dachten we, de Autoriteit Persoonsgegevens moet hierover nagedacht hebben, want zij hebben immers de taak om die Europese wetgeving te handhaven en, in het verlengde daarvan, er voor te zorgen dat bedrijven en overheden zorgvuldig met jouw gegevens omspringen. Wij vroegen daarom de toezichthouder om duidelijkheid te verschaffen. Het leek ons meer dan logisch dat zij daar beleid over heeft. Niet dus. Uit het antwoordBeslissing op ons verzoek om documenten openbaar te maken dat we kregen:

“Gelet op uw verzoek om informatie dat betrekking heeft op vastgesteld beleid met betrekking tot de verhouding tussen [de Nederlandse wet] en [die Europese wet], blijkt deze informatie na intern onderzoek niet voorhanden of beschikbaar.”

Een waakhond met tanden

Dat is ondermaats. En al helemaal omdat dit het antwoord is van een toezichthouder die moet opkomen voor de burgers, de bescherming van hun gegevens en daarmee voor hun vrijheid. We zouden graag zien dat de Autoriteit Persoonsgegevens zich veel proactiever opstelt. We willen graag een toezichthouder die zijn tanden laat zien en keihard optreedt tegen overtredingen. En die heeft nagedacht over de manier waarop de rechten van burgers het beste beschermd kunnen worden. Want dit, dit is ronduit teleurstellend.