De Autoriteit Persoonsgegevens luidde afgelopen maand de noodklok: er is een explosieve toename van het aantal hacks en datadiefstallen. De toezichthouder gaf in haar bericht alweer aan dat veel datalekken geen opvolging krijgen door gebrek aan personeel en budget. Er werden Kamervragen gesteld en op 1 april kwamen er antwoorden van de demissionair minister voor Rechtsbescherming. Die antwoorden waren zo belabberd, dat we ons afvroegen of het een grap was, of alledaagse struisvogelpolitiek.

Hetzelfde liedje

Opnieuw geeft de Autoriteit Persoonsgegevens aanLees hier het bericht van de AP onvoldoende middelen te hebben om haar wettelijke taken te kunnen vervullen. Een stelling die niet ongefundeerd is, bleek uit onderzoek van KMPGLees hier de bevindingen uit het onderzoek in opdracht van het ministerie van Justitie en Veiligheid en de Autoriteit Persoonsgegevens. De resultaten waren helder: de toezichthouder moet ruim verdubbelen om haar werk te kunnen doen. Maar al voor het kabinet demissionair werd, schoof de minister dit lijk in de kast door naar een volgend kabinet. Er kwam een motieLees hier de motie die opriep tot het beschikbaar stellen van voldoende middelen voor de toezichthouder. Wederom gaf de minister niet thuis (toegegeven, inmiddels was hij demissionair minister).

Nu kwam het zoveelste signaal dat grondrechten en de veiligheid van Nederlandse burgers gevaar lopen, en volgens de ministerLees hier de antwoorden van de minister moet er dan maar beter geprioriteerd worden. Ofwel: loop je als burger gevaar, maar loopt een ander nog meer gevaar? Dan krijgt het grootste risico voorrang. Als dit nu om kleine datalekken ging, zou deze benadering nog enigszins te begrijpen zijn. Maar we hebben allemaal kunnen zien hoe signalen over matige gegevensbeveiliging bij de GGD al niet werd opgepakt. Dat leidde tot een zeer ernstig datalek waarbij de gegevens van mensen die een coronatest hadden gedaan op straat lagen. Dat zijn gegevens die bijzondere bescherming genieten in de Europese privacywet. Wat in de praktijk dus niet gebeurt, want de toezichthouder moet prioriteren.

Handhaving zorgt ook voor bewustwording

De Autoriteit Persoonsgegevens waarschuwt dat organisaties waaraan persoonsgegevens worden toevertrouwd niet altijd zorgvuldig omgaan met die gegevens. Volgens de minister kan dat makkelijk opgelost worden met bewustwording. Drie jaar nadat de Europese privacywet in werking is getreden, zou de Autoriteit Persoonsgegevens kennelijk nog steeds moeten uitleggen dat het echt heel belangrijk is om zorgvuldig om te gaan met gevoelige gegevens van mensen? Als organisaties de afgelopen jaren ergens bewust van zijn geworden, dan is het wel van het feit dat we een toezichthouder hebben zonder tanden. En zonder tanden bijt je niet, dat dus je hoeft niet bang te zijn voor consequenties. De tijd van praatjes moet nu echt voorbij zijn, het is hoogste tijd voor handhaving.

Geen woorden maar daden

Op 14 april Zie hier de agenda van de Tweede Kamervergadert de Tweede Kamer over de opvolging van de aangenomen motie om de Autoriteit Persoonsgegevens voldoende middelen te geven. En dat is hét moment voor Kamerleden om woorden op te laten volgen door daden. En nu we toch nog met de formatie bezig zijn, is het wellicht ook een goed moment om een minister voor Rechtsbescherming te zoeken die écht bereid is rechten te beschermen.