Voorwaarden voor succes: Autoriteit Persoonsgegevens. Een ongevraagd advies

Het College Bescherming persoonsgegevens krijgt een nieuwe naam: Autoriteit Persoonsgegevens. Deze nieuwe naam sluit beter aan bij het regime dat de Europese Commissie komend jaar hoopt te introduceren, dat de privacy regulering aanmerkelijk zal verzwaren. Daarop vooruitlopend maakte staatssecretaris Teeven op 24 november 2014 bekend dat het CBp al een uitbreiding van haar sanctionerende mogelijkheden krijgt. Wat betekent dit en wat komt er bij kijken om succesvol te kunnen zijn? Een, zoals gezegd, ongevraagd advies.

Uitbreiding bevoegdheden
Het CBp ziet toe op het beheer van persoonsgegevens, die gegevens die data aan een individueel adres, geloof, geaardheid, telefoonnummer, e.d. van een individu koppelen. Als een instantie, bedrijf vereniging, etc. dit soort gegevens opvragen, dan moet het deze zodanig opslaan, verwerken, dat deze niet ongeoorloofd in handen van derden kunnen vallen of zonder toestemming overgedragen of verkocht worden. Ook mogen dit soort gegevens niet langer worden opgeslagen dan strikt noodzakelijk. Deze regels raken heel veel organisaties direct. Tot op heden kon (en wilde?) het CBp daar weinig meer tegen doen dan een onderzoek instellen en rapporteren. Het had geen sterke sanctionerende bevoegdheden. Dit verandert als het aan de staatssecretaris ligt.

Het CBp mag boetes gaan opleggen tot een hoogte van € 810.000 voor recidivisten, bijvoorbeeld zij die herhaald en opzettelijk handelen in persoonsgegevens. Op het NOS journaal sprak J. Kohnstamm, de college voorzitter, echter al de woorden uit niet onmiddellijk te zullen gaan beboeten. Dat riep bij mij de vraag op: “hoe effectief gaat de Autoriteit Persoonsgegevens zijn”?

Effectiviteit
In ogenschouwnemende dat de regels nog veel strenger gaan worden vanaf circa 2017, neem ik u tien jaar terug in de tijd. De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA, nu Autoriteit Consument en Markt) kreeg in 2004 een onderdeel van de Privacy richtlijn in zijn toezichtpakket: spambestrijding.

De OPTA pakte dit voortvarend aan. Direct na inwerkingtreding van de wet werden een aantal onderzoeken ingesteld naar reeds bekende spammers, die na de inwerkingtredingsdatum in mei 2004 nogmaals spam verzonden. Deze onderzoeken leidden tot een aantal boetes in hetzelfde jaar en de eerste maanden van 2005. Het feit dat OPTA een onderzoek op locatie had ingesteld bij deze spammers ging heel snel rond in het wereldje, zo bleek uit gevolgde fora van spammers. Het resultaat was bekend: de organisatie Spamvrij hief zichzelf op, wegens groot succes van de wetgeving in combinatie met direct handhavend optreden: 85% van de identificeerbare, Nederlandstalige spam was binnen een half jaar verdwenen. Iedereen wist dat er een toezichthouder was die tanden had. Op die paar bedrijven na die dit was ontgaan. Daarna zijn het de partijen die bewust en zo anoniem mogelijk, spammen, er alles aan doen om uit zicht te blijven van de autoriteiten en vaak internationaal opereren.

Keuzes in aanpak
Het CBp maakt een andere leuze bekend. Dat is haar goed recht. Persoonlijk zou ik dat echter anders doen en meer gefaseerd te werk gaan.

Voorlichting
Veruit de meeste bedrijven, organisaties, etc. zijn van goede wil en willen in het geheel niet met de wet in aanraking komen. Waar het om gaat, is dat deze bedrijven een beeld krijgen van de maatregelen die ze moeten treffen en een besef waarom het anders moet, maar ook een beeld krijgen hoe het anders kan. Daar kan het CBp aan bijdragen door, in tegenstelling tot het verleden, actief mee te werken aan voorlichting en zelf outreach te verrichten naar betrokken partijen toe. Dat kan bijvoorbeeld door een roadshow, aansluiten bij bestaande activiteiten van branche organisaties en koepels en het opstellen van Richtsnoeren. Hier valt enorm veel winst te behalen en tijd en kosten te besparen. Tijd en geld die het CBp aan de volgende categorie kan besteden

Handhaving
Waar het CBp bovenal beducht voor moet zijn, is de recidivist. Partijen die bestaan van handel in persoonsgegevens en/of gebruiken voor hun andere wetsovertredende activiteiten en dit op de achtergrond doen. Dit vergt specialistische kennis van (digitale) opsporing en de bereidheid om medewerkers maanden, wellicht jaren aan zaken te laten werken. Kennis die voorhanden is bij bijvoorbeeld de ACM. Het is niet de eerste keer dat ik pleit om deze kennis samen te brengen. Bestrijding van spam, botnets, online fraude en data mining en verhandeling, etc. zitten zo dicht tegen elkaar aan dat het eigenlijk onzinnig is deze disciplines nog langer bij diverse instanties onder te brengen. Een onderwerp dat het Best Practice Forum over “spam” van het Internet Governance Forum ook aansnijdt en adresseert.

Veel van de partijen die het CBp gaat tegenkomen, opereren internationaal (of hebben hun hoofdkwartier elders en halen hier enkel data weg). Het grote voordeel van het CBp is dat zij een internationaal samenwerkend platform heeft, in tegenstelling tot de spambestrijders. De effectiviteit bij wetenschappelijke onderzoeken heeft zich reeds bewezen. Nu moet gaan blijken of dat ook voor onderzoeken op basis van sanctionerende bevoegdheden gaat gelden. Het CBp zal zijn collega’s hard nodig hebben.

Succes
Dit hangt af van wat het uitgangspunt is. Als dit is, in principe worden privacy gevoelige data op juiste wijze verwerkt, tijdig verwijderd, in beginsel niet verhandeld, etc., dan is er sprake van succes als dit op grote schaal zo is ingevoerd. Door overheden, organisaties, bedrijven, verenigingen, etc. Zelfregulering zal hier veel werk weg kunnen nemen. Dit kan een, gestimuleerd, uitvloeisel zijn van de bovengenoemde suggestie tot actieve outreach door het CBp. Een belangrijke les is echter dat zelfregulering wel degenen stopt die van goede wil zijn, maar niet hen die de wet bewust breken. Voor die categorie is het CBp echt nodig en daar helpt een waarschuwing niet. Daar is adequaat en gericht onderzoek voor nodig, leidend tot een (zware) boete. Wat zijn bijvoorbeeld benodigdheden voor succes?

1. Onderzoekers
Medewerkers die de juiste skill set in huis hebben: onderzoekers/rechercheurs die met digitale, forensische apparatuur kunnen omgaan en bewijs op de juiste wijze kunnen vergaren en presenteren.

2. Enforcement tools
De wet mee moet de juiste onderzoeksbevoegdheden meegeven. Als die niet afdoende zijn of zelfs ontbreken, is deze exercitie kans- en doelloos. Daar zijn veel voorbeelden van te vinden in het buitenland.

3. De interne wil
Er moet de wil zijn om door te pakken waar dit nodig is. Die cultuur kent het CBp tot op heden niet en vergt een serieuze omslag.

4. Middelen
Het CBp moet de middelen, geld, mensen en tools krijgen die dit alles ook mogelijk maken op een manier die er toe doet. Zonder gaat het niets of in ieder geval weinig worden.
Naast dit alles valt of staat een internationale zaak met vergelijkbare skills, tools en wil (om samen te werken) bij de collega’s in het buitenland. (En een noodzaak tot harmonisatie, het mogen delen van IP adressen, e.d., etc., etc.)

Advies
Daarom een klein advies. Splits de activiteiten in a) actieve voorlichting richting hen die willen (en pak daarna de recidivist of sukkelaar onder hen aan) en b) een direct serieuze aanpak van notoire wetsovertreders. Wacht hier niet mee, maar start op dag een. Er zijn al teveel jaren verloren gegaan bij de gerichte aanpak van deze categorie. En werk samen met iedereen die kan helpen bij het maken van een verschil.

Conclusie
Staatssecretaris Teeven heeft een belangrijke eerste voorwaarde gecreëerd om de verwerking van privacy gevoelige data beter te laten verlopen. Of dit een succes wordt, hangt af van de nagels en tanden van de toezichthouder. De Autoriteit Persoonsgegevens zal zich nu moeten bewijzen. Waarschuwingen kunnen daarbij een mooi middel zijn, maar schrikt de echte overtreder niet af. Die les is reeds getrokken! Op dag een moet deze categorie een van de topprioriteiten zijn. Pas dan wordt Nederland minder interessant om data in te vergaren op ongeoorloofde wijze.

Wout de Natris, De Natris Consult

Leiderdorp, 25 november 2015

Advertisements

About Wout de Natris

As a consultant I specialise in establishing new and different relationships between industry, governments and law enforcement where internet safety and the fight against cyber crime are concerned. This makes me a bridge builder. Hence the blogs name. In this blog I intend to stress the need for interaction, cooperation and exchange of information in order to change the mentioned relationships. On offer: a comprehensive training on all non-technical aspects of spam enforcement and a cyber awareness presentation for companies and institutions
This entry was posted in Privacy and tagged , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s