Speech staatssecretaris Struycken bij viering Autoriteit Persoonsgegevens van 15 jaar Handvest van de grondrechten van de Europese Unie
De viering Autoriteit Persoonsgegevens vond plaats op 2 december 2024 in Den Haag.
Beste aanwezigen,
“Er is nog zoveel niet gezegd.”
15 jaar geleden, het was december 2009, stond Paul van Vliet met deze voorstelling in dit theater. Er is nog zoveel niet gezegd: dat geldt ook voor de bescherming van persoonsgegevens. Een onderwerp dat zich altijd zal blijven ontwikkelen.
15 jaar geleden nam het recht op gegevensbescherming ineens een vlucht. Nou ja, ineens, daar ging wel wat aan vooraf.
Gegevensbescherming is een grondrecht dat inmiddels stevig op eigen benen staat, onder andere door uitdrukkelijke vermelding in het Handvest van de grondrechten van de Europese Unie en de Algemene Verordening Gegevensbescherming.
Maar het gegevensbeschermingsrecht bestond al vóór de AVG en de verzelfstandiging van het grondrecht. Toen was het echter meer een onderdeel van het overkoepelende recht op privacy. En privacy is, licht gechargeerd, het recht om met rust gelaten te worden, terwijl de AVG méér is dan dat: het geeft de burger actieve zeggenschap over hoe met zijn of haar persoonsgegevens wordt omgesprongen.
Uit die schaduw is het grondrecht 15 jaar geleden gestapt, toen in het Handvest het recht op gegevensbescherming uitdrukkelijk werd ontkoppeld van het recht op privacy.
Hiermee kwam ook de Europese bevoegdheid om het gegevensbeschermingsrecht nader te reguleren. Dat is dus gedaan door middel van de AVG.
De AVG trok de regels voor de hele EU gelijk, gaf meer mogelijkheden voor toezichthouders om samen te werken en gaf hun meer middelen en mogelijkheden om op te treden bij een geconstateerde overtreding.
De tijd dat de pakkans bij een overtreding van de regels klein was en de boetes laag waren, is verleden tijd. De Europese toezichthouders hebben sinds de inwerkingtreding van de AVG samen méér dan 100.000 klachten per jaar ontvangen, méér dan 20.000 onderzoeken op eigen initiatief ingesteld en méér dan 6.600 geldboeten opgelegd, voor een bedrag van ruim 4 miljard euro.
De verzelfstandiging van het grondrecht gegevensbescherming vijftien jaar geleden is dan ook wel iets om bij stil te staan. We merken er namelijk allemaal wat van. Met gegevensverwerking heeft immers iedere burger, iedere ondernemer, iedere organisatie en iedere overheidsinstelling te maken. Dat is op zichzelf niet zozeer iets van de laatste tijd.
Wat wèl meer en meer toeneemt, is de mate waarin persoonsgegevens worden verwerkt. Je kunt bijna niets meer opzoeken, bestellen of anderszins online doen zonder dat iemand je gegevens verwerkt.
Daarom is het zo belangrijk dat we goede regels hebben over wat hierbij wel is toegestaan en wat niet.
We weten steeds beter welke rechten we op grond van de AVG hebben en oefenen onze rechten steeds actiever uit. Meer dan ooit dringt het besef door dat de verwerking van persoonsgegevens gepaard gaat met meer verantwoordelijkheden.
Met dit alles heeft ook een minder positief fenomeen zijn intrede gedaan, en hiervoor vraag ik vandaag iets van uw aandacht: wat heet in ambtelijk jargon: handelingsverlegenheid.
Sinds mijn aantreden als staatssecretaris vijf maanden geleden ken ik vele verbazingen, maar 1 ervan is de omnipresentie van de AVG en meer algemeen het recht omtrent privacy en gegevensbescherming. In vrijwel al mijn dossiers – en dat zijn er nogal wat: jeugdbescherming, schuldenproblematiek, kansspelverslaving, naast de rechtspraak, de advocatuur en de grote wetboeken – steekt de AVG de kop op.
De AVG wordt in het veld opvallend vaak ervaren als een belemmering om te doen wat goed en nodig is.
Organisaties die bijvoorbeeld betrokken zijn bij de zorg voor een kind, zoals jeugdzorg, politie, gezondheidszorg en onderwijs kunnen hier tegenaan lopen. Stel dat een kind in een gezin zich in een risicovolle situatie bevindt, zoals fysieke of emotionele verwaarlozing. De school van het kind merkt tekenen van verwaarlozing op. Tegelijkertijd voert jeugdzorg een onderzoek uit naar de thuissituatie, maar zijn de zorgverleners niet bekend met de schoolrapportages en krijgen daardoor geen volledig beeld van het welzijn van het kind.
En bijvoorbeeld ook wanneer een deurwaarder een dagvaarding uitbrengt: hij of zij kan door de brievenbus al zien dat sprake is van een heel problematische schuldensituatie, maar meent niet de schuldenhulpverleningsinstanties deelgenoot te kunnen maken van zijn of haar zorgen.
Zo is de AVG natuurlijk nooit bedoeld.
Bij het onderzoek naar de toeslagenaffaire werden soortgelijke gegevensdelingsproblemen gezien. De verhalen die rondgaan over de torenhoge eisen die de AVG stelt en de fikse boetes die de AP oplegt als de AVG niet wordt nageleefd, hebben veel mensen kopschuw gemaakt.
De ruimte die de AVG in veel gevallen wel degelijk biedt, blijft vaak uit angst onbenut. Regels worden door de normgeadresseerden strenger toegepast dan nodig: liever niets doen dan iets fout doen.
Ik zie hierin ook een rol voor de AP, in het kader van haar voorlichtende taak; samen moeten we toewerken naar een minder verkrampte omgang met de AVG. Dat mensen zich minder laten leiden door de angst om iets verkeerd te doen, en meer gevoel krijgen bij waar de AVG eigenlijk voor staat: het waarborgen van het vrije verkeer van persoonsgegevens. De verwerking van persoonsgegevens moet per slot van rekening in dienst staan van de mens en de samenleving.
Wanneer de AP - van wie ik moet toegeven dat zij zelf bepaald niet gebukt gaat onder welke vorm van verlegenheid dan ook - op dat punt verdere stappen zet, verwacht ik dat de AVG in de samenleving minder als een vervelende belasting wordt ervaren en meer als de noodzakelijke bescherming van een, zoals we vandaag vieren, zelfstandig grondrecht.
In verband met het thema handelingsverlegenheid wil ik nog uitdrukkelijk aandacht besteden aan het SCHUFA-arrest, dat scherp afbakende wanneer sprake is van geautomatiseerde besluitvorming. Dit is een onderwerp dat ook de overheid raakt, aangezien overheidsinstellingen veel processen geautomatiseerd uitvoeren. Deze week stuurt het kabinet hierover een brief naar de Tweede Kamer.
Het arrest bracht ons ertoe nog eens goed te kijken wanneer een geautomatiseerde verwerking kwalificeert als geautomatiseerde besluitvorming. En dan vooral: wanneer is een geautomatiseerd selectie-instrument eigenlijk een vorm van geautomatiseerde besluitvorming?
Om een voorbeeld te geven: een aanvraag wordt niet 100% geautomatiseerd afgedaan, maar wordt door een computersysteem op basis van vooraf bepaalde criteria geselecteerd voor handmatige beoordeling. Dit is het geval bij een deel van de belastingaangiften. Moet die geautomatiseerde selectie dan al gelden als een vorm van besluitvorming, waarvoor een wettelijke grondslag moet bestaan?
Die kant gaan we gelukkig niet op, maar ook hier ligt weer handelingsverlegenheid op de loer, met als gevaar dat allerlei processen uit voorzorg worden stilgelegd.
Het helpt dan ook dat de AP een advies heeft uitgebracht met goede aanbevelingen voor zowel het gebruik van selectie-instrumenten als daadwerkelijke geautomatiseerde besluitvorming. De alomtegenwoordigheid van gegevensverwerking in het dagelijks leven maakt dat het beleidsterrein van gegevensbescherming in beweging moet blijven. Dat stelt ook de Europese Commissie in haar tweede evaluatie van de AVG, eerder dit jaar, waarin zij schrijft dat op een aantal gebieden verdere vooruitgang moet worden geboekt.
Te denken valt aan beter functionerend toezicht, ook binnen organisaties. De functionaris voor gegevensbescherming, ofwel de FG, vervult deze belangrijke taak.
Deze taak verplicht ons kritische vragen te stellen: kan de FG goed zijn of haar werk doen? Hebben wij hem of haar toegerust met de juiste middelen? Kan de FG de juiste adviezen geven, en worden deze adviezen opgevolgd? Kan de FG waar nodig de vrees voor de AVG indammen en handelingsverlegenheid doorbreken?
De borging van de kwaliteit en de versterking van de positie van de FG zijn cruciaal voor een betere naleving van de AVG door organisaties én overheden. Daarom is mijn ministerie, in samenwerking met verschillende FG’s en stakeholders, waaronder de AP, druk bezig met de oprichting van een kwaliteitsregister.
Dames en heren, als staatssecretaris Rechtsbescherming sta ik voor een goede bescherming van persoonsgegevens.
In bijna mijn hele portefeuille zie ik dat organisaties worstelen met de AVG. Dit moet anders. Vanuit mijn verantwoordelijkheid volg ik de ontwikkelingen op het terrein van gegevensbescherming en sta ik open voor voorstellen voor verbetering, inclusief nieuwe wetgeving als daarin het probleem ligt.
Paul van Vliet zong 15 jaar geleden in zijn voorstelling over zaken die wel gedacht zijn, maar nog niet verteld. Zaken die afgewacht zijn, uitgesteld, doorgeschoven en weggewoven. Misschien wel uit handelingsverlegenheid.
Ik hoop van harte dat dit niet geldt voor de bijeenkomst van vandaag. Het soms onontgonnen terrein van de gegevensbescherming daagt u uit tot handelen. Dat maakt een dag als vandaag ook zo nuttig. Ik wens u allemaal nieuwe inzichten toe.