De kwestie-VoetbalTV bevestigt dat de AP de privacywetgeving niet uitvoert, maar op de stoel van de wetgever en de rechter gaat zitten. De AP, onder leiding van Aleid Wolfsen, trekt al jaren zijn eigen dogmatische plan en wijkt af van andere Europese toezichthouders. Dit leidt tot grote maatschappelijke kosten, die ik aan de hand van drie voorbeelden zal illustreren:
Datalekken openbaar maken
Ten eerste maakt de Nederlandse AP datalekken voor wetenschappelijk onderzoek niet openbaar. De datalekken die gemeld moeten worden door organisaties die last hadden van een datalek blijven in een digitale la liggen en niemand kan ervan leren.
In 2018 heb ik samen met de TU-Delft wetenschappelijk onderzoek gedaan, waarin we hebben beoordeeld dat er nauwelijks nadelen kleven aan het openbaarmaken van deze dataset, en tal van voordelen. In 2020 adviseerde zelfs de Nederlandse Cyber Security Raad om het register openbaar te maken. Maar tot nu toe is er niets gebeurd.
Te zware meldingsplicht
Ten tweede stelt het AP – vanuit haar strenge activistische benadering van de wet - de meldingsdrempel voor datalekken veel te laag, wat leidt tot een 'tsunami' van meldingen door Nederlandse organisaties. In Nederland waren er in 2021 in totaal 24.866 datalekmeldingen. In België waren dat er slechts 1.529.
Eerder waarschuwde ik samen met prof. Michael Faure voor deze 'meldingsmoeheid' in een peer reviewed artikel in het tijdschrift Computer Law & Security Review. Wij concludeerden dat er ook maatschappelijke kosten verbonden zijn aan het melden van datalekken:
“Ten eerste maken personen en organisaties wier gegevens zijn geschonden directe kosten omdat zij tijd en geld moeten besteden aan het analyseren en beperken van de gevolgen. Dit zijn misschien kleine kosten per record, maar als er honderdduizenden records worden geschonden, lopen de cijfers snel op.
De kosten van consumentenacties kunnen groter zijn dan verwacht, omdat consumenten verscheidene uren aandacht geven aan hun gelekte accounts, ook als bedrijven meer informatie opvragen of nieuwe creditcards verstrekken. Lenard en Rubin schatten deze kosten op 10 dollar per betrokkene.
Ten tweede kan de vloed aan meldingen van datalekken leiden tot een afname van de positieve effecten van bekendmaking, omdat betrokkenen minder aandacht kunnen besteden aan elke afzonderlijke inbreuk. Vervolgens wordt de informatieverspreiding minder zinvol en uiteindelijk zouden alle datalekken gewoon als irrelevante informatie kunnen worden gezien.”
Meldingsmoeheid heeft met andere woorden niet alleen gevolgen voor kleine datalekken, maar ook voor andere, grotere datalekken. Alle datalekken worden minder belangrijk als onderdeel van een stortvloed aan meldingen. Door de vergaande meldingsplicht van de AP zonder openbaarmaking en differentiatie nemen de baten van de meldingen af en stijgen de kosten van het systeem.
Willekeur met boetes
Ten derde creëert het AP een nalevingscultuur. Het AP dreigt Nederlandse organisaties regelmatig met het opleggen van hoge boetes. Het legt deze boetes ook willekeurig op: veel organisaties overtreden formeel de AVG, maar slechts een paar worden er beboet. De hoge boetes en willekeurige toewijzing van deze boetes leiden tot hoge compliancekosten. De AP gooit olie op het vuur door de GDPR zelfs strenger te interpreteren dan haar partner DPA's in lidstaten. Dit resulteert in een situatie waarin organisaties meer bezig zijn met compliant zijn dan met het daadwerkelijk nemen van maatregelen die de privacy en veiligheid verbeteren.
Persoonlijk juich ik het toe dat Brussel en de Raad van State nu zeggen: tot hier en niet verder. De Nederlandse regering moet een serieus gesprek aangaan met het AP over haar huidige praktijken. Deze praktijken moeten worden herzien om meer in lijn te komen met andere DPA's in Europa.