Vergroot contrast

Toezichtkader Autoriteit Persoonsgegevens

Naar een toekomstbestendige bescherming van persoonsgegevens

We leven in een ‘datagedreven’ wereld waarin data verwerkende bedrijven zeer machtige bedrijven zijn, waarin persoonsgegevens veel geld waard zijn en waarin big data-analyses in alle sectoren worden toegepast. Technologische ontwikkelingen gaan sneller dan ooit. Daarvan kan iedereen profiteren. Bedrijven en overheden, maar zeker ook de mensen die gebruik kunnen maken van nieuwe producten en diensten. Het beschermen van persoonsgegevens is essentieel in een tijd van voortdurende technologische ontwikkeling en toenemende afhankelijkheid van digitale dienstverlening. Globalisering maakt bovendien dat de verwerking van persoonsgegevens verder gaat dan de Nederlandse grenzen. In deze maatschappelijke context is het van groot belang dat mensen zeggenschap houden over hun persoonsgegevens.
Overheden en bedrijven verwerken persoonsgegevens die op steeds nieuwe manieren met elkaar worden gecombineerd. Vaak zonder dat mensen dat in de gaten hebben. Zij ondervinden gemak van innovatieve producten en diensten. Maar innovatie mag niet ten koste gaan van het grondrecht om persoonsgegevens te (kunnen) beschermen. Daarvoor is noodzakelijk dat mensen zeggenschap hebben en houden over hun digitale sporen. Dit is in deze tijd een grote uitdaging, maar alleen dan kunnen mensen in vrijheid blijven beslissen.

Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving van toepassing: de Algemene verordening gegevensbescherming (AVG) en de Richtlijn gegevensbescherming opsporing en vervolging  (van ‘criminal offences’). De nieuwe wetgeving brengt ingrijpende veranderingen voor de bescherming van persoonsgegevens met zich mee, ook voor het toezicht en de toezichthouder. Deze wetgeving versterkt de privacyrechten van alle inwoners in de EU, eist meer van organisaties en geeft de Europese privacytoezichthouders steviger bevoegdheden om op te treden. Om goed uitvoering te kunnen geven aan deze nieuwe wetgeving, heeft de Autoriteit Persoonsgegevens (AP) haar interne organisatie aangepast. Bij deze vernieuwing past ook de vernieuwing van het toezichtkader.
In het voorliggende toezichtkader kunt u lezen wat de missie is van de AP, welke ambities wij hebben, volgens welke kernwaarden wij invulling geven aan de uitvoering van onze taken en welke gebieden in het bijzonder onze aandacht krijgen.

Missie

Onze wettelijke opdracht hebben wij in de volgende missie vertaald:

De Autoriteit Persoonsgegevens is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt.

De AP bevordert dat overheden en bedrijven, maar ook mensen zelf hun verantwoordelijkheid nemen bij de bescherming van hun persoonsgegevens. Dit doen wij door hen te informeren over de regels en de risico’s. Wij leggen mensen uit wat hun rechten zijn en adviseren de wetgever zowel gevraagd als ongevraagd over wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens. Daarnaast stimuleren wij organisaties om privacyvriendelijke systemen en processen toe te passen. Wij bewaken naleving van de regels door onafhankelijk onderzoek te doen naar (mogelijke) overtredingen. Dat doen wij op eigen initiatief of naar aanleiding van een klacht. Als dat nodig is, treden wij handhavend op.
Wij werken samen met andere Europese privacytoezichthouders, want wij moeten reageren op nationale én internationale ontwikkelingen. Inherent daaraan is dat wij keuzes moeten maken. Keuzes over onze rol en over de meest effectieve aanpak per situatie. Bij die afweging staan altijd mensen centraal: in welke mate is hun grondrecht geschonden?

Ambities

De AP heeft drie ambities geformuleerd waarmee zij nader invulling geeft aan het volbrengen van de missie.

1.    De Autoriteit Persoonsgegevens maakt zich sterk voor de bescherming van persoonsgegevens als vanzelfsprekende waarde in onze maatschappij

De AP bevordert dat een hoog privacybeschermingsniveau als vanzelfsprekend wordt beschouwd. Meer concreet beogen wij het publieke debat over de bescherming van het grondrecht op gegevensbescherming te stimuleren. Hiertoe werken wij samen en treden wij in dialoog met stakeholders om problemen en risico’s te signaleren, te bespreken en waar mogelijk oplossingen aan te dragen. Daarnaast zetten wij relevante onderwerpen op de publieke agenda en communiceren wij actief over de afhandeling van klachten, alsmede over wetgevingsadviezen en besluiten.

2.    De Autoriteit Persoonsgegevens kent de relevante ontwikkelingen en handelt proactief als de bescherming van persoonsgegevens in de knel komt

De AP is een kennisgedreven en risicogerichte autoriteit die in nauwe verbinding staat met haar omgeving. Wij treden actief in contact met organisaties en mensen, nemen deel aan het maatschappelijk debat en weten wat er leeft in de maatschappij. Door contact met (branche)organisaties, overheden en bedrijven halen wij kennis van buiten naar binnen en vice versa. Door middel van dienstverlening, zoals voorlichting, informatieverstrekking, hulp en ondersteuning en het ‘empoweren’ van mensen door hen middelen aan te bieden waarmee zij bij organisaties hun rechten kunnen uitoefenen, handelen wij proactief. Het uitgangspunt hierbij is de eigen verantwoordelijkheid van mensen en organisaties. Organisaties worden gestimuleerd om op een goede en ‘accountable’ manier met persoonsgegevens om te gaan.
De informatie uit het systeemtoezicht en de signalen, meldingen en klachten die wij ontvangen, worden geanalyseerd met als doel trends en risico’s in kaart te brengen. Door het in kaart brengen van trends en risico’s  zorgen wij ervoor dat wij niet alleen reageren op actualiteiten, maar ook proactief onze eigen beleids- en onderzoekskeuzes maken.

3.    De Autoriteit Persoonsgegevens neemt een actieve rol in de uitwerking van Europese regels en in de samenwerking met de andere Europese toezichthouders

Internationale samenwerking is niet alleen een ambitie, maar ook een vereiste die volgt uit de AVG. De AP vervult van oudsher een belangrijke rol in de samenwerking tussen de privacytoezichthouders en zal deze rol ook onder de nieuwe wetgeving voortzetten. Wij streven naar verhoging van de privacybescherming in de hele EU en behandelen klachten die afkomstig kunnen zijn van burgers uit alle EU-landen over bedrijven die in Nederland gevestigd zijn of die in Nederland hun diensten aanbieden. Wanneer daarbij sprake is van een mogelijke inbreuk op de bescherming van persoonsgegevens van Nederlandse burgers door een bedrijf dat in een ander EU-land is gevestigd, zoeken wij nadrukkelijk de Europese samenwerking op. Hierbij gaat het onder meer om het gezamenlijk uitvoeren van onderzoeken en afstemmen van handhavingsmaatregelen. Daarnaast nemen wij actief deel aan internationale samenwerkingsverbanden van privacytoezichthouders. De kennis die wij hierbij opdoen, dragen wij actief uit naar organisaties en mensen in Nederland. 

Kernwaarden

De AP handelt volgens vier kernwaarden: onafhankelijk, open, deskundig en effectief.

Onafhankelijk

De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder zonder invloed van bedrijven en overheden. We houden rekening met de belangen van anderen, maar behouden tegelijkertijd onze onafhankelijke positie. Altijd met een onbevooroordeelde en scherpe blik.

De AP houdt rekening met  de belangen van alle betrokken partijen, maar tegelijkertijd bepalen en formuleren wij zelfstandig en weloverwogen onze standpunten en prioriteiten. De onafhankelijkheid komt ook tot uitdrukking in de manier waarop de oordeelsvorming in onderzoeken tot stand komt: wij doen feitelijk, met een scherpe blik en onbevooroordeeld onderzoek.

Open

De Autoriteit Persoonsgegevens staat in verbinding met haar omgeving. Mensen en organisaties weten ons te vinden met signalen en voor informatie over de regels en risico’s. We zijn transparant waar het kan. We communiceren actief over ons werkproces en onze besluiten, stimuleren het publieke debat en geven duiding aan de regels. Toegankelijk taalgebruik en transparantie over ons handelen dragen bij aan onze effectiviteit en vergroten de legitimiteit ervan.

Openheid betekent dat de AP er uitdrukkelijk voor kiest om actief naar buiten te treden, contact te houden met het toezichtsveld en goed bereikbaar is voor alle mensen en organisaties. Daarbij houden we nadrukkelijk rekening met het gegeven dat niet alle burgers zich in dezelfde mate zelfstandig kunnen redden in hun contact met organisaties. Wij willen een gesprekspartner zijn wanneer het gaat om het implementeren van een hoog niveau van gegevensbescherming in organisaties. Wij denken graag mee over de wijze waarop bedrijven en overheden innovatieve producten en diensten privacyvriendelijk kunnen ontwikkelen. Daarnaast zijn wij transparant over onze verrichte werkzaamheden, doelen en middelen en leggen wij verantwoording af over onze resultaten. Wij communiceren enerzijds over geconstateerde overtredingen en hebben anderzijds nadrukkelijk aandacht voor het (proactief) communiceren van situaties waarin de bescherming van persoonsgegevens op een goede wijze is geborgd.

Deskundig

Medewerkers van de Autoriteit Persoonsgegevens zijn ter zake kundig en ontwikkelen voortdurend mee met hun omgeving. De AP stimuleert de ontwikkeling van individuele medewerkers en werkt aan de organisatie als geheel om een moderne toezichthouder te zijn.

De AP kent een belangrijke waarde toe aan haar deskundigheid. Onze deskundigheid  krijgt vorm door ervoor te zorgen dat de medewerkers beschikken over de vereiste vakkennis, professioneel optreden en betrokkenheid tonen. Wij zien professionalisering als een voortdurende eis aan alle mensen binnen onze organisatie. Wij investeren in de opleiding van onze medewerkers. Daarbij zoekt de AP ook de samenwerking met andere toezichthouders, openbaar bestuur en universiteiten. Deskundigheid betekent ook dat onze medewerkers weten wat er speelt. Op basis van gedegen kennis over een thema of toezichtsgebied, bepaalt de AP proactief haar positie en kiest zij voor een inzet van instrumenten die het meest effectief is binnen dat thema of toezichtsgebied.

Effectief

Omdat we moeten reageren op nationale én internationale ontwikkelingen maken we weldoordachte keuzes. Per situatie kiezen we voor de meest effectieve aanpak. Met daadkracht, maar altijd met focus op het grondrecht van mensen.

Het toezichtsveld van de AP is groot en met het van toepassing worden van de AVG krijgt de AP er een aantal aanzienlijke taken bij. Dit betekent dat wij prioriteiten moeten stellen, slim moeten omgaan met het uitvoeren van interventies en de capaciteit zo effectief en efficiënt mogelijk moeten inzetten. Om dit te kunnen realiseren zoeken we de samenwerking op met diverse brancheorganisaties en andere stakeholders. Meer in het bijzonder richten wij ons op de Functionarissen Gegevensbescherming (FG’s). FG’s zijn te beschouwen als de interne toezichthouders van organisaties: zij houden intern toezicht op de toepassing en naleving van de AVG.

Effectief toezicht vereist daadkracht. Om een effectieve toezichthouder te kunnen zijn past de AP uiteenlopende toezichts- en handhavingsinstrumenten toe. Daarbij kan onder meer worden gedacht aan het versturen van een waarschuwingsbrief, het aangaan van een normoverdragend gesprek, het starten van een onderzoek, het opleggen van een dwangsom of het opleggen van een boete. Als uitgangspunt geldt dat wij kiezen voor het handhavingsinstrument dat het minst ingrijpend is en waarmee het meeste effect wordt bereikt. Overigens wordt daadkracht niet alleen bepaald door een goed lopend interventiebeleid. Ook deskundig informeren, adviseren en communiceren kenmerken een daadkrachtige houding. Dit betekent dat wij daar waar mogelijk ´guidance´ bieden, maar ook zullen optreden wanneer dit nodig is.