Autoriteit Persoonsgegevens
Sluit menu

De AP Toezichtstrategie

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder die burgers beschermt in een digitale wereld.

De AP is de onafhankelijke toezichthouder op de naleving van het grondrecht op de bescherming van persoonsgegevens. De AP is ook onderdeel van de European Data Protection Board (EDPB), het samenwerkingsverband van Europese toezichthouders.

In onze toezichtstrategie beschrijven we als AP onze taakopvatting en hoe we daar concreet invulling aan geven. Wanneer komen we in actie? Hoe zien die acties eruit? Hoe verhouden we ons tot bedrijven, organisaties en overheden? Wat betekent ons werk voor burgers?

De AP kiest bewust voor een brede taakopvatting; die van maatschappelijk regisseur. Vanuit die rol agenderen wij de gevolgen van maatschappelijke en technologische ontwikkelingen.

Voor ons is er sprake van een probleem als een AI-toepassing of een verwerking van persoonsgegevens schadelijk is voor de fundamentele waarden die de AP centraal stelt. Problemen kunnen zich dan ook voordoen zowel binnen onze duidelijke wettelijke taken als daarbuiten, bijvoorbeeld als er nog geen regels bestaan voor een bepaalde situatie.

We streven naar het voorkomen en verminderen van schadelijke situaties waar persoonsgegevens bij zijn betrokken. Dat doen we op een effectgerichte manier.

Fundamentele waarden

Als toezichthouder willen we een maatschappelijke bijdrage leveren. Daarom baseren we ons toezicht op de bescherming van persoonsgegevens op een aantal belangrijke, fundamentele waarden:

  • Non-discriminatie
  • Persoonlijke autonomie en vrijheid
  • Controleerbaarheid en transparantie van macht
  • Veiligheid van persoonsgegevens

Inschatting van mogelijke schadelijke situaties

Om te bepalen welke problemen we als eerste aanpakken, maken we een inschatting van wat de meeste schade zou kunnen veroorzaken.

Wij agenderen en treden ook op bij andere schadelijke ontwikkelingen in de samenleving die ons toezicht raken.

Oog voor échte effecten

Het is belangrijk dat we onze middelen goed inzetten. Daarom verzamelen we kennis over de effecten van onze acties om daarvan weer te leren. We kijken naar hoe de situatie eerst was, hoe die is verbeterd en of we een verschil maken.

Daar leren we vervolgens zelf ook van.

Zo voeren we de toezichtstrategie uit

Prioriteiten stellen op basis van de fundamentele waarden

Door fundamentele waarden als vertrekpunt te nemen in het stellen van prioriteiten, maken we het maatschappelijke belang van onze taak zichtbaarder. Deze waarden helpen ons prioriteiten stellen en bepalen onze invalshoek.

De fundamentele waarden om persoonsgegevens te beschermen zijn: non-discriminatie, persoonlijke autonomie en vrijheid, controleerbaarheid en transparantie van de macht en veiligheid van persoonsgegevens. Het borgen van deze fundamentele waarden draagt bij aan een veilige digitale samenleving.

Probleemgestuurd toezicht

Om deze fundamentele waarden te borgen, moeten we de juiste keuzes maken. Veel van het werk van de AP gebeurt op basis van klachten van burgers en signalen uit de maatschappij. Maar we agenderen zelf ook issues door analyses te maken. Ook signaleren en agenderen we soms risico’s en ongereguleerde problemen die een bedreiging vormen voor het gehele systeem.

Bij het afhandelen van signalen en het opstarten van onderzoeken geven we prioriteit aan de overtredingen die als meest schadelijk worden ervaren. Deze afweging maken we op basis van zorgvuldige analyses. We maken daarbij gebruik van kwantitatieve en kwalitatieve indicatoren.

De probleemanalyse is een heel belangrijk afwegingskader, maar wij hebben ook wettelijke taken die wij verplicht moeten uitvoeren. Denk daarbij aan het afhandelen van klachten, het registeren en opvolgen van datalekken, het toetsen van wetgeving en optreden of samenwerken met mede-toezichthouders in Europa als deze problemen signaleren.

Interventiestrategie

De AP maakt gebruik van een breed scala aan interventies. We bevorderen goed gedrag, bewaken naleving van de regels en agenderen op risico’s en ongereguleerde activiteiten. We werken effectgericht, wat betekent dat de keuze voor een interventie gemaakt wordt op basis van het verwachte effect van de interventie op het probleem.

Wij kunnen kiezen uit een breed scala aan interventies. Denk daarbij aan een telefoontje, informele gesprekken, waarschuwingen, berispingen, onderzoeken en het opleggen van boetes. We geven ook voorlichting en gaan het gesprek aan met organisaties op wie wij toezicht houden. Daarmee zijn wij ook agenderend en preventief. De functionaris gegevensbescherming (FG) speelt een grote rol en is onze eerste contactpersoon.

Evaluatie en effectmeting

Het evalueren van ons handelen is een integraal onderdeel van hoe we toezicht houden. De AP investeert in de effectmeting van de interventies. De geleerde lessen worden teruggekoppeld aan de rest van de organisatie. Dit helpt om de toezichtstrategie te verbeteren. We werken samen met andere partijen om evaluaties uit te voeren.

Onze toezichtcyclus

AP Toezichtcyclus