Autoriteit Persoonsgegevens ondergraaft stelselmatig eigen gezag

police-1058422_640

Het is opvallend hoe de Autoriteit Persoonsgegevens(AP), voorheen het College Bescherming Persoonsgegevens(CBP) al enige tijd opereert bij geconstateerde overtredingen. Ondanks het feit, dat die hebben plaatsgevonden is steevast het beleid om bij het beloven van beterschap geen sancties op te leggen. Volstaan wordt met de waarschuwing, dat het na beloofde verbeteringen niet weer mag gebeuren. Deze halfslachtige houding voedt de gedachte, dat de AP een toezichthouder is die de bij wet verkregen tanden(per 1 januari  2016 nog aangescherpt) niet wil laten zien door geen sancties op te leggen. Daardoor ontstaat het beeld, dat de AP een verlengstuk is van de wetgever en uitsluitend de implementatie van wetten met zachte hand corrigeert en helpt uitvoeren. Ze wordt het verlengstuk van de politiek en geen krachtige, onafhankelijke, toezichthouder. Het speelt eigenlijk bij alle zaken die de AP onderzoekt, maar twee onderzoeken die van groot belang zijn voor de privacy van de burger, licht ik er voor u uit.

Suwinet

Dit is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Een onderdeel van het UWV (Uitvoerings-instituut WerknemersVerzekeringen) ondersteunt, beheert en ontwikkelt het verder. Via diverse applicaties bestaat toegang tot (persoons)gegevens van burgers, waaronder financiële data. De bronhouders van de gegevens zijn onder andere de Gemeentelijke Sociale Diensten, het UWV en de Sociale VerzekeringsBank, maar ook de belastingdienst en de rijksdienst voor het wegverkeer. Naast deze partijen hebben ook de Immigratie- en NaturalisatieDienst, de Inspectie SZW, gemeentelijke belastingdeurwaarders, gemeenten in het kader van de meld- en coördinatiepunten voortijdig schoolverlaters en de Stichting Netwerk Gerechtsdeurwaarders toegang tot het netwerk. Er zijn veel protocollen en richtlijnen voor de toegang gemaakt, maar daar bleek een meerderheid van de gemeenten zich niet aan te houden. Mensen die geen toegang zouden moeten hebben tot het systeem kregen dat wel, ook personeel van externe bureaus, die door gemeenten ingehuurd waren. Ook werd het Suwinet in enkele gevallen gebruikt voor een ambtelijk doel waarvoor het niet opgezet was, namelijk het parkeerbeheer. Veel overtredingen constateerde de AP bij onderzoek. Op 21 januari 2016 verscheen dat rapport over overtredingen bij 11 van de 13 onderzochte gemeenten. Wat gebeurt er? De AP maant de overtreders, volgt ze door een vervolgonderzoek te doen, maar legt geen enkele sanctie op aan de overtreders, die geacht werden te weten hoe het wel zou moeten.

DIS

De afgelopen jaar heeft de AP zich ook beziggehouden  met de rechtmatigheid van het doorleveren van gegevens uit het DBC-Informatie Systeem(DIS) door de Nederlandse Zorgautoriteit(NZa) aan derden.  Nadat eerst de organisatie DBC-onderhoud de verantwoordelijkheid droeg voor het DIS werd op 1 mei 2015 die verantwoordelijkheid ondergebracht bij de NZa. Het ging om ge-pseudonimiseerde zorggegevens, die bij nadere beschouwing toch herleidbaar waren tot individuen. De AP was tot dat onderzoek min of meer gedwongen door publiciteit omtrent de herleidbaarheid. De AP was al eerder op de hoogte van deze materie o.a. door de uitzending van de tv-rubriek Zembla in 2014. Het komt uiteindelijk tot een uitspraak van de AP over dit onderwerp op 7 maart 2016. Daarin zegt de AP dat de gegevensverzameling van het DIS op zich wel rechtmatig is, maar dat doorlevering aan derden, zoals bijvoorbeeld de minister van VWS en het Centraal PlanBureau niet rechtmatig is. Het conceptrapport legde de AP eerst aan de NZa voor en paste het na een reactie van de NZa alsnog aan. Hoor en wederhoor bij mogelijke overtredingen hoort er te zijn, maar dat hoort plaats te hebben voor enig rapport uitgebracht wordt. Het voorleggen van een concept-rapport aan een onderzochte instantie is in mijn ogen al een zwaktebod. En wat gebeurt er met de geconstateerde overtredingen.  De NZa belooft het niet meer te doen. De AP heeft daar vervolgens vrede mee ZONDER sancties op te leggen vanwege de begane overtredingen.

Vergelijking

De handelswijze van de AP ten aanzien van geconstateerde overtredingen is heel vreemd. Het is hetzelfde als wanneer een dief betrapt is op een serie diefstallen, belooft het niet meer te doen en vervolgens geen straf krijgt opgelegd.. De handelswijze van de AP strookt absoluut niet met het rechtsgevoel, omdat organisaties waar de AP toezicht op houdt zo altijd wegkomen bij overtredingen zonder sancties. Het is bijvoorbeeld bij de Autoriteit Financiële Markten(AFM) niet voor te stellen, dat een overtreder met de belofte het nooit meer te doen geen sanctie opgelegd krijgt.

Uiteindelijk ondergraaft deze uiterst zwakke handelswijze van de AP het vertrouwen van de burgers in de overheid. Een sterke en ferm optredende toezichthouder is in het belang van burger en overheid.

Zachte heelmeesters maken nu eenmaal stinkende wonden.

W. J. Jongejan