Print:

Rol van nationale toezichthouders verandert. Wat kunt u verwachten en welke invloed heeft dit op uw beleid?

Steffie Bom , Tekstschrijver

LinkedIn profiel

Door de komst van de EPV neemt de vrijheid van nationale toezichthouders af. Hoe verandert hun rol? Wat betekent dit voor het bedrijfsleven en de overheid? Hielke Hijmans (onafhankelijk expert Europees recht en privacy, voorheen Europese Toezichthouder voor de Gegevensbescherming (EDPS)) over wat u tot 2018 van de toezichthouders kunt verwachten en waar u rekening mee moet houden.

Rol toezichthouder: wat gaat veranderen?

Door de komst van de EPV wordt het voor toezichthouders vooral van belang een praktische en verstandige manier te vinden om niet alleen nationale, maar ook Europese taken goed uit te voeren. “Toezichthouders moeten meer gaan samenwerken, terwijl ze nu al te klein zijn om alle taken te kunnen uitvoeren”, vertelt Hijmans. “Er moet dan ook een strategie komen, met daarin duidelijk waar de focus op komt te liggen.”

Organiseren toezichthouders

“Nationale toezichthouders werken nu voornamelijk binnen de eigen landsgrenzen”, gaat Hijmans verder. “Ze maken keuzes in lijn met de prioriteiten die zij hebben gesteld. Bij grensoverschrijdende kwesties verloopt de samenwerking met andere Europese toezichthouders vooral op vrijwillige basis. Men geeft advies aan elkaar over hoe een kwestie het beste op te pakken. In de toekomst wordt dit anders. De rol van nationale toezichthouders op Europees gebied neemt toe. Naast advisering moet men ook op het gebied van handhaving nauw gaan samenwerken. In de EPV is zelfs als verplichting opgenomen dat als een collega autoriteit met een probleem komt, daar direct medewerking aan moet worden verleend. Hiervoor moet je wel voldoende capaciteit hebben en dat is niet eenvoudig.”

Dag van de Privacy Officer 2016 IIR

Grensoverschrijdend handhaven

De EPV kent hoge sancties, tot 4% van de wereldwijde jaaromzet. Het nationaal op de juiste manier inzetten van het sanctiemechanisme wordt al een behoorlijke uitdaging. Straks moet men echter ook grensoverschrijdend effectief handhaven. De verwerking van data kan steeds meer plaats vinden in een land waar de toezichthouder zelf zich niet bevindt. “Samenwerking op Europees gebied is ook hier geboden”, aldus Hijmans. “Mede om in de toekomst ‘met één mond’ te kunnen praten met bedrijven als Facebook en Google. Er zijn op zich goede mechanismes bedacht hoe toezichthouders tot een beslissing moeten komen, maar die werken niet vanzelf.”

Risk Based Approach

Nationale toezichthouders werken op dit moment al aan een zogenaamde risk based approach. Ze bedenken wat voor activiteiten een groot risico opleveren en wat deze risico’s precies zijn. Dit alles om ervoor te zorgen dat bescherming daar geboden wordt, waar het risico voor de samenleving te groot is. “Natuurlijk juich ik dit toe, al zou het voor het bedrijfsleven meer handen en voeten mogen krijgen. Hoe de business – gelet op deze privacyrisico’s – moet worden ingericht, zonder dat de innovatie stopt. Daar heb ik wel ideeën over, die ik tijdens de workshopdag toelicht.”

Samenwerken met bedrijfsleven

“De vraag is ook hoe nauw de Autoriteit Persoonsgegevens moet samenwerken met de overheid en het bedrijfsleven. Dat hangt mede af van de primaire taak van de toezichthouder: is dat het handhaven op overtredingen of is dat juist het geven van guidance, om te voorkomen dat in een latere fase overtredingen plaatsvinden? Veel mensen zijn van mening dat de toezichthouder moet adviseren, het bedrijfsleven moet helpen. Dat zou effectiever zijn dan zware sancties uitdelen. Aan de andere kant, zonder zware sancties is de bereidheid om de bedrijfsvoering te wijzigen gering. Persoonlijk vind ik toezicht heel belangrijk, maar dat kan niet zonder aan te geven waar grenzen liggen. De uitkomst zou dan ook ergens in het midden moeten liggen”, aldus Hijmans.

Verantwoordelijkheden naar bedrijfsleven

“Door de documentatieverplichting (opgenomen in de EPV) moeten bedrijven kunnen aantonen dat ze aan de wettelijke eisen voldoen en hoe ze dat doen. Hierdoor verschuift verantwoordelijkheid van de toezichthouder naar het bedrijfsleven en de overheid.” Met het oog hierop vraagt Hijmans zich af of de Privacy Officer meer moet zijn dan een onderdeel van de eigen organisatie. Hij of zij kan ook een rol spelen als een soort van vooruitgeschoven post van de toezichthouder. “Het nauwe contact tussen de Privacy Officer en de toezichthouder maakt dat de organisatie beter weet wat te doen. Maar of organisaties die Privacy Officer dan ook volledig vertrouwen, betwijfel ik.”

Tijdens de workshopdag ‘Privacy Officer need-to-knows’ op het congres ‘Dag van de Privacy Officer‘ op donderdag 10 november, gaat Hijmans dieper in op bovengenoemde issues. En hij kijkt naar wat toezichthouders – alsook bedrijven, de wetgever en de overheid – nog meer moeten doen om er 2018 klaar voor te zijn.