De burgerrechtenorganisatie Bits of Freedom stelt dat de Autoriteit Persoonsgegevens (AP) te onzichtbaar is. In Nederland verslapt daardoor de naleving van de AVG, en nemen bedrijven de regels minder serieus. De organisatie publiceerde recent een analyse met een oproep aan politiek en toezichthouders. De discussie raakt ook aan de Europese AI-verordening en de gevolgen voor overheid en bedrijven in Nederland.
AP mist zichtbaarheid en gezag
Bits of Freedom ziet dat de AP weinig aanwezig is in het publieke debat. Bedrijven en burgers weten daardoor niet goed wat wel en niet kan. Ook blijft praktische uitleg over nieuwe datatechnieken en algoritmen vaak achter. Dat maakt handhaving minder effectief.
De toezichthouder kampt al jaren met een hoge werkdruk. Klachten wachten lang op behandeling, terwijl nieuwe technologie sneller wordt ingevoerd. Zonder snelle en duidelijke signalen van de AP ontstaat onzekerheid bij organisaties. Dat werkt naleving niet in de hand.
De AP publiceert richtsnoeren en legt boetes op, maar dat bereikt niet altijd de werkvloer. Veel organisaties missen concrete voorbeelden en checklists. Zeker bij datamodellen en AI-systemen is heldere uitleg nodig. Het vraagt om meer praktijkgerichte communicatie.
Bedrijven negeren risico’s en regels
In veel sectoren blijft de AVG een ‘afvinkoefening’. Cookiebanners sturen te vaak naar onnodige toestemming. Tracking en profiling zijn nog steeds wijdverspreid. Zonder zichtbaar toezicht schuiven bedrijven risico’s vooruit.
De AVG eist dataminimalisatie: alleen data verzamelen die echt nodig is. Toestemming moet vrij gegeven, specifiek en duidelijk zijn. Een Data Protection Impact Assessment (DPIA) is een risicotoets voor privacy bij nieuwe systemen. Toch ontbreekt die toets in de praktijk vaak of is te oppervlakkig.
Voor burgers betekent dit meer onzichtbare datastromen. Profielen kunnen leiden tot uitsluiting of hogere prijzen. In klantcontact en marketing sturen algoritmen zonder goede uitleg beslissingen aan. Transparantie en uitleg in begrijpelijke taal ontbreken vaak.
Maximale AVG-boete: 4% van de wereldwijde jaaromzet of 20 miljoen euro (wat hoger is).
Grensoverschrijdend toezicht stokt
Bij grote techbedrijven geldt in de EU de ‘one-stop-shop’. De leidende toezichthouder in het vestigingsland coördineert dan het onderzoek. Voor Nederlandse klachten betekent dit vaak wachten op beslissingen in Ierland of Luxemburg. Die zaken duren regelmatig jaren.
De European Data Protection Board (EDPB) kan bindend ingrijpen bij meningsverschil. Dat gebeurt echter pas laat in het proces. Intussen gaat de dataverwerking door. Dit knelt bij diensten die miljoenen Nederlanders gebruiken.
Voor bedrijven die in Nederland opereren ontstaat zo een ongelijk speelveld. Snelle, voorspelbare handhaving ontbreekt. Nederlandse gebruikers krijgen laat duidelijkheid over hun rechten. Dat ondermijnt vertrouwen in digitale diensten.
AI vergroot druk op privacy
Organisaties zetten steeds vaker AI in voor selectie, klantenservice en risicoschatting. AI-modellen leren van grote hoeveelheden data. Als daar persoonsgegevens tussen zitten, geldt de AVG onverminderd. Logging, dataminimalisatie en duidelijke doelen zijn dan verplicht.
De Europese AI-verordening introduceert risicoklassen voor systemen. Hoog-risico toepassingen, zoals toezicht op werk of onderwijs, krijgen strenge eisen. Denk aan kwaliteitsmanagement, documentatie en menselijke controle. Dit komt bovenop de AVG-regels.
Publieke instellingen in Nederland moeten hiermee rekening houden bij inkoop en gebruik. Gemeenten en zorginstellingen hebben vaak beperkte expertise. Zonder goede begeleiding lopen zij juridische en maatschappelijke risico’s. Heldere kaders en ondersteuning zijn daarom essentieel.
Politiek moet AP versterken
Bits of Freedom vraagt om meer slagkracht voor de AP. Dat betekent voldoende budget en gespecialiseerde experts, op het moment van schrijven. Ook zijn kortere doorlooptijden en zichtbare communicatie nodig. Zo ontstaat duidelijkheid voor burgers en bedrijven.
Daarnaast is coördinatie met de AI-verordening belangrijk. Nederland moet een helder loket organiseren voor vragen over algoritmen en datamodellen. Taken tussen toezichthouders mogen niet overlappen of gaten laten vallen. Eén aanspreekpunt vergroot de rechtszekerheid.
De overheid kan ook sturen via inkoop. Eis privacy by design bij leveranciers en cloudplatforms. Vraag om risicoanalyses, auditlogs en uitleg van modellen. Dat helpt marktpartijen om de lat hoger te leggen.
Wat organisaties nu kunnen doen
Breng datastromen in kaart en schrap overbodige velden. Leg per proces vast welk doel en welke grondslag geldt. Versleutel gevoelige gegevens en beperk toegang. Train medewerkers in herkenbare praktijksituaties.
Voer tijdig een DPIA uit bij nieuwe AI-toepassingen. Documenteer datasets, aannames en beperkingen van het model. Test op vooringenomenheid en foutmarges. Betrek de Functionaris Gegevensbescherming bij keuzes.
Bereid u voor op de Europese AI-verordening. Werk met een register van AI-systemen en leveranciers. Vraag bij inkoop om conformiteitsverklaringen en impactrapporten. Zo verkleint u risico’s en voorkomt u vertraging bij toezicht.
