InterviewAleid Wolfsen

Aleid Wolfsen: Gestolen data zijn veel erger dan een gestolen fiets

Aleid Wolfsen: ‘Mensen die bij ons aan de bel trekken, beschrijven een machteloosheid over wat er met hun gegevens gebeurt’. Beeld Werry Crone
Aleid Wolfsen: ‘Mensen die bij ons aan de bel trekken, beschrijven een machteloosheid over wat er met hun gegevens gebeurt’.Beeld Werry Crone

Opnieuw moet een onderzoek deze week uitwijzen of de Autoriteit Persoonsgegeven meer budget en meer mensen nodig heeft. Voorzitter Aleid Wolfsen weet al wat het antwoord is. ‘We zijn veel te traag, dat vindt iedereen.’

Aleid Wolfsen loopt af en toe een dag mee bij de klachtenafdeling van de Autoriteit Persoonsgegevens (AP). Daar hoort de voorzitter van de toezichthouder met welke privacyzorgen burgers zitten. “Je hoort hele persoonlijke verhalen, soms zijn mensen echt geëmotioneerd. Ze vragen zich af hoe een bedrijf aan hun data komt. Of hoe een organisatie bepaalde dingen weet. Ik weet na zo’n dag meelopen weer waarom ik ’s morgens mijn bed uit kom.”

De burgers die zich met een privacyklacht bij de AP melden, moeten wel geduld hebben. De waakhond kampt met grote achterstanden. Een klacht blijft nu zo’n zes maanden liggen voordat die wordt behandeld – en dan is het nog steeds onmogelijk om alles te behandelen.

Niet alleen voor burgers is contact met de AP een oefening in geduld. Zo moeten banken vijf tot zeven jaar wachten op een vergunning om klantgegevens door te geven aan hun kantoren buiten de EU. “Lachwekkend”, aldus Wolfsen. 

Aleid Wolfsen (Kampen, 1960)

1979-1994: parketmedewerker bij de arrondissementsrechtbank in Zwolle
1995-1998: projectleider Herziening Rechterlijke Organisatie en andere functies bij het ­ministerie van justitie
1998-2001: rechter in Amsterdam
2002-2008: Tweede Kamerlid voor de PvdA
2008-2014: burgemeester van Utrecht
2016-heden: voorzitter van de Autoriteit Persoonsgegevens

Wolfsen is daarnaast onder meer voorzitter van de raad van toezicht bij het Instituut Asbestslachtoffers, Stichting de Basis voor veteranenzorg en muziekrechtenorganisatie ­Sena.

Volgens hem is de AP simpelweg te klein voor al het werk dat verzet moet worden. Het is zeker niet de eerste keer dat een voorzitter van de privacytoezichthouder dit aankaart. Er volgden ook al onderzoeken die ­bevestigen dat de AP moet groeien. In 2017 nog, net voor de invoering van de nieuwe Europese privacywet, voorspelde een extern onderzoeksbureau dat de AP op z’n minst 185 fulltime banen (fte) nodig heeft, maar dat dit zou kunnen oplopen tot zeker 270.

De AP groeide, maar bleef steken op 182 fte. Minister Sander Dekker van rechtsbescherming wil dat niet zomaar ophogen. Eerst moet er opnieuw onderzoek worden gedaan, vindt hij. Dus wacht Wolfsen op weer een rapport over capaciteit en mankracht. De conclusies worden waarschijnlijk deze week bekend. Al is hij er ­zeker van wat eruit komt: groei is noodzakelijk.

Komt er ooit een punt dat u zegt: nu hebben we genoeg mensen?

“De digitalisering is een feit. We staan nog maar in de Middeleeuwen wat dat betreft. Letterlijk elke dag komen mensen in meer databestanden terecht, bij de bank, de dokter, de politie, de gemeente, de Belastingdienst, Google, noem maar op. Dus wordt ons werk ook elke dag belangrijker, relevanter en omvangrijker. Daar moeten wij goed in meegolven. Dat betekent zo klein blijven als mogelijk en zo groot als nodig.

“Uiteindelijk zullen we groeien. Bij de Autoriteit Financiële Markten is hetzelfde gebeurd. Zij hebben nu zo’n zeshonderd fte. En de AFM houdt alleen toezicht op de ­financiële markten, wij in principe op alles, omdat overal persoonsgegevens kunnen worden verwerkt. En dan zijn wij ook nog eens Europees bevoegd, we mogen en moeten dus ook in andere Europese landen ­onderzoek doen.”

Waar komt u nu niet aan toe?

“Het loopt ons zo over de schoenen dat we ons soms afvragen: waar komen we wel aan toe? We hebben over de hele linie achterstanden. Er liggen duizenden klachten waar we niet of te laat aan toekomen. Dat snijdt mensen door de ziel. Wat moet je als burger bijvoorbeeld beginnen tegen grote bedrijven, je werkgever of een overheidsorgaan als de Belastingdienst? Niemand kan zien wat daar gebeurt. Daar heb je ons voor nodig.”

Dat geldt ook voor bedrijven die op de achtergrond allerlei data verzamelen, maar waar gebruikers nog nooit van hebben gehoord. Zoals de bedrijven Lusha en Simpler, die apps aanbieden en vervolgens hele telefoonboeken van gebruikers kopiëren.

“Mensen die bij ons aan de bel trekken, ­beschrijven een machteloosheid. Dat begint bij het niet weten wie welke data over je heeft, maar wel vanwege die data worden geweigerd voor bijvoorbeeld een verzekering of een lening. Daar moeten wij tegen optreden. We hebben op dit moment een aantal onderzoeken lopen naar datahandelaren; het is een van onze prioriteiten.”

Doet u ook onderzoek naar Lusha en ­Simpler?

“Daar kan ik geen uitspraken over doen. We hebben wel klachten over die bedrijven binnen gekregen.”

En u bent wettelijk verplicht een klacht te behandelen.

“Dat klopt.”

Is het ook eigen verantwoordelijkheid om zo’n app niet te downloaden, of kun je niet verwachten dat mensen zich bewust zijn van al die online datahandelaren?

“Je kunt als burger heel moeilijk zien dat het gebeurt. Die bedrijven hebben er ook belang bij dat je ze niet kent.

“Ik denk dat mensen het ook een beetje verdringen. Gratis en comfortabel, dat vinden we prettig. Maar al die bedrijven moeten ook de bank betalen, ze verdienen geld met data. Veel mensen zijn zich er niet van bewust, maar als ze zo’n app downloaden, betalen ze met de persoonsgegevens van contacten in hun telefoon. Dat mag niet. Ik mag bij de slager ook niet betalen met de fiets van mijn buurman.”

Wat is wat u betreft het grootste privacyprobleem van dit moment?

“Naast de datahandel zijn de digitale overheid en kunstmatige intelligentie en algoritmes onze prioriteit. Als we meer middelen hadden, dan zou ook alles wat met de beveiliging van data te maken heeft meer aandacht krijgen. We krijgen 25.000 tot 30.000 meldingen van datalekken per jaar. Volgens mijn team wordt het type lekken ernstiger. Ook dat is het gevolg van digitalisering, er worden steeds meer gevoelige data verwerkt.

“De gevolgen van een datalek kunnen ­gigantisch zijn. Twee dagen geleden kreeg ik nog een mail van mijn Finse collega. Daar is het echt crisis sinds een privaat bedrijf met duizenden hypergevoelige gezondheidsgegevens is gehackt. Dossiers zijn online ­gezet, mensen en het bedrijf worden ermee gechanteerd. Betaal of ik maak bekend dat je psychische problemen hebt.

“Als jouw data worden gestolen, is dat veel heftiger dan als jouw fiets wordt gestolen. Je bent je data in het digitale tijdperk.”

Maakt u met de huidige capaciteit wel de juiste keuzes? U deed bijvoorbeeld onderzoek naar VoetbalTV, dat beelden maakt van amateurvoetbalwedstrijden, terwijl de online datahandel maar doorgaat, en een onderzoek naar de Belastingdienst en de toeslagenaffaire grote vertraging opliep.

“We zitten ten eerste met zorgen van ouders. Als er dergelijke signalen zijn – en die waren er over VoetbalTV – dan moeten we daar wat mee. En er zit ook een principiële kant aan. VoetbalTV klinkt misschien heel charmant, maar uiteindelijk wordt hier geld verdiend met opnames van voetbalwedstrijden van kinderen. Die beelden zijn over de hele wereld toegankelijk. Dat mag niet zomaar. 

“Je wil dat kinderen vrij en onbespied buiten kunnen sporten. Bovendien heeft het mogelijk een precedentwerking. Vandaag is het VoetbalTV, morgen HockeyTV; komt daarna SchoolpleinTV, SaunaTV en hebben we dan uiteindelijk NederlandTV?”

“Dus als je vraagt of we op dit moment de juiste keuzes maken, dan zeg ik: ja, dat doen we. Alleen wel veel te traag.”

Ook de burger merkt die traagheid. Bent u niet bang dat mensen ontmoedigd raken en zich niet meer bij u melden?

“Ik sprak de Ombudsman laatst nog en die zei dat het aantal klachten over ons oploopt omdat we zo traag zijn. Er zijn ook mensen die vinden dat we de klachten niet goed ­afhandelen, te zakelijk, te kort. De Ombudsman is dat nu aan het onderzoeken. Prima, vind ik.

“Toch ben ik ook optimistisch over de burger. Niet vanwege wat we kunnen doen, want het loopt ons echt over de schoenen. Maar de burger heeft echt meer aan ons dan voor de AVG (de nieuwe privacywet die in 2018 van kracht werd, red.). Dat staat buiten iedere twijfel.”

Het aantal medewerkers bij de AP is de ­afgelopen jaren al fors gegroeid. Toch ­rondde u in het verleden meer onderzoeken af dan nu. In 2017 waren het er bijvoorbeeld tweehonderd, vorig jaar nog geen honderd. Hoe kan dat?

“We doen minder onderzoeken, dat klopt. We doen nu veel meer klachten af via ­bemiddeling en voorlichting. Dan sturen we een bedrijf bijvoorbeeld een brief waarin we erop wijzen dat zij burgers die daarom vragen inzage moeten geven in de persoonsgegevens die zij verwerken.

“In 2017 waren wij nog een tandeloze tijger, nu kunnen we forse boetes opleggen. Dat weet men. We zijn altijd vriendelijk als we bellen, maar zeggen wel: als je het niet doet, dan hebben wij een arsenaal aan bevoegdheden. Ondanks dat we minder onderzoeken afronden, denk ik dat ons effect is verdubbeld.”

Hoe merkt de burger dat?

“Hoewel we voorzichtig van wal zijn gegaan als het gaat om beboeten, heeft dat wat we doen een groot effect voor heel veel mensen. Zo stuurden we banken een jaar geleden een pittige brief omdat zij van plan waren betaalgegevens te gebruiken om gepersonaliseerde aanbiedingen te sturen. Daarmee beschermden we alle klanten van alle banken.

“De Belastingdienst legden we een verwerkingsverbod op omdat de burgerservicenummers van zzp’ers werden gebruikt in hun btw-nummer.

“Ook in coronatijd waarderen burgers ons. Er is veel nieuw werk bijgekomen. De discussie rond de app bijvoorbeeld, of de toegang tot medische gegevens – we hebben alle ontwikkelingen scherp en kritisch ­gevolgd.”

Hebt u coronamelder gedownload?

Lachend: “Dat is privé. Maar de app als ­zodanig is privacyvriendelijk. Waar wij nog aarzelingen over hadden, is de rol van Google en Apple bij de app. De minister zegt daarover: het is zeker dat die bedrijven geen persoonsgegevens verwerken.”

Na uw kritische opmerkingen over de app liet minister Hugo de Jonge uw kritiek van tafel vegen door de landsadvocaat. Is dat niet een ongebruikelijke gang van zaken?

“Dat vonden wij wel frappant. Maak ik vind het prima, hoor. Iedereen roept wel eens de hulp van een advocaat in.”

Datadealers

In augustus onthulde Trouw dat onlinedienst Lusha via netwerksite LinkedIn mailadressen en privénummers verkoopt – ook van vele Nederlanders, onder wie politici, influencers en zelfs een van de directeuren van de Autoriteit Persoonsgegevens.

Veel van die gegevens bleken afkomsting van Simpler Apps Inc. Dit bedrijf maakt smartphone-apps die bijvoorbeeld back-ups maken van je contactenlijst en namen van onbekende bellers voor je achterhalen. Dat doen de apps, die zijn ontwikkeld door de ceo van Lusha, gratis, maar ondertussen verdient Lusha geld aan de data.

Lees ook:

Handel in contacten raakt iedereen

Er is een hele industrie opgetuigd rond de verkoop van telefoonnummers en e-mailadressen. De Europese privacywet blijkt hier maar beperkt tegen te beschermen.

VoetbalTV vecht boete van waakhond aan

De AP moest zich gisteren voor de rechter verantwoorden vanwege de boete aan VoetbalTV.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden