AP publiceert jaarverslag 2022 en jaarplan 2023

News Update Data & Privacy Protection

AP publiceert jaarverslag 2022 en jaarplan 2023
Ga naar News Update
30 mei 2023

Op 17 mei heeft de Autoriteit Persoonsgegevens (AP) zowel haar jaarverslag over het jaar 2022 gepubliceerd als haar jaarplan voor 2023. We blikken terug op de werkzaamheden van de AP in 2022 en blikken vooruit op de komende plannen van de AP.

Jaarverslag 2022

In het jaar verslag stipt de AP haar belangrijkste prestaties van 2022 aan. Zo heeft de AP in 2022 dertien overtredingen beboet die zijn neergelegd in acht handhavingsbesluiten. In 2022 zijn onder meer de volgende boetes opgelegd:

  • Een boete van EUR 565.000 aan het ministerie van Buitenlandse Zaken, omdat bij het verlenen van visa jarenlang op grote schaal de wet was overtreden. De beveiliging was niet op orde en visumaanvragers werden onvoldoende geïnformeerd over het delen van hun gegevens met andere partijen.
  • Een boete van EUR 50.000 aan de politie, wegens het rondrijden met auto's voorzien van 360-gradencamera's, waardoor veel meer beelden van mensen werden verzameld en opgeslagen dan noodzakelijk.
  • Een boete van EUR 3,7 miljoen aan de belastingdienst vanwege het onrechtmatig verwerken van persoonsgegevens bij het fraudesysteem FSV. Door dit systeem werden mensen onterecht als fraudeur bestempeld.
  • Een boete van EUR 525.000 aan Sanoma/DPG Media wegens de onjuiste wijze van omgaan met inzage- en verwijderverzoeken. 


Ook heeft de AP in 2022 twee keer een last onder dwangsom opgelegd en tien keer een berisping opgelegd. Naast deze handhavingsacties heeft de AP zich gericht op het geven van 'guidance', door bijvoorbeeld tools voor organisaties te ontwikkelen, vragen van burgers en organisaties te beantwoorden en organisaties te waarschuwen hun werkwijze aan te passen. 

Datalekken

In 2022 heeft de AP ruim 21.000 datalekmeldingen ontvangen. Dit is 15% minder dan in 2021. De AP heeft zelf in 2022 ook vier datalekken gemeld die binnen haar eigen organisatie hebben plaatsgevonden.

Het toezicht op datalekken is risicogestuurd. Dat houdt in dat de AP zich richt op datalekken die grote risico's opleveren voor slachtoffers. Relevante risicofactoren in 2022 waren onder meer cyberaanvallen, maar ook het niet melden van datalekken aan de AP waar dit wel had gemoeten. De AP zal nader ingaan op dit onderwerp in haar rapportage datalekken die binnenkort wordt verwacht.

Klachten en onderzoeken

  • In 2022 heeft de AP ongeveer 12.500 klachten ontvangen, waarvan ongeveer 10.000 door de AP worden beschouwd als 'tips'. In totaal zijn ruim 30% minder klachten ingediend dan in 2021.
  • De AP is in totaal 45 onderzoeken gestart, waarvan 17 internationale onderzoeken.
  • In 2022 heeft de AP 110 bezwaarzaken afgerond, waarvan er slechts 9 gegrond zijn verklaard. Daarnaast zijn er 47 (hoger) beroepen afgerond, waarbij de AP 4 keer inhoudelijk ongelijk heeft gekregen.


Jaarplan 2023: toezicht houden in een digitale samenleving

In 2023 ligt de focus van de AP op: algoritmes en AI, Big Tech, en  vrijheid en veiligheid.

Algoritmes en AI

De AP houdt in het bijzonder toezicht op een transparante, rechtmatige en privacy-vriendelijke ontwikkeling van algoritmes en AI. Daarnaast wordt er in 2023 voorrang gegeven aan onderzoek naar aanleiding van klachten en datalekmeldingen die zien op algoritmes en AI. 

Big Tech

De AP legt extra nadruk op een juiste omgang met persoonsgegevens door Big Tech-bedrijven. Dat doet de AP onder meer door ontwikkelingen te signaleren en analyseren, maar ook door klachten van slachtoffers van Big Tech-bedrijven met voorrang te behandelen en, indien nodig, spoedprocedures in te zetten.

Vrijheid en veiligheid

In 2023 zal de AP bij de verwerking van persoonsgegevens extra letten op een verdedigbare balans tussen vrijheid en veiligheid. Concreet geeft de AP aan dat in 2023 onderzoeken gaan worden afgerond die hierop zien en dat extra aandacht wordt besteed aan het verlenen van vergunningen voor het verwerken van strafrechtelijke persoonsgegevens. 

Tot slot

Zowel in haar jaarverslag als in haar jaarplan benadrukt de AP dat er dingen zijn die zij niet kan doen wegens gebrek aan budget. Zo is het onmogelijk om alle wettelijke taken afdoende en effectief uit te voeren en daarnaast haar organisatie bedrijfsmatig adequaat in te richten. Concreet houdt dat onder meer in dat het de AP niet lukt alle klachten tijdig te behandelen, datalekken voldoende aandacht te geven, proactief wetgevingsadvies te geven en verzoeken voor Binding Corporate Rules (BCRs) tijdig af te handelen. Voor dat laatste bedraagt de wachttijd inmiddels meer dan zeven jaar.

Written by:
Thomas de Weerd

Key Contact

Amsterdam
Thomas de Weerd
Advocaat | Partner
+31206056985
+31651659208
Stuur e-mail

Key Contact

Amsterdam
Jurre Reus
Advocaat | Senior Associate
+31206056576
+31683803239
Stuur e-mail

Key Contact

Amsterdam
Nicole Bilderbeek
Advocaat | Associate
+31206056540
+31612912607
Stuur e-mail