Een jaar privacy-toezicht verantwoord: Dit zegt het jaarverslag van de AP

Verantwoording in vogelvlucht

De AP legt in haar jaarverslag verantwoording af over hoe zij in 2024 invulling gaf aan haar taak als handhavingsautoriteit​. Het jaar 2024 kenmerkte zich door een mix van strenge handhaving én stimulerende maatregelen om naleving te bevorderen. Zo blikt de AP terug op interventies bij grote partijen als Meta, Netflix, Booking.com, Clearview, Uber en LinkedIn – vaak in samenwerking met Europese zusterautoriteiten​. Hoewel boetes veel media-aandacht krijgen, benadrukt de AP dat zij “nog veel vaker” voor andere interventies kiest​. Een goed voorbeeld is het initiatief van de AP en de Noorse en Duitse toezichthouder tot een gezamenlijk standpunt van de EDPB met betrekking tot het 'pay or consent'-model, waarbij gebruikers moeten kiezen tussen een gratis lidmaatschap waarbij ze online worden gevolgd en een betaald lidmaatschap waar dat niet gebeurd.  In 2024 heeft de AP dan ook 'maar' zes boetes opgelegd, vier lasten onder dwangsom en zeven berispingen. In 2024 voerde de AP daarnaast meer dan 2.000 gesprekken met organisaties om naleving te bevorderen, gaf voorlichting (onder meer over cookies) en publiceerde normuitleg en juridische kaders (bijvoorbeeld voor gezichtsherkenning)​. Tegelijkertijd verwerkte de AP bijna 40.000 datalekmeldingen en handelde zij ruim 7.500 klachten van burgers af​. Dat waren aanzienlijk meer datalekken dan de ruim 25.000 datalekken ten opzichte van vorig jaar, wat door de AP deels werd verklaard door een verruiming in de mogelijkheid tot het doen van bulkmeldingen. Ondanks deze inspanningen moest de AP erkennen dat klachten en zaken soms langer bleven liggen dan wenselijk, dat proactief onderzoek beperkt bleef en dat de capaciteit tekort schoot voor domeinen als algoritmes en AI​. In het jaarverslag wordt daarom gepleit voor een “serieuze investering” in de capaciteit van de AP​. Dat is een oproep waar maar beperkt gehoord aan wordt gegeven. Hoewel het budget van de AP flink is gestegen, blijft het nog steeds fors achter op het bedrag van minimaal 100 miljoen euro per jaar waar de toezichthouder voor pleit.  Kortom, de AP bewoog ook in 2024 continu tussen streng handhaven en faciliteren, binnen de kaders van de AVG en de UAVG, om het recht op gegevensbescherming effectief te waarborgen. 

Overigens bevat het jaarverslag ook een uitgebreide vooruitblik naar 2025. Ook in 2025 zal de AP handhaven aan de hand vaan haar eerder gekozen thema's – waaronder datahandel. Ook zal de AP in 2025 reflecteren op de aanbevelingen en acties die voortvloeien uit de recent verschenen AP-evaluatie.

Praktische aanbevelingen voor de praktijk

Gelet op het voorgaande doen advocaten, bedrijfsjuristen en Functionarissen Gegevensbescherming (FG’s) er goed aan om rekening te houden met de aanpak van de AP. Enkele concrete tips om proactief in te spelen op het toezicht en handhaving door de AP:

• Houd rekening met de focusgebieden: De AP heeft duidelijk gemaakt welke onderwerpen extra aandacht krijgen, ook in 2025. Inventariseer of uw organisatie daarmee te maken heeft. Zo ja, zorg dan voor een privacy-check-up op deze punten. Bijvoorbeeld: gebruikt u algoritmes voor besluitvorming of fraudedetectie, voer dan een grondige DPIA uit en toets op discriminatie (lesson learned van de DUO-casus). Werkt u met Big Tech (cloudproviders, tracking via sociale media plugins), zorg voor transparantie richting gebruikers en sluit verwerkersovereenkomsten – en overweeg alternatieven als de AP publiekelijk kritiek heeft geuit (zoals Facebook-gebruik door overheden). En voor overheidsorganisaties: bereid u voor op strengere controle, bijvoorbeeld door intern audits uit te voeren op naleving van de AVG en Wpg, en aanbevelingen van de AP (bijv. uit sectorrapporten) proactief door te voeren.
• Zorg voor goede documentatie en nalevingsbewijzen: Wanneer de AP onderzoek doet of informatie opvraagt, is het van groot belang dat u kunt aantonen dat uw organisatie “in control” is. Dit betekent: actueel register van verwerkingsactiviteiten, DPIA-rapporten voor risicovolle verwerkingen, bewaarbeleid en grondslaganalyses paraat hebben. De ervaringen in 2024 (o.a. Uber die onvoldoende openheid van zaken gaf en daarvoor €10 mln boete kreeg​) tonen aan dat gebrek aan transparantie richting de toezichthouder zwaar wordt afgestraft. Stel daarom een procedure op voor het geval de AP zich meldt: wie verzamelt de gevraagde informatie, hoe borgen we volledigheid en juistheid, enzovoort.
• Gebruik AP-richtsnoeren en jurisprudentie als leidraad: De AP publiceert regelmatig guidance, beleidsregels en standpunten (zoals in 2024 over gezichtsherkenning​, over cookiebanners​, over scraping​, etc.). Deze documenten zijn waardevol om te begrijpen hoe de AP de AVG uitlegt. Voor FG’s is het aan te raden deze publicaties te volgen en te implementeren in het privacybeleid van de eigen organisatie. Blijf dus op de hoogte van zowel AP-communicatie als relevante AVG-rechtspraak, en pas uw advies of compliancebeleid daarop aan. Hierbij merken wij bijvoorbeeld op dat de AP nog kijkt of zij 'aanvullende uitleg' over het gerechtvaardigd belang noodzakelijk vindt, na de uitspraak van het Europees Hof over het gerechtvaardigd belang en de normuitleg van de European Data Protection Board daarover.
• Anticipeer op wetgevingstoetsing en betrek de FG tijdig bij nieuwe projecten: Wanneer uw organisatie betrokken is bij nieuwe regelgeving of grootschalige gegevensuitwisselingsprojecten (bijvoorbeeld in samenwerking met de overheid), bedenk dan dat de AP mogelijk om advies wordt gevraagd of zelf meekijkt. U kunt hierop vooruitlopen door zelf al strenge privacy-eisen te hanteren. Voor bedrijfsjuristen: als uw bedrijf in consultatie gaat met de overheid over nieuwe wetten (bv. bij brancheorganisaties), raadpleeg de FG of privacy-experts om mogelijke AP-bezwaren te identificeren. Het jaarverslag geeft weer welke aspecten vaak problemen opleveren (te lange bewaartermijnen, onduidelijke doeleinden, gebrek aan noodzakelijkheid)​ – voorkom dergelijke tekortkomingen in uw eigen voorstellen. Voor FG’s binnen overheidsinstanties: zorg dat u intern invloed uitoefent op wetsvoorstellen of nieuwe systemen voordat ze naar de AP gaan, door een privacy quick-scan te doen. Dit vergroot de kans op een soepel AP-toetsingstraject en voorkomt vertraging of negatieve adviezen.
• Bereid u voor op (toekomstige) nieuwe regels: De AP heeft aangegeven ook nieuwe EU-regels als de AI-verordening en DSA te zullen gaan handhaven​. Dit betekent dat organisaties nu al stappen moeten zetten om compliant te zijn met deze regelgeving. Bijvoorbeeld: de AI-verordening vereist risicoclassificatie van AI-systemen, verboden toepassingen (zoals realtime biometrische identificatie in de openbare ruimte) en extra conformiteitseisen voor hoog-risico AI. Als uw bedrijf AI inzet, begin dan nu met het inventariseren van welke systemen hier onder vallen en welke aanpassingen nodig zijn. Proactieve compliance met opkomende wetgeving positioneert uw organisatie als frontrunner en vermindert het risico later in het vizier van de AP te komen voor nalatigheid.
• Interne training en bewustwording: Tot slot, investeer in privacybewustzijn door de hele organisatie heen. De ervaringen van 2024 leren dat problemen vaak ontstaan of escaleren door onwetendheid of onderschatting van privacyregels (bijv. IT-afdelingen die een algoritme implementeren zonder juridische check, marketingafdelingen die trackingpixels plaatsen zonder toestemming). Zorg ervoor dat FG’s en juristen intern regelmatig communiceren over lessons learned.

Met een AP als toezichthouder die steeds verder tot waskom komt is privacy geen vrijblijvende zaak meer. Door die plichten serieus te nemen en de AP waar mogelijk als sparringpartner te zien (via haar richtsnoeren en adviezen), kunnen organisaties succesvol navigeren in het privacyrechtelijke-landschap van de digitale tijd. Compliance is daarmee niet alleen een juridische noodzaak, maar ook een strategisch voordeel in een maatschappij die privacy steeds hoger aanslaat.