De Autoriteit Persoonsgegevens (“AP”) heeft bekendgemaakt dat zij de komende jaren extra nadruk zal leggen op de volgende drie focusgebieden:  (i) digitale overheid, (ii) datahandel en (iii) artificiële intelligentie en algoritmes. Binnen deze focusgebieden zal de AP zich met name toespitsen op onderwerpen met een groot risico voor burgers. Daarbij kan onder andere gedacht worden aan verwerkingen van grote hoeveelheden persoonsgegevens of verwerkingen waarbij persoonsgegevens van bijzondere aard betrokken zijn. Lees in dit blog de toelichting bij de focusgebieden en welke impact dit mogelijk op uw organisatie kan hebben. 

Toelichting focusgebieden

Digitale overheid
De AP zal zich de komende jaren focussen op het houden van toezicht op de digitale overheid. Centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken in veel gevallen over veel bijzondere persoonsgegevens, aldus de AP. De belangrijkste onderwerpen waar de AP zich op zal toespitsen binnen de digitale overheid zijn:

• Databeveiliging;
• Smart cities;
• Samenwerkingsverbanden / ongeoorloofd delen;
• Verkiezingen en microtargeting.

Datahandel
Datahandel is het tweede focusgebied van de AP. De belangrijkste aandachtsgebieden binnen datahandel zijn:

• Toezicht op doorverkoop data;
• Internet of things;
• Profilering;
• Behavioral advertising;

Artificiële intelligentie en algoritmes
De AP stelt dat de inzet van AI en algoritmes risico’s kent. Zo gebruiken bedrijven en organisaties AI onder andere om mensen gericht te sturen (nudging) en te profileren, aldus de AP. Omdat zowel private als publieke partijen AI en algoritmes gebruiken en er veel maatschappelijke vragen rondom deze onderwerpen spelen, kiest de AP ervoor om er speciale aandacht aan te besteden – het vormt daarom een eigen focusgebied.

Risicogestuurd toezicht
De AP zal zich de komende jaren focussen op verwerkingen die een groot risico voor de burger opleveren. Het uitgangspunt is dat de AP gespitst is op onderwerpen en verwerkingen met een groot risico voor burgers. Daarbij weegt zij onder meer af om hoeveel data het gaat en of het om bijzondere persoonsgegevens gaat.

De AP zal zowel onderzoeken uitvoeren naar aanleiding van klachten, tips of datalekmeldingen, als op basis van haar eigen risico- en trendanalyses die zij gedurende het jaar uitvoert.

Impact voor organisaties
De toezichtsagenda van de AP geeft een algemeen beeld van waarop de AP zich de komende jaren gaat focussen. De focusgebieden zijn breed geformuleerd, waardoor het lastig blijft om precies aan te geven welke organisaties extra aandacht moeten gaan besteden privacy compliance. Dat geldt temeer nu de AP ook onderzoeken doet naar aanleiding van klachten en datalekmeldingen.

Ons advies voor organisaties die binnen de focusgebieden vallen, is om ervoor te zorgen dat de privacy documentatie op orde is evenals de beveiliging en dat aangetoond kan worden dat er binnen de organisatie aandacht wordt besteed aan awareness. Daarnaast is het uiteraard van belang om alleen persoonsgegevens te verwerken en te delen indien daarvoor een toereikende grondslag en – in geval van bijzondere persoonsgegevens – een uitzonderingsgrond aanwezig is. Tot slot wijzen wij op het belang van het uitvoeren Privacy Impact Assessments (ofwel: “PIA’s”) voorafgaand aan verwerkingen die waarschijnlijk een hoog privacyrisico opleveren voor betrokkenen. In geval van verwerkingen die plaatsvinden op basis van artificiële intelligentie is het in ieder geval van belang dat de impact van de verwerkingen goed is afgewogen middels een PIA.