Aanbieding eindrapportage van extern onderzoek naar taken en financiële middelen van de Autoriteit Persoonsgegevens

19-11-2020

Bij brief van 16 september 2019 heb ik aangekondigd dat de Autoriteit Persoonsgegevens (AP) en ik een gezamenlijk extern onderzoek laten uitvoeren naar de grondslagen van de financiering van de AP, de omvang van haar budget en de risico’s behorende bij de verschillende scenario’s.(1) Dit onderzoek is op 2 november 2020 afgerond. Middels deze brief bied ik de eindrapportage met de resultaten van dit onderzoek aan uw Kamer aan en breng ik u op de hoogte van de vervolgstappen.

Achtereenvolgens worden in deze brief uiteengezet (1) wat de belangrijkste uitkomsten van het onderzoek zijn,(2) geef ik de aanbevelingen van de onderzoekers weer en (3) ga ik in op de vervolgstappen die ik verbind aan deze aanbevelingen, die ik met de AP ben overeengekomen. Op voorhand hecht ik eraan te benadrukken dat de AP als onze nationale gegevensbeschermingsautoriteit belangrijk werk verricht. Zij oefent diverse taken uit, waaronder het houden van toezicht op iedereen die persoonsgegevens verwerkt, het doen van onderzoek, het geven van (wetgevings-)adviezen, het geven van voorlichting over privacywetgeving en het verstrekken van informatie. Deze taken zijn nodig in het kader van onze privacybescherming. Met de uitkomsten van dit onderzoek wil ik stappen zetten naar meerjarige (financiële) stabiliteit bij de AP, zodat de toezichthouder zich volledig kan richten op het uitvoeren van haar (wettelijke) taken en het debat over haar beschikbare financiële kader niet voortdurend gevoerd hoeft te worden.

1. Uitkomsten van het onderzoek naar taken en financiële middelen

In gezamenlijke opdracht van het ministerie van JenV en de AP is door adviesorganisatie KPMG in de periode van januari tot en met oktober 2020 een onafhankelijk onderzoek uitgevoerd. Daarin is onderzocht op welke wijze de taken en financiële middelen van de AP nu en in de komende jaren met elkaar in evenwicht kunnen worden gebracht. Het onderzoek is uitgevoerd in nauwe afstemming met en betrokkenheid van het opdrachtgeversoverleg en de stuurgroep, waarin zowel de AP als JenV vertegenwoordigd zijn. KPMG heeft op basis van een aantal subvragen getracht antwoord te geven op bovenstaande hoofdvraag.

Mijn conclusie bij de resultaten van het onderzoek sluit aan bij de vaststelling van de onderzoekers, namelijk dat op basis van de huidige onzekerheden nog géén eenduidig antwoord te geven is op de vraag wat nodig is om de taken en financiële middelen van de AP met elkaar in evenwicht te brengen. Het onderzoek geeft mij daarentegen wel een beter inzicht in de omvang van de prioriteiten van de AP, de ontwikkelingen in haar werkveld en de bestaande risico’s. Ik ga in het vervolg van deze brief eerst in op de belangrijkste bevindingen van de onderzoekers.

1.1. Geen eenduidig antwoord op de vraag wat nodig is om taken en financiële middelen met elkaar in evenwicht te brengen

Om antwoord te kunnen geven op de hoofdvraag was bij de start van dit onderzoek de verwachting dat er op basis van gedetailleerde realisatiecijfers, (meerjarig) terugkijkend op basis van tijdregistraties en de beschikbaarheid van een kostprijsmodel, inzicht zou zijn in de inzet van mensen en middelen per uitgevoerde (wettelijke) taak. Dit inzicht is nodig om een beter zicht te krijgen (en te houden) op de werkelijke tijdsbesteding per uitgevoerde (wettelijke) taak.

KPMG heeft geconstateerd dat de AP geen beschikking heeft over een kostprijsmodel en haar tijdsregistratie nog in het begin van ontwikkeling staat, waardoor hieruit geen betrouwbare inzichten te destilleren zijn. Als gevolg van het ontbreken hiervan, is lopende het onderzoek gekozen om het capaciteitsmodel 2023 van de AP als basis te hanteren. Dit capaciteitsmodel 2023 is een door de AP herijkte versie van het rekenmodel dat ook ten grondslag heeft gelegen aan een eerder uitgevoerd onderzoek naar het budget van de AP, verricht door adviesbureau Andersson Elffers Felix (AEF).(2) Het capaciteitsmodel is een raming van de AP van de omvang van haar activiteiten in 2023 uitgedrukt in fte’s en steunt daarvoor op expert- en ervaringsinschattingen van de AP. Hiermee is, vanuit de AP bezien, inzicht gecreëerd in de omvang van verschillende prioriteiten, ontwikkelingen en de risico’s die hierbij horen.

De onderzoekers hebben een schatting gemaakt van de benodigde financiële middelen aan de hand van knelpunten, prioritering en expertinschattingen door de AP. KPMG heeft gekozen voor een menustructuur die inzicht geeft in de bandbreedte van taken en benodigde financiële middelen. Op basis van een eerste prioriteitenlijst laat deze inschatting een resultaat zien van 173 tot 275 fte met een benodigd budget van 19,4 miljoen euro (bij 173 fte) tot 33 à 37,9 miljoen euro (bij 275 fte, afhankelijk van het gehanteerde kostenniveau per fte).(3)

Als daaraan de inschatting van de zogenoemde tweede prioriteitenlijst wordt toegevoegd, bedoeld zijn proactieve taken zoals het verrichten van verkennende onderzoeken, ambtshalve onderzoeken en het geven van ongevraagde wetgevingsadviezen, dan schatten de onderzoekers de capaciteit van 275 fte tot 326 fte met een benodigd budget van 33 miljoen euro tot 39,1 à 45 miljoen euro (wederom afhankelijk van het gehanteerde kostenniveau per fte). In beide berekeningen is gerekend met een verwachte efficiëntere uitvoering en daarmee een besparing van 10%.

Daarnaast is een omvang in kaart gebracht van volumegroei op reactieve activiteiten van in totaal 144 fte. Dit is een groei in volumes waarop de AP zelf geen of slechts beperkte invloed heeft. KPMG heeft deze fte’s niet in de schattingen meegenomen maar aangemerkt als een risico. De onderzoekers geven aan dat er onzekerheid is over hoe en in welke mate deze volumes zich ontwikkelen in de toekomst. Ook is op basis van de huidige datapositie niet vast te stellen dat de ramingen van de AP in het capaciteitsmodel op deze activiteiten (absoluut) noodzakelijk zijn.

1.2. Doelmatigheid en doeltreffendheid

De onderzoekers hebben zich voorts gebogen over de doelmatigheid en doeltreffendheid van de AP en gekeken naar mogelijkheden om efficiënter te werken. Geconstateerd is dat de AP nog altijd een organisatie in opbouw is. Een aantal functies zijn nog niet ingevuld, de automatiseringsgraad is laag en haar bedrijfsvoering staat nog in het begin van ontwikkeling. Volgens KPMG is het aannemelijk dat er op termijn door leereffecten, procesoptimalisatie, investeringen in automatisering (zoals de invoering van een zaakvolgsysteem) en investeringen in de bedrijfsvoering efficiënter gewerkt kan worden. Daarnaast kan meer datagedreven en risicogericht gewerkt gaan worden. Het oppakken van risicoanalyse en effectmeting moet leiden tot een efficiëntere en effectievere uitvoering. Hier valt in de toekomst veel winst te behalen.

1.3. Vergelijking met nationale markttoezichthouders en met Europese gegevensbeschermingsautoriteiten

In het onderzoek is een vergelijking betrokken met de toerusting van Nederlandse toezichthouders en de andere Europese gegevensbeschermingsautoriteiten. Uit de vergelijking met vier toezichthoudende organisaties in Nederland komt naar voren dat de kosten van de AP over het algemeen lager zijn.(4) De organisatie van de AP is in ontwikkeling, waardoor de kosten zowel op het geheel als op diverse onderdelen lager zijn dan bij deze vier andere toezichthouders in Nederland. Zo is het gemiddelde kostenniveau van de AP met 112.000 euro per fte lager dan het gemiddelde kostenniveau in de vergelijking, dat uitkomt op 138.000 euro per fte. Daarbij merk ik op dat, gelet op de ontwikkeling die nog aan de gang is bij de AP, dit kostenniveau niet één op één toepasbaar is op de AP.

Uit de Europese vergelijking met de leden van het Europees Comité voor gegevensbescherming (de European Data Protection Board - EDPB) komt daarentegen naar voren dat de AP een relatief hoog budget heeft en een relatief sterke groei in budget en personeel kent.(5)

Het kabinet heeft in de afgelopen jaren fors geïnvesteerd in de AP. Haar budget bedroeg in 2016 nog 7,9 miljoen euro en is gegroeid naar 19,1 miljoen euro in 2020.(6) De AP is in de Europese context een van de gegevensbeschermingsautoriteiten met een relatief hoog budget, maar de AP heeft ook te maken met relatief veel datalekmeldingen en klachten in vergelijking met de andere gegevensbeschermingsautoriteiten. Dit onderstreept het belang van datagedreven en risicogericht werken.

1.4. Wijze van financiering

De onderzoekers hebben gekeken naar de wijze van financiering en trekken de conclusie dat de financiering van de AP kan worden verbeterd door de onderbouwing driver-based (op basis van de oorzaak van de kosten) op te bouwen, zodat scherper inzicht ontstaat in de samenhang tussen activiteiten, inzet van financiële middelen en de keuzes die hierin te maken zijn. Hiervoor is het uitbouwen van het benodigde instrumentarium (onder andere een kostprijsmodel en urenregistraties ter onderbouwing en monitoring) noodzakelijk.

De onderzoekers hebben ook gekeken naar mogelijkheden voor het doorberekenen van kosten aan ondertoezichtgestelden van de AP.(7) Het wettelijk kader biedt ruimte om - op onderdelen - een deel van de activiteiten door te belasten aan ondertoezichtgestelden van de AP, zoals bij bindende bedrijfsvoorschriften (de Binding Corporate Rules, kortweg BCR’s genoemd) of adviezen voorafgaande raadpleging. Voor een ander deel van de activiteiten van de AP is dit niet mogelijk, omdat expliciete beperkingen voor doorberekening zijn vastgelegd, zoals in het geval van taken voor de functionaris voor gegevensbescherming (FG). De onderzoekers waarschuwen voor de administratieve belasting van de AP die de doorbelasting van kosten aan ondertoezichtgestelden met zich meebrengt. De bedrijfsvoering moet daarvoor geëquipeerd zijn. Verder merken de onderzoekers op dat bij het doorbelasten van producten bepaalde verwachtingen worden geschapen richting de AP over de kwaliteit van haar dienstverlening en/of de doorlooptijden van deze processen. Dit kan tot prikkelwerking leiden om de kwaliteit van haar dienstverlening verder te verhogen, maar zet volgens de onderzoekers ook extra druk op de organisatie en haar werkprocessen.

1.5. Bedrijfsvoering is in ontwikkeling

Met de inwerkingtreding van de AVG op 25 mei 2018 zijn de taken van de AP toegenomen. Niet alleen wettelijk, maar ook organisatorisch heeft dit grote veranderingen met zich meegebracht. De AP heeft vanwege de consequenties van de invoering van de AVG een sterke personele groei doorgemaakt, van 103 fte ultimo 2017 naar 184 fte in 2020. De bedrijfsvoeringsfunctie van de AP is nog in ontwikkeling. KPMG constateert dat een aantal bedrijfsvoeringsfuncties die aanwezig zijn bij vergelijkbare organisaties, bij de AP ontbreken of nog in het begin van ontwikkeling zijn. Zo beschikt de AP niet over een volwaardige controlfunctie en kwaliteitszorg en is de automatiseringsgraad beperkt. Dit zijn elementen die randvoorwaardelijk zijn voor een goede continuïteit van de organisatie, een verbeterde datapositie en een efficiëntere uitvoering.

2. Aanbevelingen

De onderzoekers doen een aantal aanbevelingen die betrekking hebben op het verbeteren van de inzichten ten aanzien van de balans tussen wettelijke taken en de daarvoor benodigde financiële middelen. De aanbevelingen concentreren zich rondom de volgende vijf onderwerpen:

1. Planning en control - Doorloop gestructureerd en volledig de planning en control-cyclus om scherp inzicht te krijgen in realisatie, hierop bij te sturen en zo toe te werken naar de meest effectieve en efficiënte uitvoering van taken.

2. Ontwikkelplan - Gebruik de inzichten uit de analyse en onderliggende bouwstenen om keuzes te maken met inachtneming van een beschikbaar budgettair kader. Maak de impact van de keuzes transparant als basis voor een ontwikkelplan voor de AP. Leg dit vast in een (meerjarig) strategisch plan met een bijbehorend transitieplan.

3. Bekostigingsafspraken - Onderbouw de bekostiging driver-based, zodat scherper inzicht ontstaat in de samenhang tussen activiteiten, de inzet van financiële middelen en de keuzes die hierin te maken zijn. Bouw hiervoor het benodigde instrumentarium uit. Maak in de bekostigingsafspraken een scherper onderscheid tussen structureel en eenmalig budget.

4. Dialoog - Versterk de onderlinge dialoog tussen JenV en de AP. Borg dat afstemming in een vaste structuur plaatsvindt. Houd hierin de stappen vast die lopende het onderzoek zijn ingezet.

5. Benchmark - Benut de potentiële efficiëntieverbeteringen uit de benchmark en continueer in nationaal verband de benchmarkgroep.

3. Vervolgstappen

De resultaten van dit onderzoek laten mij zien dat zowel het werkveld als de organisatie van de AP nog volop in ontwikkeling is. Dit heeft als gevolg dat er op dit moment nog onvoldoende processen bestendigd zijn waardoor de taken en benodigde financiële middelen alleen met onzekerheden te beschrijven zijn. De cijfermatige uitkomsten van dit onderzoek, die op basis van expertinschattingen zijn gedaan, zijn teveel een raming en geven een te grote bandbreedte om hieraan structureel financiële consequenties te kunnen verbinden.

Tevens hecht ik er aan op te merken dat de AP niet al haar taken ieder jaar in volle omvang kan oppakken. Net als andere organisaties, stelt de AP prioriteiten in de uitvoering van haar taken. Hoewel de instroom (van bijvoorbeeld klachten en datalekmeldingen) niet direct beïnvloedbaar is, is de wijze waarop hiermee wordt omgegaan door de AP dat wel. Het aantal gemelde datalekken over heel 2019 was 26.956. Medio 2020 lag dit aantal op 13.169 (prognose ultimo 2020: 26.338). Het aantal nationale klachten was in 2019 26.895. Medio 2020 lag dit aantal op 11.596 (prognose ultimo 2020: 23.192).

Dit onderzoek geeft mij wel voldoende beeld van de manier waarop wij met meer zekerheid inzicht kunnen krijgen in de benodigde middelen voor een bestendige financiering van de AP. Ik ga hiervoor de volgende stappen ondernemen:

I. Overnemen van de aanbevelingen van KPMG

De onderzoekers beschrijven vijf aanbevelingen die zien op nadere afspraken tussen de AP en JenV. Deze zien samengevat toe op het monitoren van de onzekere ontwikkelingen en toekomst, inbouwen van objectieve normen van het werk en daarover de dialoog blijven aangaan. Ik neem deze aanbevelingen graag over. Met de AP wil ik voor de komende drie jaren - tot en met 2023 - afspraken maken en deze aanbevelingen uitwerken en implementeren, waarbij ik uiteraard oog heb en blijf houden voor de onafhankelijke positie van de AP als zelfstandig bestuursorgaan. Het bespreken van de knelpunten die de AP ervaart, waaronder achterstanden, is daar onderdeel van. In de komende periode staat een evaluatie van de AP gepland (op grond van de Kaderwet zelfstandige bestuursorganen) waarin we met elkaar daadwerkelijk de balans op kunnen maken. Ik ben voornemens deze evaluatie in 2023 te doen, dan is de AVG vijf jaar in werking.

II. Investeren in de bedrijfsvoering

De bedrijfsvoering dient op sterkte te worden gebracht. Dit is noodzakelijk om in de planning en control-cyclus de juiste monitoring in te regelen, te sturen op ontwikkelingen en onzekerheden te kunnen managen. De datapositie van de AP moet worden verbeterd om de ontwikkelingen van de organisatie en het werkveld nauwkeuriger te kunnen volgen. Tijdschrijven blijft noodzakelijk om een beter zicht te krijgen (en te houden) op de werkelijke tijdsbesteding per taak. Om dit te bereiken, is een investering in de bedrijfsvoering van de AP nodig.

Voor de volledigheid merk ik hierbij op dat het budget van de AP in de afgelopen jaren al flink is gegroeid. Vanwege de gevolgen van de inwerkingtreding van de AVG is in de afgelopen jaren extra budget aan de AP toegekend. In de volgende tabel ziet u die budgettaire ontwikkeling (in miljoenen euro’s):

2016
Budget AP: 7,7 mln (bijgesteld in lopend jaar naar 7,9 mln)
Betaalde bijdragen aan de AP door JenV: 8,2 mln

2017
Budget AP: ​7,8 mln (bijgesteld in lopend jaar naar 10,5 mln)
Betaalde bijdragen aan de AP door JenV: 10,8 mln

2018
Budget AP: 12,8 mln (bijgesteld in lopend jaar naar 15,3 mln)
Betaalde bijdragen aan de AP door JenV: 16,1 mln

2019
Budget AP: 15,2 mln (bij VJN structureel + 3,4 mln naar 18,6 mln)
Betaalde bijdragen aan de AP door JenV: 20,5 mln (inclusief eenmalig 1,9 mln. vanwege tekort)

2020
Budget AP: 18,5 mln (bijgesteld in lopend jaar naar 22,6 mln)
Betaalde bijdragen aan de AP door JenV: Prognose AP 24,6 mln

Ik ben mij ervan bewust dat de AP op dit moment niet zelfstandig over de financiële middelen beschikt om te kunnen investeren in de bedrijfsvoering. Ik stel daarom nog in 2020 eenmalig een bijdrage beschikbaar van 3,5 miljoen euro voor het oplossen van incidentele problematiek van de AP en voor het doen van een investering in haar bedrijfsvoering (ICT). Voor 2021 en verder blijf ik met de AP in gesprek over de ontwikkelingen in haar bedrijfsvoering.

Daarbij stel ik voorop dat de uitvoering van taken door een organisatie altijd gebeurt binnen de kaders van de beschikbare financiële middelen en capaciteit. Dat geldt ook voor de AP. De AP heeft in de afgelopen jaren, ondanks structurele toevoegingen aan haar budget, haar financiële kader fors overschreden. Van de AP als zelfstandig bestuursorgaan verwacht ik dat zij binnen de financiële kaders blijft die voor haar gelden.

III. Inspannen om de huidige (formatieve) bezetting te behouden

Ik zie dat de AP veel werk verzet. Het is belangrijk dat de AP de taken die zij nu uitvoert ook in 2021 kan blijven voortzetten met haar huidige (formatieve) bezetting van 184 fte. Ik heb daarom met de AP afgesproken dat we inzetten op het behoud van de huidige (formatieve) bezetting van 184 fte in 2021. Dat betekent dat ik voor 2021 het beschikbare budget verhoog tot een bedrag dat gelijk is aan de realisatie van 2020. Het is vervolgens aan een volgend kabinet om te besluiten over het ook na 2021 tenminste kunnen behouden van deze huidige bezetting en een eventuele verdere uitbreiding van de AP.

IV. Afspraak maken ten aanzien van nieuwe taken

Met de AP en mogelijke nieuwe opdrachtgevers geldt de afspraak dat bij het toevoegen van een wettelijke taak middels een uitvoeringstoets inzichtelijk moet worden gemaakt wat de financiële gevolgen zijn van een eventuele nieuwe taak voor de AP én dat bij het aanvaarden daarvan ook de financiële dekking is geregeld.

V. Verkennen van externe financiering

Tegenover het verkennen van externe financieringsmogelijkheden sta ik positief. Ik ben hierover met de AP in gesprek en de adviezen van de onderzoekers neem ik daarin mee.

Met deze brief en de eindrapportage van KPMG sluiten we een periode van onderzoek naar de taken en financiële middelen van de AP af. De gesprekken die ik met de AP heb gevoerd na afronding van het onderzoek bieden het vertrouwen dat we richting 2021 met de gemaakte afspraken daadwerkelijk op weg zijn naar meerjarige (financiële) stabiliteit bij de AP. De aanbevelingen, waar we ons samen achter scharen, geven daarvoor ook een goede basis. We zullen de komende jaren monitoren hoe het werk van de AP zich ontwikkelt en zien of ontwikkelingen zich al dan niet bestendigen. De AP heeft als onafhankelijk toezichthouder zelf de verantwoordelijkheid voor de uitoefening en prioritering van haar taken. We moeten samen beleidsmatig oog houden voor ontwikkelingen op het gebied van privacy en digitalisering.

Gelet op de bevindingen van KPMG zijn er verschillende ingrediënten aanwezig die inzicht geven in de omvang van de prioriteiten van de AP, ontwikkelingen in haar werk en de risico’s die daarbij horen. Dit geeft houvast voor - en invulling aan - het gesprek met de AP in de toekomst.

De Minister voor Rechtsbescherming,

Sander Dekker

Voetnoten

1) Kamerstukken II 2018/19, 32 761, nr. 149.
2) Dit onderzoek is in opdracht van de AP tot stand gekomen. Op 7 april 2017 is de eindrapportage van AEF door de voorzitter van de AP aan de toenmalige Staatssecretaris van Veiligheid en Justitie aangeboden. Op 31 mei 2017 heeft deze de AEF-rapportage aan uw Kamer toegezonden, zie Kamerstukken II 2016/17, 32 761, nr. 112.
3) De eerste prioriteiten zijn volgens de onderzoekers te identificeren aan de hand van aantoonbaar oplopende i) werkvoorraden, ii) het niet kunnen afronden van de wettelijke taak, iii) tekortschietende kwaliteit op de wettelijke taak, iv) onvoldoende capaciteit voor nieuwe taken en v) onvoldoende ondersteuning.
4) In de vergelijking zijn de Autoriteit Consument en Markt, de Autoriteit Financiële Markten, het Agentschap Telecom en de Nederlandse Voedsel- en Warenautoriteit betrokken.
5) De EDPB bestaat uit de EU-lidstaten, Noorwegen, IJsland en Liechtenstein.
6) Het budget van de AP komt vanaf 2021 uit op structureel 18,5 miljoen euro, vanwege de aansluiting op het Shared Service Center voor ICT (SSC-I). JenV heeft de financiële consequenties daarvan (namelijk een eenmalige investering in 2020 en een structurele besparing in 2021 en de daaropvolgende jaren) in het budget van de AP verwerkt.
7) Dit zijn alle multinationals, overheden, bedrijven, zelfstandigen zonder personeel, verenigingen en individuele burgers als zij bepaalde persoonsgegevens verwerken.


bron: Rijksoverheid

Van onze partners

Datalekken voor bedrijfsjuristen

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer