Podcastserie Privacy in de praktijk

Het Centrum Informatiebeveiliging en Privacybescherming (CIP) presenteert, in samenwerking met de Autoriteit Persoonsgegevens en RADIO, een podcastserie onder de titel ‘Privacy in de praktijk’, in totaal acht afleveringen.

Beeld: ©CIP / CIP
Een nieuwe podcastserie: Privacy in de praktijk

Privacy op de werkvloer het beste: met de wortel of de stok?

In deze eerste aflevering deelt FG Magdalena Magala, Functionaris gegevensbescherming bij de gemeente Zaanstad, haar dilemma: 'Privacy op de werkvloer het beste: met de wortel of de stok?'
Over dit thema gaat ze in gesprek met privacydeskundige Bart Schermer van Considerati.

Privacy in de praktijk 1: Privacy op de werkvloer het beste: met de wortel of de stok?

DANCEMUZIEK

MAGDALENA: Privacy op de werkvloer: liever de wortel of de stok?
ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.
In deze podcast van Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met Functionarissen Gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag zitten er weer twee toppers aan tafel, zo leuk.
Functionaris Gegevensbescherming Magdalena Magala
bij de gemeente Zaanstad, welkom.
-Dank.
ROBIN: En inmiddels een goede vriend, want je treedt in meerdere podcasts op
Bart Schermer, partner en oprichter bij Considerati.
Wat was dat ook alweer?
-Een juridisch adviesbureau
en public affairs-kantoor voor de digitale wereld
en wij focussen ons op privacy en gegevensbescherming.
ROBIN: Oké, nou, ben benieuwd.
Magdalena, collega's belonen of bestraffen?
MAGDALENA LACHT ROBIN: Dat is een lekker dilemma, dit.
Is dat een herkenbaar dilemma voor jou?
-MAGDALENA: Ja, zeker.
MAGDALENA: Ik ga liever voor belonen dan voor bestraffen.
ROBIN: Dat willen we natuurlijk allemaal.
-LACHEND: Ja, nee, ik ehm...
Ja, waar je tegenaan loopt in de praktijk is dat...
Je wil natuurlijk als FG gewoon vooraf betrokken worden bij dilemma's
en niet achteraf gaan slaan met die stok.
ROBIN: Oké, en als je het hebt over jouw specifieke rol als FG bij Zaanstad
wie zijn dan eigenlijk jouw... wie zitten er op jouw werkvloer?
MAGDALENA: Ja, de ambtenaren natuurlijk, de burgemeester
en de raad en het college, dat zijn de eindverantwoordelijken
de directie die ik toch wel elk kwartaal spreek
maar ja, we doen het allemaal natuurlijk voor de inwoners van de stad.
ROBIN: Ja, uiteraard, je doet het voor de gemeente Zaanstad uiteindelijk.
Maar ik kan me voorstellen dat je op verschillende borden schaakt.
Heb jij... Voor wie moet je het strengst zijn af en toe?
MAGDALENA: Ehm... Ja, dat ligt er een beetje aan per casus, hè.
Ik bedoel, als je vooraf al betrokken bent
dan ben je minder streng omdat er van tevoren over is nagedacht, over privacy.
ROBIN: Dus ze hebben het zelf in de hand.
Als ze een boze Magdalena willen, moeten ze je niet erbij betrekken.
MAGDALENA: Nee, exact. Nee, we hebben gelukkig heel veel fijne collega's
en privacy-ambassadeurs op de werkvloer
die precies weten wat er speelt en aan de bel trekken
als er issues zijn waar toch persoonsgegevens bij betrokken zijn.
ROBIN: Herkenbaar dilemma, Bart?
Moet je nou streng zijn, moet je aanpakken of moet je eigenlijk lief zijn?
BART: Dat hangt heel erg af van met wie je te maken hebt.
Je kan het heel grof onderverdelen in de onwetenden en de onwilligen.
Bij de onwetenden, met name, is het een kwestie van bijbrengen
waarom is privacy en gegevens- bescherming belangrijk, wat zijn de regels
en ze helpen om hun werk goed te kunnen doen.
En bij onwilligen moet je misschien meer streng zijn
omdat die bewust om je heen werken
of om vijf voor twaalf zich een keer melden met een DPIA
en maandag moet het echt live want er staat druk achter.
Daar zul je meer op je strepen moeten staan
en duidelijker afbakenen 'zo gaan we niet met elkaar om.'
ROBIN: O, dus je moet ook een soort...
Als FG moet je ook een soort characters gaan judgen.
Je moet echt gaan inschatten van 'ben je nou onwillig of onwetend?'
BART: Ja, en wat ik ook wel doe, ik geef ook cursussen voor FG's
is met de kleuren van mensen: heb ik te maken met een blauw persoon...
ROBIN: Ook dat nog? MAGDALENA LACHT
BART: Ja, je moet ook gewoon een judge of character zijn.
ROBIN: Magdalena, heb jij liever een onwillige of een onwetende burgemeester?
Bijna weer een ander dilemma. GELACH
MAGDALENA: Nou ja, ik sluit me hierbij aan.
Je bent als FG een soort kameleon in de organisatie.
Je moet je steeds aanpassen aan de mensen die je voor je hebt.
Je zal iemand die aan de balie staat
die gaan met praktische zaken om, die moet je anders benaderen.
ROBIN: Kun jij een casus schetsen uit jouw praktijk
waarbij je echt even lastig vond van 'welke toon moet ik hier nou aanslaan?'
MAGDALENA: Nou, ja, ik denk met cameratoezicht.
Heel veel gemeenten hebben cameratoezicht
maar dat betekent niet dat er een DPIA op is gedaan, in Zaanstad overigens wel.
ROBIN: Uiteraard.
-LACHEND: Maar eh, ja...
MAGDALENA: Op zich is daar een grondslag voor, we mogen het doen
maar je moet er wel goed over nadenken en die risico's in kaart brengen.
En dat wordt nog te weinig gedaan.
Het begint nu langzaam te komen, hè, dat ehm...
ROBIN: En wat maakt het dan lastig welke toon je moet aanslaan?
Want het gaat er volgens mij om
als het gaat over zaken waarbij niet helemaal duidelijk is
of waarbij je nog een beetje aan het pionieren bent
dat je als FG misschien niet zo heel goed weet 'hoe ga ik dit nou spelen?'
Waar zit 'm dan de crux dat het ingewikkeld wordt welke toon je moet aanslaan?
MAGDALENA: Nou, ik denk dat mensen wel weten...
Cameratoezicht, dan ga je natuurlijk mensen opnemen en beelden zien
maar hoe dan, dat is wat je zegt, die onwetendheid
van 'hoe ga je dat dan doen' daar moeten we nog stappen in zetten.
Daar hebben we de privacy-ambassadeurs voor
die mensen kunnen helpen om een checklist in te vullen.
Eigenlijk, als er mensen bij mij komen, dan vragen ze:
Mag ik dit wel of niet verwerken?
Dan vraag ik ze een checklist in te vullen. Ga maar nadenken.
Wat is het doel, wat is de grondslag, wat heb je nodig, heb je dit écht nodig?
En vergeet ook niet de ethische vragen: willen we dit eigenlijk wel?
Want dat wordt wel vaak vergeten.
ROBIN: Maar die liggen natuurlijk meer bij de burgemeester en bij de raad.
MAGDALENA: We hebben feitelijk verantwoordelijkheid bij de directie
en als het heel spannend wordt dan betrek ik de burgemeester en college erbij
en het fijne is wel dat ik me vrij voel om te schakelen.
Ik ben ook assertief, dus ik vind het ook niet zo erg...
ROBIN: Ik heb het in de gaten, ja. GELACH
MAGDALENA: Ja, nou ja, goed en dat betekent dus ook
je moet weten wat voor kleuren je in de organisatie hebt
maar je moet ook op je strepen kunnen staan en waar nodig escaleren.
ROBIN: Is dit herkenbaar, cameratoezicht en dat het dan spannend wordt
en dat je dan moet gaan kiezen: wanneer sta ik op m'n strepen...
Is dat het soort dilemma dat jij herkenbaar vindt, Bart?
BART: Zie ik inderdaad bij bijna alle organisaties waar ik kom.
Ik denk wat Magdalena aangeeft, dat is een hele belangrijke, van 'willen we dit?'
En als we dit willen, wat willen we dan precies?
Dan is je rol als FG om te zorgen dat de organisatie het doel kan bereiken
maar wel met respect voor privacy en gegevensbescherming.
Dus het is... Je hebt ook in die zin een gidsrol en die kan heel positief zijn.
Dat is echt de wortel, jij helpt de organisatie het zo goed mogelijk te doen.
Want aan het eind van de dag, die ambtenaar of die medewerker
die gaat het op z'n bord krijgen als het fout gaat, niet de FG.
ROBIN: Dus als het spannend dreigt te worden moet je echt erbij blijven
van 'willen we werkelijk...' Dan moet je scherp in de wedstrijd zitten.
Heb jij nog een casus, Bart, waarvan je denkt 'hier is het echt ingewikkeld'?
Moet je nou met de stok erin of met de wortel?
Moet je nou streng zijn of moet je een beetje lief zijn? Heb jij een casus...
BART: Ja, er zijn er talloze.
Eén waar ik toevallig recentelijk bij betrokken was ging over dronetoezicht.
En wat het spannende eraan is: het gaat om belangrijke dingen.
Het gaat om veiligheid, het gaat om het naleven van wet- en regelgeving
en jij staat daar als FG, als je het niet goed doet, misschien tegenover.
Het kan heel snel zijn dat de verkeerde perceptie binnen de organisatie komt:
jij probeert ons doel van de organisatie moeilijker te maken.
'Jij wil niet innoveren, jij wil niet het toezicht verbeteren.'
En dat moet je denk ik echt voorkomen.
Dat is een soort van spel tussen 'ik moet goed meewerken met de organisatie
ik moet de organisatie helpen haar doelen bereiken'
maar tegelijkertijd zie ik ook bij organisaties, wat ook heel goed werkt
je moet ook de eindbaas van het computerspel zijn.
Mensen moeten wel respect hebben voor jou als FG
dat ze niet met onzin naar je toe komen
maar dat ze, als het ware, een beetje bang voor je zijn
want dan gaan ze beter nadenken.
Dus: 'als we naar de FG gaan dan moet het wel goed zijn.'
ROBIN: Ben jij de eindbaas? MAGDALENA LACHT
MAGDALENA: Ik ben het met je eens, want de randvoorwaarden, die privacy
je wil gewoon zorgen dat het verbeterd wordt.
Dat je uiteindelijk, bij gemeenten, een betrouwbare overheid bent
en dit is een randvoorwaarde, dus je moet hier rekening mee houden.
En de eindbaas, nee, ik ben niet de eindbaas.
De eindbaas is de eindverantwoordelijke, want die krijgt de boete, niet ik
dus eh, als het mis gaat.
-ROBIN: Ik denk dat Bart vooral bedoelt
eindbaas als het gaat over privacy en de bescherming van privacy.
Want dat is natuurlijk jouw rol als sheriff van de privacybescherming.
En dat gaat over die burgers, dat gaat helemaal niet over de raad.
Het gaat over de mensen over wie het gaat, toch?
Daar sta jij voor.
Kun je dan schetsen in welke situaties ben je dan echt streng
en wanneer is het toch de wortel?
MAGDALENA: Nou, kijk, ik denk dat in het verleden
in 2018, toen die AVG in werking trad, we hadden al de Wbp, daar niet van
maar in 2018 gingen de gemeenten echt aan de slag.
Nou, ik heb wel meegemaakt...
In het begin ben je een FG, kwartiermaker, Privacy Officer
alles in één, dus je was echt met alles bezig.
Maar op een gegeven moment zei ik wel tegen de organisatie:
Ja, ik heb nu een soort voortgangsrapportage
maar m'n volgende rapportage is een toezichtsrapportage.
Succes ermee. Wat gaan jullie doen? Laat maar zien.
En daar ben ik wel echt op m'n strepen gaan staan.
Dus ik ben geen taken meer gaan doen van de Privacy Officer of adviseur.
Ik ben echt veel meer in de toezichthoudende rol gaan zitten.
En je moet dan de organisatie laten voelen. Is niet leuk.
Ik bedoel, uiteindelijk ga je een andere baan zoeken misschien.
ROBIN: Maar dan zeg je eigenlijk: een van de oplossingen voor dit dilemma...
Werk een beetje aan je zelfbewustzijn.
Wat is m'n rol binnen de organisatie en welke rol wil ik oppakken?
En die ga ik dan ook uitdragen. Dat maakt het al makkelijker om keuzes te maken.
Is dat een begin van een oplossing van dit dilemma?
MAGDALENA: Ja, zeker. Ja.
ROBIN: Bart, mee eens?
-BART: Ja, eens.
BART: De AVG heeft eigenlijk een rare hybride gemaakt van de FG
van een adviseur en een toezichthouder.
Als je dat niet goed inricht en ook niet goed je eigen rol snapt
kan het heel snel zijn dat je als slager je eigen vlees gaat keuren.
ROBIN: Overigens hebben we hier ook een leuke podcast over:
moet je als FG ook CISO zijn?
Dat is een ander dilemma, gaan we het een andere keer over hebben.
BART: Je moet dus snappen wat je rol is
en die rol gaat op een gegeven moment ook veranderen
naarmate de organisatie volwassener wordt, zoals Magdalena aangeeft.
In het begin was de AVG helemaal nieuw, dan zit je meer in die adviesrol.
En op een gegeven moment wordt jouw rol als FG veel meer een toezichtsrol
en zijn er anderen binnen de organisatie, de verwerkingsverantwoordelijken
dus de Privacy Officers, de ondersteunde mensen qua privacy in de organisatie
die gaan die adviezen geven en jij hebt als FG dan meer die toetsende rol
als laatste stok achter de deur, om het zo te zeggen.
ROBIN: Maar die toetsende rol, dat nodigt ook uit tot een kritischere rol.
Dat je gewoon de uiteindelijke sheriff bent die gewoon ja of nee zegt, toch?
Dat riekt naar strengigheid.
-BART: Het is niet zozeer ja of nee zeggen
het is jouw advies of jouw interpretatie als FG
over datgene wat de verwerkingsverantwoordelijke wil doen.
En dat advies geef je aan de verwerkingsverantwoordelijke.
Die mag dat ook in de wind slaan, dat is het goed recht van diegene.
Als die een andere risico-afweging maakt dan jij als FG, dan kan dat.
ROBIN: Dit voelt voor mij toch lastig, want dat is toch onacceptabel eigenlijk?
Als zij een andere afweging maken...
-BART: Dat is wat de AVG zegt.
BART: De AVG zegt: Je bent een adviseur en toezichthouder
maar je moet je niet in de rol van de verwerkingsverantwoordelijke begeven.
Dus op het moment dat jij oordelen gaat maken over 'dit mag wel' of 'dit mag niet'
dan ga je beslissingen nemen over de verwerking van persoonsgegevens
en neem je dus de rol van de verwerkingsverantwoordelijke aan.
En dat moet je denk ik te allen koste voorkomen als FG.
Jij geeft het beste advies en dat advies moet zeer serieus worden gewogen.
De AP zegt ook: Als een organisatie moedwillig dat advies in de wind slaat
dan is dat voor ons een reden een hogere boete te geven.
De organisatie moet je heel serieus nemen
maar als ze jouw advies in de wind willen slaan, is dat hun goed recht.
ROBIN: Hoe zie jij de rol van de FG?
-MAGDALENA: Ja, eens.
MAGDALENA: Het is een zwaarwegend advies, het is niet zomaar een advies
dus ze moeten daar wel echt goede redenen hebben om af te wijken.
Dus, ja, nee, daar ben ik het helemaal mee eens, daar zit gewoon de knip.
ROBIN: Oké, resumerend: straffen of belonen op de werkvloer
als het gaat over privacy: hoe pak jij hem op?
Wat is wat jou betreft de oplossing?
-MADGALENA: Het is balanceren.
MAGDALENA: Ik bedoel, je probeert zo veel mogelijk aan de voorkant
betrokken te worden, weten wat er in het werkveld speelt.
Indien nodig opschalen en inderdaad met de stok in de weer
maar uiteraard liever de wortel.
Ik denk dat het heel belangrijk is, wat Bart zei, gidsrol...
Het is een eenzame rol, je bent de enige in de organisatie.
Dus probeer vooral niet het wiel uit te vinden
want echt, een probleem bij de gemeente speelt vast ook bij een andere gemeente.
Dus trek met elkaar op. Wij trekken met de FG's in de regio
maar ook landelijk hebben we intervisies...
Trek met elkaar op en don't take it personal, dat is vooral, denk ik...
Het is soms een lastige rol, maar je doet gewoon je werk, en klaar.
ROBIN: Je roept ook een paar adviezen
die bij meerdere dilemma's van nut kunnen zijn, hè.
Bijvoorbeeld het advies 'zorg dat je aan de voorkant betrokken bent'
dat geldt volgens mij voor een heleboel dilemma's waar we het over hebben.
Wees jezelf bewust van je rol en bemoei je er vroegtijdig mee
en zorg dat ze snappen wie je bent en wat je doet.
Maar dan terugkomend op het dilemma, jij zegt eigenlijk:
Aan de voorkant zolang het kan de wortel.
-MAGDALENA: Ja.
ROBIN: Gewoon meedenken...
-MAGDALENA: Zeker.
ROBIN: En als ze dan niks ermee doen aan het einde van de rit
als ze niet luisteren naar dat advies, dan nog even rammen met die stok.
MAGDALENA: Je geeft dan bijvoorbeeld bij een DPIA een negatief advies
en dan vinden ze dat misschien niet leuk, maar je houdt gewoon voet bij stuk.
ROBIN: Is dat een beetje ook jouw houding, Bart?
BART: Helemaal. De wortel zit hem in dat mensen jou moeten kunnen vinden
en weten van 'dat is een goeie, die kan mij goed adviseren
om deze toepassing zo goed mogelijk te maken.'
'Ik kan m'n doelen bereiken maar ook privacyvriendelijk', dat is wat je wil.
Dan beloon je als het ware de organisatie.
En als ze dat niet willen of ze kunnen dat niet
dan moet je gewoon die stok achter de hand hebben.
En die is denk ik ook belangrijk om serieus genomen te blijven.
Het is niet dat je een soort gratis adviesbaak bent
en als het advies niet aanstaat dat je dan door kan.
Je moet serieus genomen worden, dus stok achter de hand.
ROBIN: Tot slot, wat voor mogelijkheden heb je dan
als het komt tot dat je je knuppel moet trekken?
Wat doe je dan? Hoe doe je dat?
BART: Wat Magdalena aangaf, een negatief advies bijvoorbeeld op zo'n DPIA
of in je rapportage over de compliance binnen de organisatie aangeven
dat de compliance niet oké is.
En dat geef je aan de hoogste leidinggevende binnen de organisatie
en die krijgt daarmee ook het aapje op de schouder
om daarmee wat te gaan doen.
-ROBIN: Oké.
ROBIN: Tot slot aan jou dezelfde vraag eigenlijk: stel dat het zover komt
je hebt adviezen gegeven, oké dan toch die stok erbij...
MAGDALENA: Ja, kijk, één keer per jaar rapporteer je naar het college.
In het jaarverslag komen de aanbevelingen
en het is uiteindelijk aan de organisatie om het wel of niet op te pakken.
Dus kies wel je momenten.
Probeer, als je bij de directie zit, om daar aan te kaarten wat er mis gaat
wat er beter kan, want zij moeten erop sturen.
Dus pak je momenten ook, pak het podium.
ROBIN: Nou, dank je wel, Magdalena Magala en Bart Schermer.
Luister ook de andere afleveringen van Privacy in de praktijk terug.
Het is leuk. Ga hiervoor naar cip-overheid.nl/uitgelicht.

FG beschermer of klokkenluider

In de tweede aflevering deelt Daniëlle Oudhuis, onder meer FG bij Hoogheemraadschap Hollands Noorderkwartier, haar dilemma: 'Is de FG nu beschermer of klokkenluider?' Over dit gevoelige, maar (te) weinig besproken thema gaat ze in gesprek met Mabel de Vries, ook FG bij meerdere organisaties, onder leiding van host Robin Rotman.

Privacy in de praktijk 2: Beschermer of klokkenluider

LEVENDIGE MUZIEK

DE VRIES: FG, beschermer of klokkenluider?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en namens het Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming en deskundigen
de dilemma's waar deze FG's mee te maken hebben.
En vandaag te gast, Danielle Oudhuis,
FG bij 't Hoogheemraadschap Hollands Noorderkwartier en ook CISO aldaar.
en Mabel de Vries. Jij wordt als externe FG ingevlogen bij organisaties.
Eigenlijk overal waar ze jou kunnen gebruiken, word jij gebeld.
DE VRIES: Ja, klopt.
ROTMAN: Danielle, beschermen of klokkenluider, dat is nogal wat.
Jazeker, dat is af en toe een best wel behoorlijk dilemma
waar je in terecht kunt komen als FG.
ROTMAN: Hoe is dat als je in één keer in een situatie terechtkomt dat je denkt:
ik moet ineens gaan klokkenluiden of zo. Dat is toch onhandig?
OUDHUIS: Het liefst kom je niet in zulke situaties in mijn beleving.
Maar het zou zomaar kunnen. Dat is ongemakkelijk, kan ik me voorstellen.
Maar het is wel belangrijk dat je dat kunt doen.
ROTMAN: Dat je ook de vrijheid voelt van: o, oké.
Nu moet ik wel even ergens aan een bel gaan trekken.
Is dat een reëel scenario, Mabel?
DE VRIES: Je moet nadenken
wat het effect is als je het doet. Daar schort het heel erg aan.
Mensen vinden dat ze klokkenluider moeten zijn,
maar overdenken niet de risico's die daarmee gebaat zijn,
of die daarmee eigenlijk nog groter worden
dan alleen maar het klikken op het AVG-stuk.
Klikken, ja, wat die zegt natuurlijk. Wat zegt de AVG hier eigenlijk over?
Wat wordt er van je verwacht als FG?
OUDHUIS: Naar mijn weten staat er in de AVG niks over klokkenluiden.
ROTMAN: Hoe interpreteer jij het zelf? Het is een nieuw vakgebied.
Er is veel ruimte en mensen voelen veel ruimte.
Wat vind jij zelf eigenlijk?
OUDHUIS: Nou, in de AVG is wel belangrijk onderscheid gemaakt
tussen de rol van de FG en de verwerkingsverantwoordelijke.
Ik zie het als mijn rol als FG om te wijzen op risico's.
Als een verwerkingsverantwoordelijke dat naast zich neerlegt
dan is dat hun verantwoordelijkheid.
En ik denk dat je pas gaat klokkenluiden
op het moment dat je echt denkt: hé, hier is de integriteit in het geding.
En ik denk dat je heel veel kunt doen voordat je op dat punt terechtkomt.
Dus ja, ik hoop dat je nooit in die positie hoeft te komen als FG,
maar het is wel goed om te weten dat die mogelijkheid er is.
ROTMAN: Heb je zoiets meegemaakt?
Misschien in je huidige baan. Of misschien eerder.
Heb je je weleens op die T-splitsing gestaan?
OUDHUIS: Nou ja, niet in de zin van klokkenluiders zoals Mabel dat schetst,
maar wel in de zin dat ik denk: hé, hier ga ik wel even escaleren.
ROTMAN: Kun jij omschrijven waar dat toen over ging?
OUDHUIS: Nou ja, dat ging om gebruik van gegevens voor een ander doel
dan waarvoor ze zijn verzameld. Dat is wel weer een aantal jaar geleden.
Toen was het allemaal nog vrij nieuw.
Toen werd eigenlijk 5 voor 12 aan mij gevraagd:
wil je even aangeven wat ik nog aan privacy moet doen?
Eigenlijk was het meer de vraag: zet even een vinkje, dan kunnen we door.
ROTMAN: Zet een krulletje.
OUDHUIS: Toen heb ik gezegd: zo gaan we dit niet doen.
Omdat het 5 voor 12 is,
zit je ook in een positie dat je niet kunt meedenken: hoe dan wel?
Dat was wel een vervelend moment, want dan ben je best vervelend
naar de organisatie natuurlijk. En dat is ook mijn rol.
Dus dat vind ik ook helemaal niet erg.
Alleen, je komt wel heel snel in een escalatieprocedure terecht.
ROTMAN: Herkenbaar, Mabel, dat je op het allerlaatste moment
geacht wordt een vinkje te zetten?
Jij lijkt me niet het type dat zomaar vinkjes zet. Maar is dit herkenbaar?
DE VRIES: Nou, het verschil tussen een interne FG,
dus iemand die in dienst is, en iemand die extern is...
Ik merk steeds vaker dat daar een verschil zit.
Als iemand mij zo de duimschroeven aandraait,
geef ik het FG-schap terug en zeg ik: ga maar uitleggen waarom je FG opstapt.
Ik schrijf eerst netjes een memo om uit te leggen
wat het effect is van zoveel duwen, want dat 2 voor 12 is heel vaak fictief,
omdat ze het hebben laten liggen of omdat de accountant
over drie weken op de stoep staat. Iedereen in dikke paniek.
Ik denk dat als je meedenkt: waarom is het nu 2 voor 12 en niet half 12?
Dat is de-escaleren.
Dat helpt heel vaak. Heel vaak gaat dat goed.
En als je ze dan ook uitlegt wat de risico's zijn
van dat vinkje alleen maar te willen zetten
en als je doorgezaagd wordt bij controle dat je een heel slecht verhaal hebt...
Ik heb het dus niet meegemaakt dat mensen daar niet in mee gingen.
Je krijgt pittige dialogen, maar ik zeg: ik ga hier niet in mee.
Je hebt mij ingehuurd als interne toezichthouder, lees: beschermer.
Maar als je mij de duimschroeven aandraait en mij vraagt om,
met een mooi woord, onethische dingen te doen, ja, dan haak ik af.
ROTMAN: En wat heb jij in die situatie gedaan, Danielle?
OUDHUIS: Ik heb ervan geleerd om in volgende situaties
eerder met mijn directeur te bespreken van: 'ik zie dit gebeuren,
weet hoe ik erin zit en het zou kunnen dat dit tot een escalatie leidt.
Maar dan weet je nu alvast wat mijn mening is.'
Want toen werd ik verrast dat vanuit de andere kant juist werd geëscaleerd:
'Hé, de FG doet moeilijk.' Dat vond ik geen fijne positie.
ROTMAN: Word je daar onzeker van? Wat doet het met jou zelf in jouw...
Wat gebeurt er in je koppie? Ik kan me voorstellen dat je denkt:
Ik moet met m'n hakken in het zand. Dit zijn mensen die...
OUDHUIS: Ik ben een nuchter persoon, dus ik kan het naast me neerleggen.
Maar ik dacht wel: dit wil ik niet nog een keer op deze manier.
Dus ik ga daar nu wel anders mee om.
ROTMAN: Wat is dan the way out? Want ik hoor Mabel zeggen:
je moet een beetje de confrontatie of in ieder geval het gesprek aangaan
en uitleggen waarom dit echt niet kan.
Maar wat is the way out als dat niet werkt?
Als ze hadden gezegd: sorry, we hebben gewoon haast. Dit is belangrijk.
Wat doe je dan?
OUDHUIS: Nou ja, hen op hun verantwoordelijkheid wijzen.
Het is hun verantwoordelijkheid om die afweging te maken
om dat wel of niet te doen. En ook bijvoorbeeld een verbeterpad.
Dat het nu tijdelijk de situatie is,
maar dat er wel een verbetering in de planning is
om die die AVG-schendingen eigenlijk teniet te doen.
Nog steeds echt wijzen op hun eigen verantwoordelijkheid.
Het is niet mijn verantwoordelijkheid om conform de AVG te verwerken.
ROTMAN: Regel je dingen gewoon.
Stel dat je dan in de positie komt dat ze gewoon niet luisteren.
Wat dan? Waar ga je heen? Tot wie wend je je dan? De AP?
DE VRIES: Nou, als je het specifiek aan mij vraagt...
Ik schrijf netjes... Ik heb eerst gede-escaleerd.
Ik heb uitgelegd: jongens, 2 voor 12 kan ook half 12 zijn.
Hoe laat is het echt?
Als de druk opgevoerd wordt, en dat gebeurt...
Ik heb het nog niet meegemaakt, maar wel van collega's gehoord,
dus ik weet dat het echt gebeurt.
En daar is echt het verschil tussen een FG die in loondienst is,
die gewoon bijna gechanteerd wordt
en die weet: als ik nu niet mee ga, dan heb ik morgen geen werk meer.
Dat is heel schrijnend en dat gebeurt echt.
ROTMAN: Dan word je onder druk gezet.
DE VRIES: Als externe FG ga ik zitten met de directie.
Als ik binnenkom, heb ik ook een gesprek met de directie hoe ik opereer.
Dan kunnen ze altijd nog uitstappen als ze denken: nou, dit moeten we niet.
Maar dan ga ik wel met ze zitten: we hadden dit ooit afgesproken.
Dit is aan de hand, hier ga je de mist in.
En dan schrijf ik netjes een memo met alle bevindingen.
Dat doe ik heel vaak samen.
Het zijn niet de fijnste memo's om te ontvangen als directeur, dat snap ik.
Maar het is wel mijn rol, vind ik.
En dan precies ook wat Danielle zegt, dan leg ik het bij hen terug.
Als het misgaat, dan hebben zij bij eer en geweten, geweten...
Dat vind ik wel mijn rol: om een directie dusdanig voeding mee te geven,
dat ze snappen: ik doe toch m'n zin, maar ik weet wat de risico's zijn.
Ik laat ze dan nooit in het ongewisse en ik laat ze zeker niet in de steek
als het gaat om het moeten begrijpen: waar zeg ik ja of nee tegen?
Ik ben zelf nooit in de situatie geweest,
maar ik weet helaas dat het heel vaak wel gebeurt.
ROTMAN: Dan wil ik straks kijken: oké, wat kan je doen om het te voorkomen?
Want dat is wat jij zegt, Danielle, je moet niet in deze situatie terechtkomen.
Dat gaan we zo doen. Toch aan jullie allebei nog steeds:
Tot wie wend je je dan? Is er een plek buiten de organisatie
als je de klok wil luiden of doe je het gewoon niet,
ga je met collega-FG's even sparren: wat moet ik doen in jouw ogen?
Wat doe je?
OUDHUIS: Ik ben gelukkig ook nooit zo ver in de situatie geweest
en daarbij wil ik ook wel zeggen: overheden zijn over het algemeen...
Over het algemeen hebben ze goede intenties
om eigenlijk de dienstverlening naar de burger te verbeteren.
Dus er zit geen kwade wil achter
of het idee dat ze geld willen verdienen aan persoonsgegevens.
Dat maakt het gesprek al heel anders.
Maar goed, terugkomend op je vraag:
tot wie zou je je wenden op het moment dat dat wel aan de hand is?
Ja, in eerste instantie denk ik directie, bestuur
en als het echt nodig is de AP.
maar ik denk dat je die kaart liever niet speelt.
ROTMAN: Eens? DE VRIES: Ja, ik heb persoonlijk n...
Ik ga nooit naar de AP om dit te melden, maar ik zou hetzelfde pad doen:
Je gaat eerst naar de directie, als eerste,
en dan uiteindelijk het hoogste orgaan wat er in de organisatie is.
Het ergste: raad van commissarissen. Dat is bij mij nooit zover gekomen.
Wat ik wel weet, is dat in de rol die ik heb bij het NGFG...
krijgen wij dit soort vragen vaak binnen. Ik krijg daar echt wel buikpijn van
Als ik voel waar zij mee zitten. Ik vind dat echt wel erg schrijnend,
maar dat is niet het antwoord op de vraag. Bij mij gaat dat niet zo ver.
Ik neem de stelling: verantwoordelijkheid ligt bij de verwerkingsverantwoordelijke.
Ik vind het wel m'n plicht, dat vind ik fijn van mijn vak, om ze mee te nemen:
waar hebben we het nou over?
Soms hebben ze een toezichthouder
die meer ellende kan veroorzaken dan de AP.
Denk aan de AFM.
Als je je licentie kwijtraakt, is dat misschien erger
dan dat je de AP op bezoek krijgt.
Die stoel kan ik niet op zitten, vind ik niet mijn plek.
Ik vind dat ze moeten afwegen: waar doet het het meeste pijn?
Heb je erover nagedacht? Verbluffend hoe fijn ze die dialoog vinden,
ondanks dat het soms hele nare gesprekken zijn,
maar dat ze daarna wel denken: nou, daar hebben we nooit over nagedacht.
Dat vind ik ook een rol. Niet alleen beschermen van de gegevens,
maar ook van bedrijfsvoering en mensen die geholpen moeten worden.
We doen wel alsof het alleen voor FG's nieuws is,
maar het is ook nieuw voor alle mensen in de bedrijfsvoering
en ik heb het gevoel dat dat heel vaak vergeten wordt.
Dat vind ik een rol van de FG om ze mee te nemen: hier hebben we het over.
ROTMAN: dat is jouw verhaal tegen die mensen
die zich met een beetje angst en beven bij je melden.
Je zegt: oké, ga met ze in gesprek, schrijf die memo, hè,
zoals jij dat ook gedaan had en wijs ze op wat er gaande is.
Oké, dat is het scenario klokkenluider. Danielle wil daar helemaal niet komen.
Je vertelde net over wat je hebt geleerd om te voorkomen dat het zover komt.
Noem 's wat dingetjes. Hoe zorg je ervoor dat dit dilemma
gewoon niet op je pad komt?
Wat zijn de concrete maatregelen waarvan jij zegt:
Dat heb ik gedaan en ik voel me er wel senang bij eigenlijk.
Ik wil dat mailtje helemaal niet sturen naar Mabel.
OUDHUIS: Zo vroeg mogelijk in het proces betrokken zijn.
Dus zorg dat je tijdig aan tafel zit om mee te denken
en ook te laten zien aan de organisatie: Hoe eerder je over privacy nadenkt,
hoe makkelijker het te integreren is in je ontwerp.
Want heel vaak merk je dat als je dat later doet, dus half 12 of 5 voor 12,
dat er dan al zoveel keuzes zijn gemaakt
dat je eigenlijk geen privacyvriendelijke oplossingen meer kunt kiezen,
want dan is dat al besloten.
ROTMAN: Dus dat is één: je zorgt als je maar een beetje lucht krijgt,
een beetje een gevoel van: hé, er gebeurt iets in de organisatie
waarvan ik denk: iets met privacy. Op de deur kloppen.
En zeg: oké, ik wil meepraten nu. Dat is één, oké.
Wat kun je nog meer doen om te zorgen dat je niet dit dilemma op je pad krijgt?
OUDHUIS: Vooral aangeven hoe het wel kan.
Ook meedenken in hun processen.
Heel vaak hebben ze daar zelf helemaal niet over nagedacht:
hoe loopt m'n proces en welke gegevens heb ik voor welk doel nodig?
Je ziet vaak processen
waar je op verschillende momenten persoonsgegevens gebruikt.
Die moet je allemaal afzonderlijk gaan benaderen:
wat is mijn doelbinding hierbij
en welke gegevens mag ik om welke reden gebruiken?
Dat zijn ze vaak niet gewend om zo te denken.
ROTMAN: Oké, Mabel.
Je moet dus zorgen dat je vroeg in het proces met je snufferd erbovenop zit
en je moet je goed bewust worden van je eigen rol
en dat heel erg duidelijk maken van: kom op, dit is wat ik doe.
Dus je moet een beetje tijger zijn.
Heb je nog wat dingen toe te voegen die je kan doen
als jij wil voorkomen dat je überhaupt in deze rotsituatie terechtkomt?
DE VRIES: Ja, ik wil daar wel een onderscheid maken
dat ik niet in overheids-FG-posities zit. Om meerdere redenen dan één.
Maar voordat ik binnenkom, doe ik altijd een nulmeting.
Dat is een voorwaarde voor mij om überhaupt in te stappen.
Ik bedoel, drijfzand wil ik best in, maar dan wil ik weten dat het drijfzand is.
En dan heb je een plan van aanpak: jongens, jullie staan er zo voor.
Jullie wilden een 9,5 zijn, jullie zijn een vier.
Een 9,5 is misschien te veel, gaan we lekker eerst voor een zeven.
Hoe komen we daar?
Dan maak je een afspraak en dat is een plan en dat is een project.
En in die fase krijg ik de mogelijkheid...
Dat is gewoon een voorwaarde dat ik instap, want het is wel mijn reputatie.
Zo ga ik werken.
Ik ben vanaf dag één onderdeel van de architectuur.
Zijn ze soms ook wel een beetje treurig van, denken ze: heb je haar weer.
Maar op het moment dat die zeven er is, is het hun zeven. Niet die van mij.
Dan heb je processen ingericht en word je vanzelfsprekend betrokken.
Ik ga die positie in als interimmer en ga weer weg.
Ik laat het achter voor een ander die het overpakt.
Heel vaak komt er niemand anders. Maar ja, als je erin gaat van:
ik ben hier tijdelijk om de boel goed op orde te brengen,
te zorgen dat de organisatie het echt doorleeft en voelt
hoe belangrijk het is en hoe ermee om te gaan.
Dan heb je zelf de processen gebouwd.
En wat Danielle ook zegt:
veel processen zijn bij veel bedrijven nog niet eens ingericht.
Ze weten niet eens dat een werkproces ze gaat helpen.
Dat vinden ze allemaal ingewikkeld.
Ja, even los van privacy,
maar dat is wel de sleutel om te zorgen dat je betrokken bent.
Want dan weef je de rol en de functie van het privacyteam,
dus FG, privacy officer, zelfs CISO,
weef je in in de algemene bedrijfsvoering van dag tot dag.
ROTMAN: Heb jij de indruk dat jij deel uitmaakt
van de architectuur, Danielle? Is dat gelukt?
OUDHUIS: Was het maar zo. ZE LACHEN
Ik doe dit nu een hele tijd.
Ik ben de enige die zich hiermee bezighoudt in de organisatie.
Ik heb nu sinds kort ook een privacy officer
die een heel groot deel daarvan kan overnemen,
waardoor ik daar wat meer tijd voor heb.
Het is nu gewoon bouwen aan de basis op orde om aan de AVG te voldoen.
Continu eigenlijk nieuwe verwerkingen waar je mee geconfronteerd wordt.
Dus het is nu nog een beetje zwemmen, maar ik hoop dat dat wel meer komt.
En ja, waar ik wel vroege signalen krijg, daar probeer ik meteen op te duiken
om te helpen om aan de AVG te voldoen.
ROTMAN: Ik gun alle FG's van Nederland dat ze deze podcast luisteren
ver voordat ze in de positie komen dat ze denken van: ik moet klokkenluiden
en jullie hebben leuke zinnige dingen gezegd.
Dank daarvoor, Danielle Oudhuis en Mabel de Vries.
Luister afleveringen van Privacy in de Praktijk terug
en ga hiervoor naar cip-overheid.nl/uitgelicht.

LEVENDIGE MUZIEK EINDIGT

Wat moet ik als FG met niet correcte DPIA’s?

De derde aflevering gaat over onacceptabele DPIA’s. Wat kun je daar als FG nu mee doen? Daarover gaan FG Sergej Katus (Privacy Management Partners) en FG Marie-José Bonthuis (ook te beluisteren in de eerste aflevering) met elkaar in gesprek, onder leiding van host Robin Rotman.

Privacy in de praktijk 3: Wat moet ik als FG met niet-correcte DPIA’s

DANCEMUZIEK

SERGEJ: Ik zie een DPIA. Keur ik 'm goed, keur ik 'm af?
En hoe kan ik de organisatie daar verder mee helpen?
ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.
In deze podcast van Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met Functionarissen Gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast: Sergej Katus, FG bij verschillende gemeentes.
Hij schreef een boekje, of een boek moet ik zeggen
'Hoe ben je FG?' en hij is partner bij Privacy Management Partners.
Even neerzetten, wat doen jullie daar?
-Wij helpen organisaties zoals gemeenten
daarom ben ik gemeente-FG, om goed om te gaan met de AVG.
ROBIN: En, aan de andere kant, Marie-José Bonthuis
privacy- en IT-jurist bij Privacy1
en je bent ook FG bij verschillende organisaties.
Jij kan ook alles eigenlijk, hè?
-Nou, er zijn anderen om dat te bepalen.
MARIE-JOSÉ LACHT Ik vind het leuk dat je het zegt.
ROBIN: Sergej, die DPIA, je komt 'm constant tegen.
Data protection impact assessment. Wat is dat nou eigenlijk voor een ding?
SERGEJ: Ik probeer dat altijd uit te leggen als de Milieueffectentoets
op de digitale leefomgeving, en dat is een hele mond vol
maar eigenlijk stel je daarin de vraag:
wat doet het nou als je hier met deze gegevens aan de slag gaat?
En waarom, en dat is heel letterlijk
wat is het effect van het nemen van beschermende maatregelen?
Kun je daarmee op een maatschappelijk verantwoorde manier
dan met die data wel omgaan?
Dus eigenlijk vergelijk ik het met een filter op de schoorsteen van een fabriek.
Zonder die filter vervuilt de fabriek
en met die filter heb je dus een soort klimaatneutrale
ik noem het dan maar privacyneutrale aanpak.
En in principe mag het dan van de AVG.
ROBIN: En wanneer moet je nou zo'n DPIA uitvoeren?
Ik kan me voorstellen dat je niet elke keer zo'n assessment moet doen, of wel?
SERGEJ: Dat is een beetje een dingetje, want eh...
In mijn optiek bestaat er een misverstand tussen wat er staat in de AVG
wanneer dat verplicht is, maar als je de AVG een beetje snapt
dan merk je ook: eigenlijk is de centrale vraag in de AVG 'wat is passend?'
En je kunt niet aan de AVG voldoen als je niet eerst nadenkt
over 'oké, en wat doet het met de digitale leefomgeving?'
Dus eigenlijk moet je heel vaak een DPIA doen
maar ook weer niet te vaak en dat is ook een dilemma.
Doe je niet te veel? Gemeenten hebben 1600 processen.
Moet je 1600 DPIA's doen? Dan ben je nog wel even bezig.
ROBIN: Volgens mij, als ik m'n gut feeling zou moeten volgen
als je het gevoel hebt 'dit wordt een ingewikkeld verhaal, hier zijn risico's'
dan wil je even die assessment doen.
-SERGEJ: Ja.
SERGEJ: En de assessment kan op de achterkant van een bierviltje
maar dat kan ook in een rapport van 40.000 euro en 40 pagina's.
ROBIN: Wat is de rol van de FG bij de totstandkoming van zo'n DPIA?
Of krijgt hij of zij hem uiteindelijk op zijn of haar bureau?
SERGEJ: Meteen goed om te vermelden dat de FG nooit zelf de DPIA mag doen.
ROBIN: Precies.
-SERGEJ: Hij moet erover adviseren.
SERGEJ: Dus er staat ook in de AVG:
stap naar de FG als je denkt dat het nodig is.
Je gaat aan de slag met een DPIA en dan kan de FG je op weg helpen.
En tegelijkertijd, als die klaar is
dan zou je eigenlijk weer naar de FG toe kunnen stappen om te vragen:
En wat vind je ervan? Is hij nou goed?
ROBIN: Marie-José, toch nog even door hier, om even neer zetten
waar hebben we het over, wat is nou de juridische status van zo'n stuk?
MARIE-JOSÉ: Nou, best wel een belangrijke.
In sommige gevallen is het verplicht om er een uit te voeren
dus daar worden we ook al geholpen door de Autoriteit Persoonsgegevens.
Die heeft een lijst opgesteld van 17 voorbeelden
waar je precies kan lezen op welke soort verwerkingen dit verplicht is.
ROBIN: Kun je wat voorbeelden noemen?
-MARIE-JOSÉ: Ja, zeker.
MARIE-JOSÉ: Het gaat bijna altijd om grootschalige verwerkingen
met een gevoelige component, dus profiling, geautomatiseerde besluitvorming
cameratoezicht, bijzondere persoonsgegevens, biometrie
nieuwe technologieën, dus waar je eigenlijk al van verre aan ziet komen:
wow, nu gaan er wel echt risico's voor de impact van die betrokkenen ontstaan.
ROBIN: En de juridische status, wat voor rechten kun je aan zo'n ding ontlenen?
Of wat betekent dat ding juridisch dan verder nog?
MARIE-JOSÉ: Naast dat het verplicht is
en je dus gewoon een boete kan krijgen als je 'm niet uitvoert, dat is één
denk ik ook dat je vooral de kansen moet benutten.
Dus in plaats van dat je er een moetje van maakt
want 'juridische status, het is verplicht, we moeten dat doen'
maak er ook in die zin zodanig gebruik van dat je de voordelen eruit haalt.
Want het is een ontwerptool, wat Sergej ook al aangaf.
Dus, ja, zonder goede bouwtekening eigenlijk geen goed product.
Dus dat is vaak ook wel wat wordt onderschat.
Het wordt als een verplichte invuloefening gezien.
ROBIN: Ja, want daar gaat het hier over, hè?
Zonder goede bouwtekening... Oké, Sergej.
Jouw organisatie of één van de organisaties waar je FG bij bent
wil iets doen met gegevensverwerking en die voldoen dus aan een van die 17...
En jij krijgt zo'n DPIA voor je neus en je zit dat ding te bekijken en denkt:
jeetje, wat een flutstuk.
Wat is dan het dilemma... ROBIN LACHT
Ik zou gewoon zeggen: Terug naar de tekentafel met dat ding.
SERGEJ: Ja, maar 't heeft ook te maken met de tijd en de energie die erin zit.
Ik bedoel, laat het even waar zijn, ik zei: Het kan een rapport zijn van 40.000 euro.
Nou, er zijn mensen voor 40.000 euro aan de slag gegaan
en die komen dus met iets waarvan ik eigenlijk moet zeggen: Zonde van je geld.
En mijn dilemma is ook: hoe reageer ik daar dan op?
ROBIN: Ja, want ze willen ook iets doen, de organisatie heeft ook een plan
ze willen iets met die gegevens gaan doen, dus er is een belang.
Er zijn misschien strategieën ontwikkeld en dan ligt er een DPIA
en dan zeg je niet zomaar als FG: Terug naar de tekentafel.
Want je wil ook de organisatie helpen om dat plan te verwezenlijken. Zoiets.
SERGEJ: Marie-José zei het heel goed, het is geen invuloefening.
Heel veel mensen denken dat het een rapport is dat je moet hebben.
Nee, het is een denkproces.
Het is een gesprek dat je met elkaar voert over...
Ik kom altijd met hele flauwe voorbeelden, maar het helpt...
ROBIN: Hoe flauwer, hoe beter.
-SERGEJ: Oké.
SERGEJ: Eigenlijk zeg ik: Een DPIA is in feite een plan dat je bedenkt
om veilig aan het maatschappelijk verkeer te kunnen deelnemen.
Dus je gaat als het ware met een auto de weg op
maar ja, wat zou er fout kunnen gaan als je de weg op gaat?
Wat dacht je, bij winterweer, dat je gaat slippen?
Dat je iemand van het trottoir afrijdt, dat heeft dus persoonlijke impact.
ROBIN: Oké, Marie-José, wat kan er allemaal fout gaan aan zo'n stuk?
MARIE-JOSÉ: O, een heleboel. Je kan het als een invuloefening zien
je kan het op het verkeerde proces uitvoeren, dat zie je heel vaak
dat eigenlijk een organisatie-DPIA wordt uitgevoerd.
Dan probeer je eigenlijk veel te veel in één keer te regelen.
Of op een veel te klein ding, je pakt bijvoorbeeld een losse applicatie
of een proces, terwijl je het echt op een hoge-risicoverwerking moet doen.
Ik had vanmiddag ook een gesprek, daar begint het eigenlijk al, hè:
waar voer je 'm op uit, waar hebben we het eigenlijk over?
En dan, wat je ook heel veel ziet
is dat er een hele standaard set aan risico's in worden gezet
en ook een hele standaard set aan maatregelen.
Zo van: nou, dit deden we al, zal hier ook wel goed gaan.
ROBIN: Dan hebben we 'm maar gecoverd of zo.
MARIE-JOSÉ: En dan maak je eigenlijk onvoldoende gebruik van de kansen
om het echt als een denkproces in te zetten.
Dat vind ik wel het grootste risico hiervan.
ROBIN: Nu kan ik me voorstellen, jij bent dus IT- en privacyjurist
je bent FG bij verschillende organisaties
die Sergej Katus is natuurlijk ook een kanon in deze wereld.
Ik kan me voorstellen als jullie dat soort documenten voor je neus krijgen
dat je eerder denkt: dit is niet zo handig, dit is niet zo goed.
Merk je dat je als FG, dat je kennis je eigenlijk een beetje in de weg zit?
Dat andere mensen het zouden accorderen
en jullie zeggen: Dit is gewoon niet goed genoeg, jongens.
MARIE-JOSÉ: Nou ja, die kennis kan je ook juist weer inzetten, hè?
Ik denk dat, als je gewoon op gezette tijden als FG aangehaakt wordt
bij het begin en ergens in het midden en dan aan het einde nog een keer, dan...
ROBIN: Versterk je elkaar.
-MARIE-JOSÉ: Versterk je elkaar.
ROBIN: Wat is jouw ervaring?
-SERGEJ: Ik zeg ook altijd:
aan het begin, in het midden en aan het einde.
Dan hoop je dat ze goed uit de startblokken komen
dan hoop je dat ze halverwege niet zo zijn gedwaald
dat je moet keren uiteindelijk
en aan het eind van de rit zou er een goed product moeten liggen.
En dan kom ik het nog tegen dat het toch weer niet helemaal gelukt is.
ROBIN: Dus dit is al een deel van de oplossing voor dit dilemma.
Wat moet ik als FG als ik zo'n DPIA voor m'n neus heb die niet goed genoeg is.
Eerst even nog concreet, Sergej, kun jij een voorbeeld geven uit je werk
je hebt er misschien wel duizenden inmiddels
waaruit echt bleek: nu zit ik dus hiermee, dit is het dilemma.
SERGEJ: Een van de oorzaken is heel vaak dat een model wordt gehanteerd
van zeer gezaghebbende clubs
alleen wat nou jammer is, is het denkproces wordt niet geprikkeld.
ROBIN: Je bedoelt een model als een soort invuloefening?
SERGEJ: Ja, en ik weet niet of ik nou iets heel schrikbarends zeg
maar een van m'n stellingen is dat een grondslagentoets
niet thuishoort in een DPIA. Dan zeg je: Wat is dat nou weer?
Maar nogmaals, het is een Milieueffectentoets
op de digitale leefomgeving, dus ik ga toch weer de toeslagenaffaire erbij halen.
Had je nou maar in die glazen bol van een DPIA aan de voorkant gekeken
'wat ga je nou doen met die data?'
Dan was je erachter gekomen dat je ouders enorm
als je zomaar begint terug te vorderen in de penarie helpt.
Kijk, dat is waar een DPIA, als het goed is, zicht op geeft.
Dus dan kijk je in de AVG: wat kunnen we eraan doen?
Moeten we misschien werken met informatiekwaliteit?
Moet er menselijke tussenkomst komen?
Dat zijn allemaal maatregelen die in de AVG worden aangereikt.
ROBIN: Ben je het hiermee eens, Marie-José?
MARIE-JOSÉ: Nou, ja, ik kom dat nog weleens tegen
dat ook de grondslag nog wel bediscussieerd moet worden.
Dus dat kan, helemaal als je je doel gaat veranderen.
Dat is namelijk ook een situatie waarin je een DPIA moet doen.
Ik heb een bepaalde verwerking met een bepaald doel
en ineens denk ik: hé, maar dit is ook wel interessant
om voor wat anders te gebruiken. De spreekwoordelijke function creep.
Is een risico voor de betrokkenen en dan moet je wel ook gaan kijken
of dat doel, of daar ook een grondslag voor bestaat.
Ja, en zo niet, dan houdt het op.
-SERGEJ: Ja, ik snap wat je zegt
en dan zie je eigenlijk...
Even nog voor de goede orde, een DPIA is een denkproces.
Ja, oké, maar het is een denkproces in vier stappen.
ROBIN: Ik vind het wel lekker dat jij jezelf steeds interviewt.
LACHEND: Nee, sorry, is flauw.
-SERGEJ: Wat ik bedoel te zeggen:
wat moet je nou doen in een DPIA? De eerste stap in een denkproces is:
Beschrijf nou wat je doet. En dat is het proces en de ICT die erbij hoort.
De tweede stap is: ja maar, wat is nou de informatie
wat moet je weten om dat proces goed te kunnen doen?
Wat is de noodzaak en evenredigheid?
Dus daar kom je erachter dat je naam en adres en BSN nodig hebt
en al dat soort dingen.
-MARIE-JOSÉ: Ook de rechtmatigheid.
MARIE-JOSÉ: Daar toets je ook op.
-SERGEJ: Ja, maar als we...
echt de AVG induiken dan is dat nog...
Want dat zit volgens mij in de derde paragraaf, dat is:
als we daar fouten in maken, kan de rechtmatigheid een probleem zijn.
Dan komen we erachter van... Derde stap is echt praktijkverhalen.
Zo van: dan ga je terugvorderen bij die mensen
en dat is onterecht en dan breng je ze in de penarie.
Dus de derde stap is: mens centraal
en dan moet je met realistische praktijkscenario's...
Niet denken van: ja, maar als de Russen hier binnenvallen
en we worden gehackt... Want hoe waarschijnlijk is dat?
Dat staat ook echt in de AVG, dus wees realistisch
en dan de vierde stap is: oké, en wat gaan we daaraan doen?
Denk aan die auto, wat dacht je van winterbanden, van strooizout
van een slipcursus, dat zijn de beheersmaatregelen.
Die zijn heel praktisch, heel concreet.
En dat zijn de kwaliteitseisen waarmee je tot een verantwoorde aanpak kan komen.
ROBIN: Ik wil even terug naar het dilemma. Marie-José, kun jij een voorbeeld geven
dat je echt dacht: ja, dit is eigenlijk niet zo goed
maar wat ga ik nou doen?
Ga ik 'm terugsturen naar de tekentafel of kunnen we hier nog wat mee?
Ja, dit is er weer zo eentje.
MARIE-JOSÉ: Ja, en een DPIA is ook nooit af, hè.
Dus wat dat betreft is het een iteratief proces.
En ook al is hij dan klaar
je moet ook de doeltreffendheid van wat je hebt bedacht gaan toetsen.
Dus hij moet ook weer een keer terugkomen.
Er zijn altijd nog kansen om verbeteringen toe te voegen.
Maar wat ik zelf ook wel vrij stevig merk
is dat die maatregelen vaak uit de beveiliging worden gehaald.
Vandaar dat ik wel even getriggerd werd op die rechtmatigheid.
En ik vind privacymaatregelen toch wel wat anders dan beveiligingsmaatregelen.
Dat is een heel ander systeem.
Niet dat je dat niet kunt gebruiken, maar het zijn wel twee verschillende dingen.
Bij een DPIA toets je op de impact op de betrokkenen
en bij een risico-inventarisatie kijk je vooral naar de veiligheidsaspecten.
ROBIN: Dat zijn twee verschillende documenten.
MARIE-JOSÉ: Ja, en ik denk dat ze elkaar goed kunnen versterken
maar je moet niet denken dat je met een DPIA een risico-inventarisatie doet.
Dat gebeurt ook nog wel heel veel.
ROBIN: Ja?
-SERGEJ: Ja, heel herkenbaar.
SERGEJ: Ik zeg winterbanden, strooizout en slipcursus, maar de winterbanden
dat is misschien iets waar de CISO van de organisatie veel verstand van heeft
maar de slipcursus, dat is iets wat cultureel is
en gaat over training en bewustwording en dat soort zaken.
Trouwens, ik vind het ook wel goed om te benadrukken
we denken altijd in risico, maar impact is een heel neutraal woord.
Je kunt ook positieve impact hebben.
-ROBIN: Dat mag ook gerust erin staan?
SERGEJ: Ja, dan zeg je eigenlijk: Wat zijn de goede dingen die 't oplevert?
Dat je mensen geld wat ze terug zouden kunnen krijgen of zo, dat ze dat krijgen.
Maar wat kan er mis gaan? Bijvoorbeeld dat ze het geld niet krijgen
waar ze recht op hebben, of dat je gaat terugvorderen
dat je ze dus eigenlijk verkeerd gaat behandelen.
Eigenlijk zit je heel snel meer in de kafkaëske toestanden
die je wil voorkomen dan dat het een privacy iets is.
ROBIN: Oké, de oplossingen. Ik hoor jullie eigenlijk al zeggen allebei
jullie waren dat met elkaar eens: je moet aan de voorkant erbij zijn
je moet halverwege even je snufferd laten zien en aan het einde.
Dus je moet eigenlijk meer betrokkenheid hebben
bij de totstandkoming van het document eigenlijk, hè?
Oké, dan houd je een beetje overzicht.
Maar dan zijn er volgens mij twee scenario's die kunnen plaatsvinden.
Of je krijgt uiteindelijk zo'n stuk op je bureau
en je denkt: terug naar de tekentafel.
Nou, op een of andere manier moet je dat doen
en dat moet misschien op een diplomatieke manier
zodat je iedereen meekrijgt.
Of je denkt: oké, hier valt nog wel wat van te maken.
Dat je zegt: Oké, ik ga je een beetje supporten.
Is dat eerste scenario, dat dat ding terug naar de tekentafel...
Wanneer doe je dat?
Dat is misschien een beetje abstract, maar wanneer is het echt te slecht
om door te gaan, dat je zegt 'nu moet hij terug', en hoe doe je dat dan?
SERGEJ: Nou, eerlijk gezegd heeft dat ook te maken met de organisatie zelf
en hun volwassenheid erin.
Dus ik ben eigenlijk al heel blij dat ze een DPIA doen
ook al vind ik 'm misschien heel slecht.
Maar dat ga ik niet te hard roepen, dan ga ik zeggen...
Iteratief zei jij al, hè? Dan zeg ik: Nou, voor nu heel goed
maar volgend jaar, dan zou ik zeggen doe dan opnieuw
en dan heb ik de volgende tips voor je.
-ROBIN: Aah, oké.
SERGEJ: Als dat nou een vrij snel gemaakte DPIA is
waarbij een formuliertje is ingevuld dat van internet is geplukt
die kan vrij makkelijk terug naar de tekentafel.
ROBIN: Dus je bent pragmatisch, hoeveel energie zit erin, hoeveel geld
wat zijn de belangen, hoe groot is eigenlijk het project?
En de ene keer denk je: nou, hier kan ik wel mee door.
Nu hebben ze zich er makkelijk van af gemaakt met zo'n invuloefeningetje.
SERGEJ: En, kijk, dat zijn ook weldenkende mensen
die daar tijd en energie in steken, dus als ik hen ga vertellen dat ze het fout doen
dan beschadig ik ze op een of andere manier, dan hebben ze een slechte naam.
Dus hoe kun je op een of andere manier die mensen helpen, coachen
en samen met de organisatie zeggen: We moeten wel naar een hoger niveau.
ROBIN: Wat is jouw houding, Marie-José?
-Nou, ik ben wel een stukje strenger.
ROBIN: Jij stuurt ze gewoon terug naar de tekentafel.
MARIE-JOSÉ: Dat niet alleen, ik kijk ook vooral:
kan ik inschatten wat het risico is als deze verwerking doorgaat
zonder dat we aan de knoppen hebben gedraaid?
Want het is een ontwerptool.
Dus hoe groot is de kans dat er door deze slechte DPIA
straks een verwerking start waar eigenlijk het hoge risico hoog is gebleven?
Of je kunt hem gewoon niet goed toetsen.
Ja, en dan zal er toch... Ik heb het in m'n praktijk echt weleens meegemaakt
en dan gaat er toch een voet op de rem totdat...
ROBIN: Een voet op de rem of gewoon opnieuw beginnen?
MARIE-JOSÉ: Dat is vaak hetzelfde.
Want het grootste probleem is misschien niet goed uitvoeren
maar het grootste probleem is misschien dat we te laat worden betrokken
en dat ze zeggen 'controleer 'm nog maar even' op vrijdagmiddag
en morgenochtend gaat hij live.
Ja, dan heb je natuurlijk ook gewoon helemaal geen kans meer.
ROBIN: Oké, maar je zit dus als FG met zo'n situatie.
Je hebt een zekere mate van loyaliteit naar de opdrachtgever
en je bent ook de waakhond in zekere zin.
-MARIE-JOSÉ: Zeker.
ROBIN: Wat is dan je advies aan FG's die hiermee te maken krijgen?
Want jij bent natuurlijk een tijger, weet je wel, en jij durft het
maar ik kan me voorstellen dat niet iedereen dat zomaar durft.
Hoe pak je zoiets nou aan?
MARIE-JOSÉ: Ja, toch wel zo snel mogelijk aan de stakeholders uitleggen
waar het aan schort en dan natuurlijk absoluut in de meewerkmodus.
Ik denk dat het heel schadelijk gaat werken als je zegt van: Stop en doe het opnieuw.
Dan ga je toch wel even in de meewerkmodus
en heel erg proberen te kijken of je boven tafel krijgt
wat er boven tafel moet komen om toch...
Misschien is hij gewoon niet goed ingevuld en valt het eigenlijk wel mee.
Maar wat we moeten voorkomen is dat we met een situatie te maken krijgen
die je bijna niet meer teruggedraaid krijgt.
En daar is het hele middel ook voor bedoeld, je wil privacyproof
je wil geen roet in de ether, dus dan moeten we dat ook niet gaan doen.
Ik heb het helaas een keer meegemaakt, te laat betrokken
we zaten voor livegang en 'kijk ook nog maar even mee'
en ik dacht: o my god, dit gaat niet goedkomen zo.
Dan moet je toch stoppen.
ROBIN: Sergej, tot slot, jij nog wat concrete handvatten
voor mensen die hiermee worstelen?
Je zei net eigenlijk 'benader ze als een klein kind.'
Nu, voor deze keer mag het nog, maar de volgende keer moet het anders.
Ik zeg het een beetje badinerend nu.
-SERGEJ: Het hangt ervan af.
SERGEJ: Ik denk dat het ook goed is, hebben we het over een DPIA
op een bestaand proces? Je kunt niet even de salarisuitbetaling stopzetten.
Als dat de impact zou zijn van jouw interventie.
Of zijn we bezig met iets nieuws bedenken met enorme risico's?
Nou, dan zou ik ook meteen aan de rem trekken.
Dus de tip is vooral: vaar niet al te blind op modellen die je van internet downloadt.
Hoe gezaghebbend het ook is. Begrijp nou de functie ervan.
En de functie ervan is nadenken over 'wat zijn we nou aan het doen?'
En wat is daarvan de maatschappelijke impact
als we dat zonder maatregelen doen?
En dat is een gewetensvraag die je stelt met elkaar.
Als je dat proces in die vier stappen met heel veel gezond verstand doorloopt
en, nog een heel belangrijke tip, ook vooral in gesprek met je doelgroepen
dus ga met je mensen in gesprek.
ROBIN: Dan nog één vraag voor jou, Marie-José:
maakt het nog wat uit of je nou als FG bij een commerciëlere organisatie zit
of dat je bij een overheidsorganisatie zit?
Zie jij nog verschillen in houding?
Of dat het misschien net wat makkelijker is als je voor de overheid werkt
om maar opnieuw te beginnen? Ik kan me voorstellen dat dat makkelijker is.
MARIE-JOSÉ: Wat ik wel zie is dat bij de overheid het vaak om angst
om in de publieke opinie terecht te komen, we doen iets...
Dat is echt een veelvoorkomend geval en dan wordt er naar de DPIA gekeken
en dan is die niet uitgevoerd en dan heb je een publiek probleem.
En bij commerciëlen moet je echt soms gewoon wel stevig in je schoenen staan.
ROBIN: Je voelt dan echt de druk, het gaat hier om knaken...
MARIE-JOSÉ: Innovatie, we willen door en niet te veel last hebben van die privacy
terwijl, ja, het eigenlijk een supermooi middel is om ook de kansen te benutten.
Dat wil ik toch wel even gezegd hebben.
Maar dan moet je wel op tijd aan de bel trekken
en dan wordt het echt een heel tof proces
en heb je aan het einde niet dat probleem dat er aan remmen wordt getrokken
want dat hoeft echt niet.
Als je dat gewoon goed inricht, dan kom je daar echt wel uit.
ROBIN: Het kan gewoon een tof proces zijn.
ROBIN ZUCHT: Gelukkig.
Dank jullie wel, Sergej Katus en Marie-José Bonthuis.
Luister ook de andere aflevering van Privacy in de praktijk terug.
Ga hiervoor naar cip-overheid.nl/uitgelicht.

Privacy en bestuurder, liever de wortel of de stok?

De vierde aflevering is gewijd aan het bereiken van bestuurders over privacyonderwerpen. Hoe doe je dat, met de wortel of met de stok? In gesprek over dit onderwerp zijn Hatiçe Dogan (FG bij de Sociale Verzekeringsbank) en Marjolein Louwerse (senior inspecteur bij de Autoriteit Persoonsgegevens), wederom onder leiding van host Robin Rotman. 

Privacy in de praktijk 4: Privacy en bestuurder, liever de wortel of de stok?

LEVENDIGE MUZIEK

DOGAN: Hoe benader je de bestuurder, met de wortel of de stok?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en namens het Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere privacydeskundigen de dilemma's die deze FG's hebben.
Vandaag te gast Hatice Dogan, zij is FG bij de Sociale Verzekeringsbank.
Jij bent de vrouw van het dilemma, leuk dat je er bent.
En Marjolein Louwerse,
senior inspecteur systeemtoezicht bij de Autoriteit Persoonsgegevens.
Zeg ik dat goed? LOUWERSE: Ja, klopt.
ROTMAN: Hatice, dat dilemma, hoe benader je die bestuurder,
met de wortel of de stok? Gaan we streng voor ze zijn,
of gaan we lief voor ze zijn?
Licht even toe waarom dat 'n belangrijk punt is om als FG over na te denken.
DOGAN: Ik zou het eigenlijk niet zo sterk stellen.
Ik zou dan zeggen: ga in gesprek met je bestuurder,
want die heeft een bepaalde visie en die wil iets.
Wat maakt dat ze dat op deze manier, zoals zij dat voor ogen hebben, willen?
En wat kan ik voor hen daarin betekenen?
De belemmeringen die zij dan zien of die ik dan zie.
Hoe kan ik dat bespreekbaar maken om tot een oplossing te komen?
ROTMAN: Maar merk je bij jezelf of bij jouw collega-FG's
dat het af en toe moeilijk is om je positie te bepalen?
Ik kan me namelijk voorstellen dat je als FG misschien de ene keer denkt:
Misschien sta ik wat meer aan de kant van de klant.
De andere keer sta je misschien aan de kant van de werknemer, van de collega's
en soms moet je met het bestuur sparren.
Ik kan me voorstellen dat je je soms gemangeld voelt
tussen de verschillende belangen.
DOGAN: Ja, het is zeker heel moeilijk, dat kan ik wel beamen.
Het is wel een eenzaam bestaan.
ROTMAN: Is het zo'n eenzaam bestaan?
-Het is een eenzaam bestaan.
Enerzijds ben je voor de belangen van de betrokkenen
om wiens gegevens dat gaat.
En anderzijds ben je in dienst van de organisatie, je bent onafhankelijk.
Ik zeg altijd: ik zit met één been bij de AP.
Dus je zit wel een soort van in een spagaat.
Dus je moet wel weten hoe je de verschillende belangen kunt afwegen
en daarover in gesprek kunt gaan.
ROTMAN: Is die spagaat herkenbaar, Marjolein?
Merk jij dat FG's in het veld vaker: 'nu moet ik kijken, waar zit ik eigenlijk?'
LOUWERSE: Ja, absoluut. We krijgen heel veel vragen.
Zo ook deze vraag van Hatice: hoe krijg ik nu eigenlijk m'n bestuurder mee?
Is het nou handiger om te verwijzen naar:
als je het niet doet, dan overtreed je de AVG
en voordat je het weet heb je een boete aan je broek hangen.
Of is het fijner om uit te leggen waarom het belangrijk is
om aan de AVG te voldoen
en op die manier te proberen je bestuurder mee te krijgen?
Ja, ik kan daar natuurlijk niet heel goed op adviseren,
want ik weet niet wat voor welke bestuurder het beste werkt.
Maar ik vind het wel heel leuk om te zien dat FG's gaandeweg
al heel erg hun weg hebben gevonden van wat in hun organisatie
en bij hun bestuurder het beste werkt en daarop aan te sluiten.
ROTMAN: Maar Hatice, is het nou dat de FG zich afvraagt:
hoe krijg ik de bestuurder mee?
Het moet toch zijn dat die bestuurder denkt:
hé man, hoe krijg ik die FG eigenlijk mee?
Dat is belangrijker, dus zullen ze bij alle plannen die ze hebben
die mogelijk iets met privacy te maken hebben, jou mee moeten krijgen, toch?
Jij bent de sheriff, jij bent de privacybewaker toch?
Dat lijkt mij wel lekker, die positie.
HATICE: Ja, het is... Ik werk bij de Sociale Verzekeringsbank.
Het is een grote organisatie en de processen zijn ingericht.
Het is allemaal wel op papier.
Aan de andere kant zijn het mensen die dat moeten doen.
En soms wordt dat door de waan van de dag
en de snelheid en de politieke wil en de wil om te helpen,
vanuit de gedachte van zorgplicht, wordt er wel snel gehandeld.
In dat geval wordt de FG soms weleens over het hoofd gezien.
En dan moet het wel achteraf hersteld worden.
Of dat de FG komt van...
de zienswijze doorgeeft van: ja, het had anders gekund.
Hoe kunnen wij in de toekomst ervoor zorgen dat de FG wordt meegenomen?
ROTMAN: En dan moet je opstaan.
Dan moet jij dus... hoe stel jij je dan op?
Ben jij dan een tijger die zegt: ho ho, jongens, halt?
HATICE: Ja, ik probeer dat toch wel op een diplomatieke manier te doen.
Want om nou te gaan zeggen van: halt, ho ho, je doet het niet goed.
Nee. Wat is er precies fout gegaan?
Ik probeer echt wel in gesprek te gaan.
Soms zelfs stapsgewijs, maar soms direct met de voorzitter.
Door een mail te sturen en aan te geven dat ik het toch anders zie
en om daarover met mij in gesprek te gaan.
En soms via een directeur, omdat vaak een FG gekoppeld is aan de directie.
En ik merk wel dat ze dat wel fijn vinden om op die manier in gesprek te gaan.
ROTMAN: Ja, oké, Marjolein, nu hoor ik Hatice zeggen dat ze diplomatiek is.
Ze maakt op mij een vrij onafhankelijke indruk.
Ze laat zich niet in de luren leggen door mijn grote waffel.
Dus volgens mij kan ze dat hartstikke goed.
Ik hoorde haar ook eerder zeggen: ik sta met één been een beetje bij de AP.
Dus zij leunt ook een beetje op jullie kennelijk.
Ik kan me voorstellen dat AP weleens als een soort vijand wordt gezien.
Wat is jouw ervaring wel? Hoe benaderen ze jullie eigenlijk?
LOUWERSE: Dat is een hartstikke nieuw en leuk thema eigenlijk hè.
Want de FG's zijn een soort van nieuwe beroepsgroep.
Nu drie jaar aan het zoeken naar hun rol.
Van een accountant weet iedereen wat je kunt verwachten.
Als je een rekening hebt die niet klopt, durf je niet te vragen:
nou, wil je 'm toch even tekenen?
Bij FG's is dat nog eventjes afwachten.
En ik hoorde je zeggen, Robin: de FG is een soort sheriff.
ROTMAN: Zo zie ik ze zelf graag, maar misschien zit ik er helemaal naast.
LOUWERSE: Ik vind 't op zich 'n leuke... ROTMAN: Een privacy sheriff.
LOUWERSE: Ja, ja, het klinkt wel stoer, maar wat lastig daarvan is,
is dat als je zorgt dat de sheriff het niet ziet, je dan ook geen probleem hebt.
Ik denk dat dat nou juist datgene is wat we niet moeten hebben met een FG.
Want een FG is de interne toezichthouder
en is er juist voor de bestuurder en voor de organisatie.
Dus je moet juist als bestuurder willen
dat je gewaarschuwd wordt door de FG als er iets aan de hand is.
En ik ben dus ook wel heel benieuwd hoe Hatice ervoor zorgt
dat de bestuurder met haar durft te spreken over alles wat er gebeurt
om ook gebruik te kunnen maken van haar advies.
ROTMAN: We hebben een casus, Hatice.
Neem ons even mee hoe dat in de praktijk gaat.
Wat Marjolein nu net zegt.
Hoe gaat dat? Bijvoorbeeld die casus, we hebben elkaar eerder gesproken,
over de bijstand die je kan ontvangen bij de AOW?
Potentieel een gevalletje dat je als burger een mazzeltje hebt.
Wat was dat? Zet die casus even neer alsjeblieft.
DOGAN: Het is zo dat je voor de Algemene Ouderdomswet, AOW,
verzekerd moet zijn om AOW te kunnen ontvangen
wanneer je de pensioengerechtigde leeftijd bereikt.
De verzekering is gebaseerd op ingezetenschap.
Dus als je in Nederland een x-aantal jaren hebt gewoond
dan heb jij de volledige AOW.
Als je niet gedurende de verzekerings- periode in Nederland hebt gewoond,
dan ontstaat er een gat in je arbeid, dus dan heb je er niet de volledige AOW.
Daarvoor is de aanvullende bijstand in het leven geroepen.
En de SVB voert die aanvullende bijstand uit.
En voor de AIO, kortgezegd, de aanvullende bijstand,
heb je een inkomenstoets. De mensen moeten dat zelf aanvragen.
Vaak komt het voor dat er niet wordt aangevraagd.
En SVB wil het juist stimuleren dat mensen dat aanvragen
en die mensen in beeld krijgen.
Daarvoor hebben ze bedacht: Om de mensen in beeld te krijgen
kunnen we het bestand koppelen met de polisadministratie van het UWV
om te achterhalen welke mensen een inkomenstekort hebben.
ROTMAN: Een linkje leggen tussen de bestanden van de SVB en tussen de...
En daar zit de privacy, iets van: mag dat wel, denk ik?
HATICE: Juist, ja. Want wat er dan speelt...
je krijgt veel meer gegevens van veel meer mensen dan noodzakelijk is.
Daar is geen wettelijke grondslag voor.
Dus de vraag is: hoe kun je ervoor zorgen
dat je alsnog door die bestandskoppeling de juiste mensen in beeld krijgt
om hen te benaderen om een AIO-aanvraag te kunnen doen?
ROTMAN: Dit is mooi, wacht. Ik wil dat beeld schetsen. Nu hebben ze bedacht...
Ze hebben dit bedacht bij de SVB:
'We kunnen mensen helpen, ze kunnen wat extra geld krijgen,
ze vergeten het aan te vragen, ze weten niet eens dat die regeling bestaat.
We gaan die bestanden koppelen.'
Tijdens een vergadering roept iemand dat eens een keertje, zie ik zo voor me.
Wanneer kom jij in beeld? Ben jij daarbij bij zo'n vergadering?
Of word je er later bij geroepen Waar zit jij?
DOGAN: Ik word om advies gevraagd, dus het komt wel langs mij:
'Ja, we hebben het idee om de bestanden te koppelen.
Want wij als SVB vinden dat wij zorgplicht hebben
om mensen het recht te geven waar ze recht op hebben.'
Natuurlijk een hele goeie gedachte. 'En mag dat?'
Het eerste wat bij mij dan opkomt:
het is wel heel goed. Hoe ziet het eruit?
Welke risico's zijn er verbonden aan de bestandskoppeling?
Hebben wij een wettelijke grondslag? Dat zijn allemaal vragen die ik dan stel
en adviseer om een privacy impact assessment uit te voeren.
Dat wordt dan gedaan.
En de uitkomst is dat dat eigenlijk niet kan
op de manier zoals zij voor ogen hebben.
ROTMAN: Wat was dan het belangrijkste bezwaar?
DOGAN: Dat er inderdaad geen wettelijke grondslag is.
En dat je niet voldoet aan de proportionele tijdseis.
ROTMAN: Dus het is disproportioneel en geen wettelijke grondslag.
Dan zeg jij: jongens, leuk, lief bedacht. Maar dit is privacytechnisch niet handig.
Oké, Marjolein, dat is toch een beetje wrang of zo toch?
LOUWERSE: Ja, maar ook wel heel mooi dat de FG hiervoor gebruikt wordt
om precies die afweging te helpen maken.
Het is uiteindelijk aan de organisatie om te beslissen
of ze hier wel of niet mee doorgaan.
Zelfs al zegt Hatice: het mag niet, volgens mij moeten jullie naar links.
Dan mag de baas van de SVB toch nog zeggen:
nou, en toch gaan we naar rechts.
Dat is ook het fijne van FG zijn.
Je bent toezichthouder en adviseur, maar niet eindverantwoordelijke.
Je ziet er wel op toe dat, wat juristen het prop up-verhaal noemen,
wordt gedaan: is het noodzakelijk dat deze verwerking er is?
Kan het niet op een andere manier?
En is er een grondslag voor? Het begint eigenlijk met een grondslag.
Jouw advies ziet erop toe:
organisatie, kijk hiernaar. Volgens mij kan het niet.
Dat was jouw uiteindelijke advies.
ROTMAN: Maar goed, de uitkomst kan natuurlijk niet zijn:
dan krijgen mensen niet het geld waar ze recht op hebben.
Dus ik neem aan dat jullie dan om de tafel gaan en gaan bekijken van:
oké, we hebben een wens om wat dienender te zijn
naar mensen die het geld niet krijgen waar ze recht op hebben.
Er zijn twee blokkades, namelijk ten eerste, het is disproportioneel.
Ten tweede, er is geen wettelijke grondslag. Dat zeg jij.
En in plaats van dat jullie zeggen: dan gaat de regeling van tafel...
Wat gebeurt er dan? Oplossen die hap?
DOGAN: Nou ja, ik probeer toch wel mee te denken met de oplossing,
naar een oplossing te zoeken, want ik vind dat toch wel een heel nobel doel
om juist die mensen te kunnen benaderen.
Maar is dat de juiste manier?
Mijn uiteindelijke advies was toch: ja, technische ontwikkelingen gaan zo snel.
Misschien is er wel een manier om techniek zodanig in te zetten
dat je de gegevens die je niet nodig hebt zodanig anonimiseert
dat je alleen de gegevens krijgt waardoor het minder disproportioneel is.
ROTMAN: Dat is één, de disproportionaliteit.
De wettelijke grondslag betekent dat er in de Tweede Kamer gestemd moet zijn?
DOGAN: Het is richting het ministerie gegaan
om een wettelijke grondslag te creëren.
Er is de politiek gevraagd om hier aandacht voor te geven.
ROTMAN: En dat is gelukt?
Of is dat nog in motion, is dat nog in ontwikkeling?
DOGAN: Dat is nog niet helemaal gelukt, maar ze zijn ermee bezig.
Dus er is wel actie ondernomen.
ROTMAN: Oké, dus straks gaat dit toch lukken kennelijk,
maar dan op een proportionele manier en met een wettelijke grondslag.
DOGAN: Hopelijk.
-Iedereen winner.
Ik snap natuurlijk heus wel waarom dit belangrijk is,
want het gaat om een glijdende schaal.
Nu gaat het om: je wil iets goed doen voor mensen met rechten ergens op.
En dan kan je wel zeggen: ja, dan laten we het los en dan doen we het gewoon.
Maar je moet natuurlijk principieel zijn. Want als je het nu doet...
Je kan niet te pas en te onpas maar gaan shoppen en denken:
nu kunnen we de privacy wel een beetje schenden, want nu is het goed.
Of is dat het dilemma waar je dan mee zit?
DOGAN: Jazeker, want de gedachte is dat je een zorgplicht hebt
om mensen te geven waar ze recht op hebben.
Aan de andere kant heb je natuurlijk ook de zorgplicht
voor de gegevens die je in huis hebt gehaald
en dat je die op de juiste manier gebruikt of verwerkt.
Die zorgplicht, wat vanuit beide kanten is,
moet niet met elkaar in conflict komen.
Dus ik bekijk het zeker vanuit beide kanten. Dat dat ook meegenomen wordt.
ROTMAN: Marjolein, dit is waar het over gaat, de wortel of de stok.
Hoe verhoud je je tot de belanghebbenden?
Je moet je dus kennelijk onafhankelijk opstellen.
En je moet ook een beetje diplomatiek zijn.
En je moet wel het belang van de privacy, dat gaat dan toch wel v...
Je moet wel streng zijn, je moet het wel durven.
Dat is niet makkelijk.
-Nee, dat lijkt me zeker niet makkelijk.
En ik vraag me ook af wat zou jij zelf doen, Hatice,
als doorgewinterde FG op het moment dat een bestuurder
je adviezen in de wind blijft slaan. Wat doe je dan?
DOGAN: Ja, dat is wel een moeilijke.
En ook daarvan heb ik het idee dat het goed is
om met de bestuurder in gesprek te gaan. Dus ik ga wel het gesprek aan.
Dan meer vanuit het opzicht...
Als bestuurder hebben ze natuurlijk een organisatie te runnen
en ze hebben met allerlei dingen rekening te houden.
En het is niet alleen het privacy-onderdeel.
Ik ga het gesprek zodanig aan:
Wat maakt dat nou dat dat aspect niet meegenomen wordt?
En hoe kan ik ervoor zorgen dat dat in de toekomst wel van belang is?
Dat gesprek ga ik wel aan en dat wordt ook wel gewaardeerd.
ROTMAN: Oké, dus als we 'm dus beantwoorden dit dilemma,
de wortel of de stok, is het geen van beide,
gewoon onafhankelijk diplomatiek het gesprek aan blijven gaan
en dat gewoon net zo lang volhouden tot het opgelost is eigenlijk.
DOGAN: Ja, inderdaad. ROTMAN: Dank je wel,
Hatice Dogan, FG bij de Sociale Verzekeringsbank.
Marjolein Louwerse van de Autoriteit Persoonsgegevens.
Luister de afleveringen van Privacy in de Praktijk terug
en ga hiervoor naar cip-overheid.nl/uitgelicht.

LEVENDIGE MUZIEK EINDIGT

FG verantwoordelijk voor de hele keten. Feit of fictie?

In aflevering vijf praten Mabel de Vries (FG bij diverse organisaties) en Bart Schermer (privacydocent en mede-oprichter van Considerati) over de grenzen van een FG in samenwerkende ketens. Wie is nu waarvoor verantwoordelijk? 

Privacy in de praktijk 5: FG verantwoordelijk voor de hele keten. Feit of fictie?

Ik ben als FG niet verantwoordelijk voor de hele keten.
Feit of fictie?
Welkom bij 'Privacy in de praktijk'. Ik ben Robin Rotman. In deze podcast
van het Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
En vandaag mag ik dat doen met Mabel de Vries,
zij wordt als externe FG ingevlogen bij verschillende organisaties,
en Bart Schermer, partner en oprichter van Considerati.
Considerati, wat is dat?
-Een juridisch adviesbureau
en public affairs-kantoor, gericht op privacy in de digitale wereld.
ROTMAN: Mabel, jij bent FG bij meerdere clubs.
Eerst even, die hele keten...
Kun jij even schetsen waarom het feit dat je als FG
met je organisatie deel uitmaakt van een keten,
dat dat misschien af en toe lastig kan uitpakken?
DE VRIES: Ja, dat kan ik.
Het gaat heel vaak om situaties waarbij je als organisatie gegevens ontvangt
van een andere partij, die je al dan niet verrijkt
en doorgeeft aan de volgende partij.
Daar zijn regels aan gebonden, waar de AVG richtlijnen geeft
en daaraan moet je voldoen.
Dat is blijkbaar niet altijd makkelijk.
ROTMAN: Dus je maakt met jouw organisatie deel uit van een keten.
Aan de ene kant van de keten zit een partij, die levert aan,
daar kan van alles mis gaan, terwijl jij wel je zaakjes wel op orde hebt.
Aan de andere kant stuur jij gegevens eruit
en die ontvanger kan z'n zaken ook niet op orde hebben.
Jij bent dan FG van jouw organisatie, jij hebt je boeltje goed geregeld,
maar je zit wel met partijen aan allebei de kanten waarvan je denkt:
'Hebben jullie het wel geregeld?' En dan kan potentieel lastig zijn voor jou.
Dat is een beetje het dilemma.
-Ik wil toevoegen
dat het niet zo zeer is dat anderen hun zaken niet op orde hebben,
maar dat ze de AVG anders interpreteren dan hij bedoeld is.
Dat is het voordeel, of nadeel, van een 'open norm',
zoals we dat tegenwoordig noemen,
en dat de ontvanger in dit geval vindt dat hij die informatie niet moet krijgen.
En dan vind ik dat het aan ons is als FG,
voor de versturende organisatie, om te zorgen dat je dat goed onderbouwt.
ROTMAN: Bart, hier wordt ie interessant.
Want je kan inderdaad als FG het gevoel hebben...
dat een van die andere partijen de zaakjes niet op orde heeft.
Dat kan iets zijn.
Maar je kan ook een interpretatieverschil hebben.
Is dit herkenbaar?
-Ja, heel herkenbaar.
Organisaties moeten een grondslag hebben om te verstrekken.
De ene partij zegt 'we hebben die grondslag niet'
en de volgende zegt 'die grondslag hebben we wel'.
Zeker als je onderling afhankelijk bent
of samenwerkt, als je dan een meningsverschil hebt
over het wel of niet mogen krijgen of verstrekken van gegevens,
dan wordt die samenwerking heel lastig.
ROTMAN: Wat is voor een FG potentieel ingewikkelder?
Het interpretatieverschil, of als je het gevoel hebt
'wat zij doen klopt gewoon echt niet'?
Of is het hetzelfde probleem?
SCHERMER: Hetzelfde probleem. Als jij als FG interpreteert:
deze partij heeft geen grondslag om aan ons te verstrekken...
of: wij hebben geen grondslag om bepaalde gegevens te krijgen,
een partij verstrekt misschien te veel gegevens aan je,
dan moet je daar als FG stelling in nemen
en als volgens de wet helder is dat iets niet mag,
moet je dat gewoon mededelen.
Maar als het een verschil van interpretatie is,
kun je heel veel discussie hebben. Ook intern.
Want als jouw organisatie wel heel graag die gegevens wil hebben...
maar jij vindt als FG dat je ze niet mag hebben als organisatie,
heb je ook nog intern een discussie.
ROTMAN: Het lijkt me ook lastig, Mabel, als jij je werk heel serieus neemt
en je hebt te maken met een partij waarvan je het gevoel hebt:
'Die zet gewoon vinkjes'. Dat je denkt: Kom op, jongens. Je bent FG.
Komt dat ook weleens voor?
DE VRIES: Ik heb het zelf nog niet meegemaakt,
maar ik weet dat het voorkomt en de sleutel is altijd dialoog.
Dat betekent: Ga met de mensen in gesprek.
Vraag waarom zij het op die manier zien en waarom het afwijkt.
Probeer te komen tot een goede basis waarvan je de overeenstemming hebt:
'Wij gaan voor de grondslag die het beste past.'
Onderbouwd en wel. Als je mensen daarin helpt
en meeneemt waar je vandaan komt en waarom je vindt dat het zo is.
Ik ben ook wel een paar keer aangenaam verrast,
dat er goed is nagedacht over waarom de grondslagen anders zijn.
En dan kom je er ook altijd wel uit.
Maar dat betekent dat je echt gedegen kennis moet hebben over alle,
niet alle, maar de verschillende interpretatiefacetten.
ROTMAN: We praten later over de oplossingen.
Praten is vaak de oplossing, maar hoe dan en met wie dan?
Hebben we het zo over. Eerst: kun jij een casus schetsen
waaruit blijkt dat het inderdaad ingewikkeld kan zijn?
Dat je als FG in een keten zit en denkt: Dit is onhandig allemaal.
DE VRIES: Ik heb wel een voorbeeld.
We zitten hier bij een station en ik zie om de haverklap treinen voorbijrijden.
En het gaat ook over reisbewegingen.
Aan de ene kant moet er een factuurstroom zijn van, in dit geval
De NS of Connexxion, naar degene die de facturen verzamelt
en die moeten weer door naar degene die de dienst heeft afgenomen.
De casus hier is dat degene die de dienst afneemt,
de gebruiker of een bedrijf die dat doorbelast voor haar medewerkers,
op een gegeven moment zei:
'Mijn medewerkers klagen dat er een tijdstip is van reizen, tanken.
Dat vinden ze persoonsgegevens en dat vinden ze niet nodig.'
Ik begrijp dat wel, maar ik ben niet zo van 'niks mag'.
Alles mag, als je het maar goed kunt uitleggen.
En toen zijn we in dialoog gegaan. Ik zei: Je mag het zelf zeggen.
ROTMAN: Dit is een interpretatieverschil.
DE VRIES: Dit is meer dat ze niet heel goed gedegen kennis hadden
van wat je allemaal mag en echt nodig hebt. Doelbinding en grondslag.
In dit geval doelbinding, waarom heb je die gegevens nodig?
Waarom als werkgever, in dit geval, want daar ging het over...
Waarom mag je als werkgever echt wel weten
dat ik om kwart over elf in de trein heb gezeten op kosten van de zaak?
Want daar is een medewerker over gevallen.
En we begrijpen dat zo'n medewerker dat zegt,
maar die roepen heel snel 'privacy'. Ik zeg: Ik wil het wel weghalen.
'Ik wil het er best uithalen. Mijn systemen zijn daar perfect voor in orde,
maar dan krijg jij dus elke maand een factuur voor 84.000 euro
zonder dat je weet wie waar heeft gezeten. Jij mag het zeggen.'
ROTMAN: Oké, en dan zeg je 'praten praten praten'.
DE VRIES: Leg dan uit waarom die gegevens er zijn
en dat het niet is om de medewerker te controleren,
want dat zit er dus achter.
ROTMAN: Hoe loopt dan dat gesprek?
Praat je met jouw directe collega bij die andere partijen
of praat je met de verantwoordelijken binnen jouw organisatie
die het dan vervolgens weer moeten gaan uitzoeken met die anderen?
Hoe lopen dan die lijntjes?
DE VRIES: Mijn voorkeur is dat ik de verantwoordelijke voed.
En ik ben er vaak wel bij,
maar de verantwoordelijke wil heel graag weten:
'Wat moet ik nou zeggen en waarom? Is er geen andere manier om 't te doen?
Kunnen we niet wat sneller bij elkaar komen?'
ROTMAN: Bart, twee vragen. Dit is een herkenbaar dilemma en de juiste route?
SCHERMER: Heel herkenbaar dilemma.
Wat je ziet, en daar zit de route en de sleutel naar de oplossing,
is dat partijen gaan samenwerken. Er zijn professionals die dat gaan doen.
Het zijn niet altijd privacyprofessionals.
Die hebben gewoon een doel te bereiken
en vaak zie je dat ze daarbij helemaal niet nadenken
over privacy- en gegevensbescherming.
Dus je moet eerst goed met elkaar gaan zitten:
'Hoe gaan we ons doel bereiken? Wat is het proces
dat we daarvoor moeten doorlopen? En welke gegevens hebben we nodig?
En dan helpt het heel vaak als je
met de daadwerkelijke procesverantwoordelijke zit,
de verantwoordelijke ambtenaren of managers of mensen uit de business...
en de privacyjuristen/FG, om gezamenlijk tot een oplossing te komen.
Want er is geen onwil bij mensen om privacyvriendelijk te werken.
Er is een gebrek aan bewustzijn en ook snappen:
wat hebben we van elkaar nodig?
ROTMAN: Heb je nog een casus?
-Nou, wat je heel vaak ziet...
Ik werk al vele jaren voor diverse gemeenten
en daar heb je het fenomeen van de zorg- en veiligheidshuizen.
Daar werken partijen uit zorg en strafrecht samen
om bijvoorbeeld probleemgezinnen te helpen
en huiselijk geweld en kindermishandeling te bestrijden.
En het dilemma is altijd dat de politie en OM
bijvoorbeeld gegevens willen krijgen van GGD of GGZ,
alleen die zijn gebonden aan medisch beroepsgeheim.
En daar is nog steeds, ook al zijn er duidelijke kaders,
toch altijd frictie in interpretatie.
'Wanneer mag je medisch beroepsgeheim doorbreken?
We hebben die gegevens nodig. Waarom geef je ze niet?'
Dat soort discussies heb je dan. ROTMAN: En welke FG...
in welke organisatie heeft het dan het zwaarst als dit zich voordoet?
Is dat de FG die de bij de politie werkt? SCHERMER: Maakt niet zo heel veel uit.
Alle FG's zijn er in beginsel voor hun eigen organisatie
en adviseren de eigen organisatie, beschermen de organisatie,
dus ze hebben het allemaal zwaar of minder zwaar.
Maar uiteindelijk zit je ergens voor een gezamenlijk doel.
Dat wil je wel bereiken en daar heb je toch iets van communicatie
tussen FG's en de lijn nodig.
ROTMAN: En de communicatielijn die Mabel voorstelt?
Als een van die FG's het gevoel heeft 'dit is niet zo handig':
ga naar jouw verantwoordelijke en zorg dat die op dat niveau
het zaakje gaat oplossen?
SCHERMER: Ja, dat is sowieso de eerste stap als FG.
Je bent er voor je eigen organisatie,
dus het is jouw verantwoordelijkheid als FG om jouw organisatie,
de verwerkingsverantwoordelijke, goed te adviseren.
Dat is stap 1, wat mij betreft,
en daarnaast is het altijd goed om in een samenwerking
met elkaar te gaan overleggen. Dus pak de telefoon,
bel je collega-FG en zeg:
'Ik kijk er zo tegenaan. Hoe zie jij het?' Dat lijkt me ook heel verstandig.
ROTMAN: Dit is altijd het klassiekertje binnen jullie business, Mabel.
Er is een organisatie binnen de keten.
Die wil met de beste bedoelingen,
of het nou gaat over veiligheid of gezondheid,
of het gaat over een proces waarbij geld moet worden teruggegeven aan burgers...
Met de beste bedoelingen moet hun privacy geschonden worden.
Dat is het een beetje. Dat komt volgens mij heel vaak terug.
DE VRIES: Ik vind het geen schending.
Ik denk dat als je goed uitlegt en je hebt de doelbinding,
dus de noodzaak het nodig hebt, is het geen privacyschending.
Het is gewoon heel goed nadenken.
'Heb ik de gegevens die ik verzamel allemaal nodig?'
En als het antwoord nee is, moet je wat je niet nodig hebt acuut weggooien.
Dat wat je wel nodig hebt, zijn privacygegevens.
Je mag ze best verwerken, het is geen privacyschending,
maar je moet er zorgvuldig mee omgaan.
Het is ook het goed en verantwoord delen van informatie
waar de AVG voor staat. Dus je mag best alles...
Je kan misschien wel 60 velden gaan delen,
als je maar goed kunt uitleggen, langs de wet,
waarom je die gegevens nodig hebt en dat het echt niet anders kan,
niet met minder, omdat dan het doel waar je het voor hebt,
niet gehaald wordt. En daarom ben ik er altijd voor
om de verantwoordelijke aan tafel te zetten, want het is zijn business,
Hij of zij moet gaan bepalen:
'Het kan echt niet anders, want met mijn businessdoel in het vooruitzicht
moet ik dit allemaal hebben.'
Dan kom je als FG: 'Dat vind je wel, maar in sommige gevallen
kan het wel met iets minder, toch?'
En dan moet je bedrijfsvoering kennen
om daarin de sparringpartner van de directeur te zijn.
ROTMAN: Ik wou het zeggen. Je bent sparringpartner
van de verantwoordelijke. Er loopt een communicatielijn
van de FG's naar de verantwoordelijken
en die moeten dan op hun niveau de verantwoordelijkheid nemen
en gebruikmaken van hun bevoegdheden om daadwerkelijk hun shit te regelen.
Maar wat ik Bart hoor zeggen: bel gewoon je collega-FG's binnen die keten
en ga gewoon eens even... Klinkt ook wel pragmatisch voor mij.
Dat je als FG's onder elkaar even kijkt:
'In deze keten loopt het zo. Mijn verantwoordelijke heeft deze plannen,
die van jou die plannen. Wat zijn ze weer lekker bezig. Kan niet, hè.'
Dat jullie als FG's gezamenlijk optrekken en allemaal...
DE VRIES: Dat zou de ideale wereld zijn, maar je voelt hem al:
heel vaak is dat wel de weg, maar ik blijf erbij:
de verantwoordelijke eerst. Het is zijn bedrijf.
Hij of zij moet snappen wat er nodig is.
Dan vraag ik ook wel: laat die FG even opstellen wat hij nodig heeft...
en waarom die denkt dat het anders kan of moet.
Dat kan, hè.
En afhankelijk van de toon van het mailtje besluit ik:
ik ga nu niet met diegene aan tafel zitten.
ROTMAN: Jij vaart redelijk... Ik heb je vaker gesproken in deze serie.
Je bent streng, maar ook pragmatisch
en je vaart ook op je intuïtie. Klopt dat?
-Ja, heel erg.
Iemand die hoog van de toren blaast en dingen in een mail zet, dat ik denk:
je kent me niet.
Geef mij ook eens een kans om te laten zien wat ik voor je kan betekenen.
Soms wil ik nog wel een telefoontje wagen.
Soms word ik ook aangenaam verrast.
Vaak word ik dan onaangenaam verrast,
dat iemand denkt: wie ben jij dan? Ik ben ook een FG.
Dus zit wel een beetje een kink in de kabel
en de ontsporing van zo'n poging is toch wel kennis. Kennis en ervaring.
ROTMAN: Wanneer wordt het spannend, Bart? In de ideale wereld...
praat je als FG's met elkaar en heb je ook nog een mooi lijntje
met de verantwoordelijke binnen je organisatie,
die het op zijn of haar niveau goed gaat regelen.
Maar wat als het echt spannend wordt
en denkt 'er wordt niet geluisterd, het loopt niet lekker',
Wat doe je dan?
-Als er niet geluisterd wordt...
Het enige wat je als FG kan doen, wat ook je rol is vanuit de AVG,
is het de hoogste leidinggevende daarover informeren,
onderbouwen waarom die samenwerking niet goed loopt,
of waarom er een verkeerde interpretatie is,
en dan is het aan de verwerkingsverantwoordelijke,
de organisatie, of dat nou een bedrijf is of een overheid, om die keuze te maken:
'Wij gaan door met deze partner in die samenwerking of niet.'
En op het moment dat je telkens nul op het rekest krijgt van FG,
ook van je eigen organisatie,
dan moet je je ernstig gaan afvragen of jij als FG daar wel wil blijven.
ROTMAN: Gaat het ook niet een beetje om medestanders zoeken,
rugdekking zoeken? Is dat niet een ding? Want ik hoor dit vaker.
Het kan een eenzaam beroep, het kan een spannend beroep zijn.
Mijn rugdekking binnen de organisatie zoeken en vinden?
SCHERMER: Rugdekking heb je nodig.
Een belangrijk ding wat wij altijd implementeren,
is wat we noemen een DPO-charter, of een FG-charter.
Zodat duidelijk is bij de aanvang van een opdracht,
of als je ergens gaat werken als FG,
waar je voor verantwoordelijk bent en wat je nodig hebt.
Daar begint het mee. Dat is die rugdekking.
Maar belangrijker nog is: je moet zorgen dat je als FG gevonden kan worden,
ook door positief bij te dragen aan de oplossing van het bedrijf.
'Wat is ons doel als bedrijf of als overheid?'
Hoe kan jij als FG eraan bijdragen dat
dat op een privacyvriendelijke manier gebeurt.
Want anders gaan mensen gewoon om je heen werken.
Het is rugdekking, 1.
Maar ook gewoon goed je werk doen als FG, goed adviseren.
ROTMAN: Mee eens, Mabel?
-Voor een deel wel
en ik wil nog terugkomen op wat jij zegt: FG's moeten met FG's contact hebben.
Ik heb even opgeschreven wat belangrijk is.
De directie is degene die het doel heeft voor de organisatie.
De procesverantwoordelijke, degene in de organisatie,
die al die gegevens wel of niet wil hebben.
Marketing en sales is er altijd zo eentje die goed kunnen uitleggen
waarom ze al die gegevens nodig hebben.
En dan blijf ik de criticaster: waarom zo en waarom zoveel?
En dat is het begin heel irritant en dat begrijp ik heel goed,
maar als uitlegt wat de risico's zijn als je al die gegevens verwerkt
en je gaat het gezamenlijk doen en je krijgt daarmee de rugdekking,
dat is ook je eigen verantwoordelijkheid. Die moet je verdienen.
Die krijg je er niet standaard bij.
Die moet je verdienen en je moet ook dat gewoon zeggen:
'Ik heb dat nodig, want in mijn eentje kan ik het niet.'
Die rugdekking is essentieel en daar ontbreekt het wel aan.
ROTMAN: Ik heb het gevoel dat jullie niet veel moeite hebben
om credits en rugdekking te verdienen.
Tot slot, Bart, hoe kan je dat doen als je het gevoel hebt:
'Ik zit niet stevig in de wedstrijd.' Wat kan je doen om dat wel te verdienen?
SCHERMER: Ik denk zeker als je een beginnende FG bent...
Het begint met inhoudelijk sterk worden. De wet goed kennen,
jurisprudentie goed kennen, en dan kan je ook gaan adviseren vanuit een positie
van zekerheid, autoriteit, en kracht, omdat je gewoon de materie goed kent.
Dus dat is 1, goed je werk snappen. Dat is vrij vanzelfsprekend.
En daarnaast ook denk ik, een positieve houding ten opzichte van de organisatie.
Mensen binnen een organisatie, sales, marketing, ambtenaren,
mensen zijn door de bank genomen ethisch,
maar hebben misschien geen bewustwording,
weten niet wanneer er te veel gegevens zijn of te weinig,
dus help ze daarbij. En dat is precies wat Mabel zegt:
Dan verdien je rugdekking. Dan denken mensen:
'Dat is prettig. Die helpt me en me behoedt me risico's.'
Dat is het laatste, die duidelijke risicoverdeling.
Jij bent niet eindverantwoordelijk
voor goede verwerking van persoonsgegevens.
Dat is de organisatie zelf.
ROTMAN: Mabel, het laatste woord? We hebben nu een paar leuke tips
die je kan gebruiken als je in een situatie komt
dat je binnen zo'n keten het gevoel hebt: het loopt niet helemaal lekker.
Hoe zorg je ervoor dat je net zo stevig in de positie zit,
zelfbewust als FG aan het werk gaat, zoals jij dat doet?
DE VRIES: Ik sluit dan toch eerst aan wat bij Bart net zegt.
Je moet kennis van de AVG hebben.
En hij zei ook: Je moet je bedrijf kennen.
Je moet weten waar het bedrijf voor staat.
En dan zou ik toch zeggen: Ga met de AVG in de hand
het risicomanagement van het bedrijf en de bedrijfsvoering analyseren
en niet met het wijzende vingertje vanuit AVG alleen maar nee roepen.
Je moet weten wat de risico's van de bedrijfsvoering zijn
en wat de eigenaar of ondernemer of verantwoordelijke
dagelijks voor risico's het hoofd dient te bieden.
Als je vanuit die kant probeert om gesprekspartner te worden,
krijg je veel sneller rugdekking en veel sneller dialoog
dan dat je alleen maar uit een hoekje roept 'het mag niet van de AVG'.
ROTMAN: Hatsa. Staat genoteerd.
Mabel de Vries, Bart Schermer, dank jullie wel.
Luister ook de andere aflevering van 'Privacy in de praktijk' terug.
Ga hiervoor cip-overheid.nl/uitgelicht.

Wat weegt zwaarder, de werkgever of de burger?

Deze zesde aflevering gaat over loyaliteit. Wat weegt voor een FG zwaarder, de werkgever of de burger? In gesprek hierover zijn Aramis Jean Pierre (FG bij DUO en bestuurslid NGFG) en Sergej Katus (vanuit Privacy Management Partners FG bij diverse organisaties). Het gesprek wordt geleid door Robin Rotman.

Privacy in de praktijk 6: Wat weegt zwaarder, de werkgever of de burger?

JEAN PIERRE: Wat weegt zwaarder, het belang van de opdrachtgever of burger?
ROTMAN: Welkom bij 'Privacy in de praktijk'.
Ik ben Robin Rotman. In deze podcast
van het Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast, twee kanonnen, kan ik wel zeggen.
Aramis Jean Pierre, FG bij de Dienst Uitvoering Onderwijs
en bestuurslid bij de NGFG. Welkom.
-Dank u wel.
En Sergej Katus, FG bij verschillende gemeentes,
schreef het boek 'Hoe ben je FG?'
en hij is partner bij Privacy Management Partners.
Dat is nogal wat. Een kenner.
Aramis, DUO, daar ben ik al jarenlang bevriend mee,
omdat ze elke maand geld van mijn rekening af halen.
Op welke manieren heb jij als FG bij DUO nou met privacy te maken?
JEAN PIERRE: Op alle mogelijke manieren. Dat is nou eenmaal zo.
DUO is niet alleen geldverstrekker aan studenten,
maar wij verwerken voor zoveel partijen gegevens.
We hebben meer opdrachtgevers, niet alleen het ministerie van Onderwijs,
maar ook Justitie, Sociale Zaken... Ga zo maar door.
ROTMAN: Even kwantificeren, over hoeveel mensen gaat het hier
die op welke manier dan ook met gegevens aan jullie verbonden zijn?
JEAN PIERRE: We hebben voor 13,6 miljoen individuele klanten
in onze bestanden staan. Dus bijna heel Nederland.
ROTMAN: En om de zoveel tijd willen managers of betrokkenen
iets met gegevens en dan staat Aramis Jean Pierre erbij:
'Jongens, we moeten even kijken of dat wel kan.'
JEAN PIERRE: Dat valt mee, want we hebben een goede privacyorganisatie.
Wij werken volgens het principe van 'three lines of defense'.
We hebben adviseurs, compliancy-adviseurs
en de FG die als toezichthouder in de organisatie dient.
Voordat een vraag bij mij terechtkomt, moet het wel erg ingewikkeld zijn.
ROTMAN: Dat dilemma, wat weegt zwaarder:
het belang van de opdrachtgever of het belang van de burger
of de student, de andere kant.
Is dat een ding waar jij dagelijks mee te maken hebt?
Kom je die weleens tegen?
JEAN PIERRE: Ik denk dat ik er minder mee te maken heb dan de private sector,
want in de publieke sector krijgen we die gegevens voor taken
die we op basis van wetgeving moeten uitvoeren.
Als we ons daar niet aan houden zijn we onrechtmatig bezig.
ROTMAN: En in de commerciële sector zijn de belangen misschien ook groter.
Bij overheidsorganisaties heb je wat meer ruimte om wat meer te leunen
naar de burger, denk ik. Hoop ik, eigenlijk.
JEAN PIERRE: Het idee van het belangen behartigen
van de burger, de eigenaar van de gegevens, staat voorop. Dat klopt.
ROTMAN: Sergej, is dat voor jou bekend terrein?
KATUS: Je gaf net aan dat ik het boek schreef 'Hoe ben je FG?'
en daarin schets ik dat probleem ook letterlijk met een tekeningetje.
Stel je een lijn voor. Aan de ene kant het belang van de opdrachtgever,
aan de andere kant het belang van de burger.
Maar Aramis zegt ook net:
'Wij verwerken gegevens van heel veel studenten.'
En waarom? Ik hou het gemakshalve even bij studenten...
Die willen geld en die hebben een lening en dat soort dingen.
Daar speelt DUO een belangrijke rol in.
Dus is het nou een tegengesteld belang
of, en dat gebeurt letterlijk in dat schetsje,
moet je het zodanig kantelen dat het niet een conflictmodel is
van het ene belang en het andere, maar je hebt gezamenlijk belang.
Dus zie een hoek, als het ware,
waarbij je aan de verticale kant het belang van de DUO in dit geval hebt,
of een gemeente, maakt niet uit,
en op de horizontale as heb je het belang van de persoon in kwestie.
Want die wil geholpen worden. Die wil een salaris of lening hebben.
Die wil geserviced worden, en op die manier denk ik dat het eerder
een paradox is, een schijnbare tegenstelling,
dan dat je praat over een echt belangenconflict.
ROTMAN: Dit is deel van de oplossing. Gaan we zo over praten.
Want ik neem aan dat dit klopt, Aramis. Je zou kunnen zeggen:
Wij als DUO trekken gezamenlijk op met de student of met de klant.
We hebben allebei belang bij privacyregels,
maar ook dat het geld van a naar b gaat.
Studenten moeten soms betalen, of ontvangen.
Hangt ervan af op welk punt van je studentencarrière je zit.
Is dat ook een manier om te framen voor jezelf:
'We are in this together', eigenlijk?
JEAN PIERRE: Als we het er zo over hebben, denk ik dat we
het privacybelang misschien wel een te groot belang toewijzen.
Het is namelijk zo dat wij op een normale manier
met onze gegevens om willen gaan
en dat betekent dat we op een nette manier
op alle mogelijke wijzen met elkaar omgaan.
Het is een heel pakket aan regeltjes waar we ons aan dienen te houden
en daarvan is privacy een onderdeel.
Maar dat betekent wel dat je een goede afweging maakt
waarom je een bepaalde zaak gaat doen.
Die privacywetgeving is zodanig opgesteld
dat je gedwongen wordt na te denken: Waarom doe je iets?
Voor welk doel doe je iets? En met welke middelen kun je tot dat doel komen?
Dat betekent dat je uit een heel pakket van regels...
een samenstelling moet gaan maken waarbij je zegt: Dit is acceptabel.
Dit vinden wij acceptabel.
ROTMAN: Kun je een voorbeeld geven uit jouw eigen praktijk
waarbij je hiertegenaan liep? Je hebt dus...
Laten we voor the sake of the argument
niet Sergejs model aanhouden waarbij ze naast elkaar staan,
maar dat ze tegenover elkaar staan, burger en opdrachtgever, dat je dacht:
Ik moet een beetje gaan zoeken nu, wat is nu de toverformule?
JEAN PIERRE: Wat je veel ziet
is dat er een soort ontwikkeling is ontstaan dat vanuit de overheid
gedacht wordt dat wij voor de burger moeten denken.
Dat betekent dus dat wij daar zelf een invulling aan geven
wat de wensen van de burger zijn
en hoe we die op de beste manier bedienen.
Maar dat wil dus niet zeggen dat we daarin ook meteen
feedback van de burger hebben gekregen
of dat inderdaad ook de juiste wijze en hetzelfde doel is.
Dus we hebben een hele denktank bij de overheid die zegt:
oké, wij vinden dat we onze gegevens nu,
voor het algemeen belang, moeten gaan inzetten...
'Algemeen belang' is een term die je mag hanteren binnen die privacywetgeving.
Dat betekent dat je dat voor andere doeleinden gebruikt,
waarbij je wel het belang van de burger gaat dienen.
Dat is een lastige als je gaat kijken naar...
Bijvoorbeeld zouden we in kaart willen brengen
welke burgers in Nederland een aantal vormen van toeslagen
aan zich voorbij laten gaan.
Dan ga je dus inderdaad met een paar andere partijen
gegevens aan elkaar koppelen
om te zorgen dat je daar een beeld van krijgt en kunt zeggen:
'Meneer A, weet u wel dat u nog twee of drie regelingen laat vallen,
terwijl u wel geld kunt krijgen?'
ROTMAN: Sergej, dit is wat jij schetst. Er is het gezamenlijke belang, namelijk:
er ligt geld op de plank.
Het gaat hier over geld bij een overheidsclub
en er is een burger die daar recht op heeft
en om welke reden dan ook daar geen aanspraak op maakt
omdat hij misschien niet weet dat het bestaat.
Of wil hij onder de radar blijven. Maakt niet uit.
Met de beste bedoelingen moet er wel gegraven worden in die bestanden.
Er moeten misschien wat databases aan elkaar gekoppeld worden.
En dan is er dat gezamenlijke belang van dat geld,
maar er is ook dat ene belang van die privacy.
We hebben in dit programma weleens aan tafel gezeten met mensen:
'Daar ga ik als FG voor liggen. Het is niet dat het geld daar niet heen mag.
Het gaat erom dat we een model bedenken
waarin die privacy geregeld wordt.'
KATUS: Ik snap de vraag, maar dan heb je de AVG niet begrepen.
En dat is wel waar je als FG voor staat.
Je taak als FG, je primaire verantwoordelijkheid als FG
is om toe te zien op de naleving van de AVG.
Het staat er letterlijk. Gerelateerde wet- en regelgeving.
Denk aan de Wet Politiegegevens die kan spelen,
en het beleid van de organisatie.
En ik vind heel grappig dat de toeslagen worden genoemd,
want nu brandt de toeslagenaffaire op mijn lippen.
Ik moet misschien beginnen met de vaststelling
dat het woord 'privacy' nergens voorkomt in de AVG.
Als je goed zoekt,
zie je twee voetnoten waarin naar iets anders wordt verwezen
en dat zijn de enige twee plekjes waar het woord 'privacy' valt.
Pak je artikel 1, ik wil het niet technisch maken...
ROTMAN: Je maakt het wel leuk nu. Bring it on.
KATUS: Als je kijkt naar de hele titel van de AVG
en je kijkt naar artikel 1, staat er gewoon letterlijk
dat het gaat om bescherming van personen,
niet om bescherming van gegevens,
bij de verwerking van gegevens, niet hun gegevens,
ze zijn niet de dataeigenaar, en het vrije verkeer van gegevens.
Er staat ook dat je het moet zien in relatie tot alle grondrechten.
Het recht op onderwijs, het recht op veiligheid,
het recht op onaantastbaarheid van je lichaam.
Er zijn allerlei grondrechten, dus het moet met elkaar in balans staan.
Inderdaad, het moet ook in balans staan
met het recht op bescherming van de privéleven, het gezinsleven.
Dus dat is dan wat we de privacy noemen.
Een ander artikel dan het recht
op bescherming van persoonsgegevens als je dat in de grondwet bekijkt.
ROTMAN: Dit vind ik een mooi analytisch verhaal,
maar nu nog steeds de vraag:
er is dus een zakje met geld
dat een overheidsclub van a naar b wil schuiven en de FG vindt:
het doel rechtvaardigt niet dat we... KATUS: Is dat zo?
Want dan moet je eigenlijk zeggen, overweging 4 AVG:
'Gegevensverwerking moet ten dienste van de mens staan.'
En daar wordt mee bedoeld dat als iemand regelingen laat lopen
en daardoor geld misloopt, dan help je die persoon,
staat de gegevensverwerking ten dienste van de mens
op het ogenblik dat je wel iets gaat doen waardoor hij wordt geholpen.
'De ICT helpt mij.'
Natuurlijk moet je dat wel goed doen,
want het kan ook erg fout gaan, over toeslagen gesproken,
en dan zitten we in de toeslagenaffaire.
Ik heb een blog geschreven, dat kun je gewoon downloaden, en dat gaat over:
wat gek dat in de toeslagenaffaire niemand het heeft over de AVG,
terwijl zo'n beetje alles in de AVG is geschonden.
Want wat gebeurde er in de toeslagenaffaire?
Er werd data-analyse gepleegd.
Op basis daarvan werd de conclusie getrokken
dat ouders kennelijk fraudeerden
en de vervolgstap was direct dat je ging terugvorderen.
We hebben de ellende daarvan gezien.
ROTMAN: Computer says no, en je bent de sjaak.
JEAN PIERRE: Ik wil even hierop reageren.
Ik ben met je eens, Sergej.
Maar het gaat er ook even om dat in zijn algemeenheid
de tendens juist ontstaat bij overheidspartijen om te gaan kijken
wat de meerwaarde zou kunnen zijn van de gegevens die ze in huis hebben.
Dat is een hele logische die je kunt benaderen,
maar waar je vanuit toezichtperspectief zegt:
wacht, we hebben een aantal eisen...
ROTMAN: We hebben gegevens, we gaan er doelen bij bedenken.
JEAN PIERRE: Dat doet uiteindelijk de overheid heel vaak.
En dat is ingegeven doordat ze de maatschappelijke waarde zien
van die gegevens voor het gebruik voor die nevendoelen. Een meerwaarde.
Maar nogmaals, ik ben het helemaal eens dat het gebonden is
aan een aantal strikte voorwaarden. Maak die afweging heel goed.
Maar het belangrijkste is dat we moeten bedenken
dat we altijd die principiële waarde van de burger
op de juiste manier moeten communiceren.
ROTMAN: Dan is de uitkomst van die casus die jij nu noemt
misschien niet dat je gaat zitten bedenken of beargumenteren
dat je allemaal stukken erbij gaat pakken waarom wel of niet.
Dan zeg je toch: we hebben hier wat geld
dat de burgers ten goede kan komen.
We schrijven ze een briefje
en vragen of wij hun gegevens mogen gebruiken,
omdat ze misschien recht hebben op geld.
Dan leg je het toch gewoon bij de burger neer?
JEAN PIERRE: Dat zou logisch zijn, maar vaak wordt dat niet gebruikt,
omdat er dan een administratieve last aan verbonden wordt.
Maar het gaat erom dat je van tevoren zegt...
Want wij gebruiken dat vaak als een soort bypass
als we iets willen bereiken binnen de overheid.
Dan gaan we de hele goegemeente benaderen
en dan laat je de keuze aan de goegemeente of ze wel of niet...
ROTMAN: Ik zie Sergej in m'n ooghoek, die is ook heel gretig. Kom op.
JEAN PIERRE: Die gaat het nu hebben over de toestemmingsvereisten.
KATUS: Ik dacht, laat ik dat niet doen.
Waar het mij om gaat:
Eigenlijk is de vraag: waarvoor ben je op aarde, beste organisatie?
DUO doet DUO-dingen, de Belastingdienst belastingdingen,
en gemeenten gemeentedingen.
Dat hebben we op zich heel netjes vastgelegd. Dat is ook heel belangrijk.
Wat ik een hele mooie casus vind: het leger dat in coronatijd bedenkt
om een database aan te leggen van iedereen die coronabesmet is.
Ik heb het niet van nabij gevolgd, maar volgens mij is dat gebeurd.
Daar hebben we het leger niet voor.
Dan kom je bij het woord 'legitiem'.
Dat heet in AVG-termen: Heb je een grondslag?
Maar een overheidsorganisatie die op aarde is voor financiën en burgers,
de mens centraal en hoe kunnen we het mensen...
'leuker kunnen we het niet maken, wel makkelijker', en dat soort dingen
is ook om veel meer dienstverlenend, mens centraal te opereren
en dat je in die zin wil innoveren en dat je zegt:
Wacht even, de tijden veranderen.
We zijn geen overheidsorganisatie anno 1850 meer.
Dus kunnen wij met die nieuwe technologie
mooiere dingen doen en de burger meer ten dienste staan?
ROTMAN: Maar dan je toch nog steeds zeggen:
dit is het plannetje. We nemen het mee naar de minister
en die neemt het mee naar de Kamer en als die zegt
'dat vinden wij een zinvolle manier'
dan heb je een wettelijke basis afgekaderd.
Het gaat er niet per se om dat je het wel of niet mag doen,
maar dat je het regelt,
bijna op een democratische manier afspraken maakt.
JEAN PIERRE: Het moet 'n weloverwogen keuze zijn.
Het betekent op basis van een aantal regeltjes toetsen
en dan vanuit een democratisch besluit tot de conclusie komen
dat 't wel of niet acceptabel is.
Maar zelfs dan nog hebben we te maken met bepaalde zaken
die niet op de juiste manier hun uitdrukking vinden.
ROTMAN: Maar dan is de uitkomst, want we gaan een beetje afronden,
dan zegt mijn gut feeling: uiteindelijk ben je als FG
meer in dienst van de kant van de burger dan de opdrachtgever.
Want jij zegt dan tegen je baas:
leuk bedacht, maar er is nog niet genoeg basis om dit zo te doen...
dus zorg maar dat de minister het in de Kamer het regelt.
En dan verdedig je altijd nog die burger die zichzelf niet kan verdedigen.
KATUS: Dat zonder meer. Je bent er voor de burger,
maar je bent er ook voor de organisatie.
Eigenlijk ben je degene die dit dilemma aankaart en zegt:
Dit moeten we oplossen.
Ik wil eraan toevoegen: ik ben FG van gemeenten.
Gemeenten hebben zelf ook veel ruimte.
Gemeentewet, Jongerenwet,
Wet Jeugdhulpverlening, Maatschappelijke Ondersteuning.
Het is er allemaal,
maar uiteindelijk mag 'n gemeenteraad zelf democratisch besluiten:
Dat is hun wetgeving om dat democratische besluit te nemen.
Dan heb je zelf beantwoord waarom je ook geen toestemming moet vragen.
Dat mag niet eens van de AVG, want je hebt al een goede basis.
Dat is het democratisch genomen besluit.
ROTMAN: Bij mij kraakt het nu een beetje,
dus ik vraag jullie tot slot in dit dilemma:
ga je voor het belang van de opdrachtgever of burger?
Wat is je houding als FG?
JEAN PIERRE: Als FG ga ik altijd uit van het belang van de burger.
ROTMAN: En hoe uit die houding zich?
JEAN PIERRE: Een realistische benadering van het vraagstuk.
Een goede weging van alle voor- en nadelen voor alle partijen.
Maar daarbij altijd kijken wat de effecten zijn
op die persoonlijke levenssfeer van de burger.
KATUS: Zeer mee eens, en dan ga ik altijd voor de balans.
Ik snap het belang van de opdrachtgever en burger,
en wat is dan die balans?
JEAN PIERRE: Wat ik daaraan toe wil voegen...
Juist in die weging kan het zijn
dat je op basis van een risicoafweging kan zeggen:
Zelfs het belang van één kan zwaarder wegen dan dat van een grote groep.
Dat is een lastige in deze benadering.
Want als je iets gaat besluiten,
zoals toch weer de toeslagenaffaire, echt zodanig ingrijpt
in het persoonlijke leven van een burger
dan ga ik als FG tot de hoogste regionen om dat tegen te houden.
ROTMAN: Eens? KATUS: Ja.
Onder de aanname dat je snapt dat de aanpak krakkemikkig is.
Want de AVG is geen krakkemikkige aanpak.
Dus hoe kun je die balans bereiken?
De AVG is geschonden, en daar let je op als FG,
doordat de aanpak niet de kwaliteit heeft waarmee je de burger helpt.
ROTMAN: Dank jullie wel, Aramis Jean Pierre en Sergej Katus.
Luister ook naar de andere aflevering van 'Privacy in de praktijk'.
En je hoort het, dit is smullen geblazen.
Ga hiervoor naar cip-overheid/uitgelicht.

Is de ideale FG ook CISO?

Aflevering zeven besteedt aandacht aan twee soorten functies en de verhouding daartussen. Is de ideale FG ook CISO? De meningen verschillen. Het gesprek wordt hier gevoerd door Bart van Rijn (FG én CISO bij UMC Utrecht) en Mabel de Vries (FG bij diverse organisaties), onder leiding van Robin Rotman.

Privacy in de praktijk 7: Is de ideale FG ook CISO?

VAN RIJN: Is de ideale FG ook CISO?
ROTMAN: Welkom bij 'Privacy in de praktijk'. Ik ben Robin Rotman.
In deze podcast van 't Centrum Informatiebeveiliging
en Privacybescherming spreek ik functionarissen gegevensbescherming
en andere deskundigen over dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast: Bart van Rijn, FG en CISO bij UMC Utrecht.
Ik heb al een vermoeden waar jij staat in dit dilemma.
En aan de andere kant Mabel de Vries.
Jij wordt als externe FG ingevlogen bij verschillende organisaties.
Welkom. We spraken elkaar eerder, leuk.
Bart.
De ideale FG is wat jou betreft dus ook CISO?
Je hebt het dilemma al opgelost.
-Ja, in onze organisatie.
Ik kan me voorstellen dat het niet overal kopieerbaar is.
Maar een van de eerste dingen die in de AVG-wetgeving staat
voor de taken van een FG is dat die ook de praktijk moet weten
van de gegevensbescherming.
Naast wetgeving ook kennis van de praktijk van gegevensbescherming.
Dat is natuurlijk...
Gaandeweg zien we veel meer dat het overlapt.
Gegevensbescherming van de CISO en de FG in hun werk
loopt steeds meer in elkaar over en de neuzen staan dezelfde kant op.
ROTMAN: Kun je even schetsen? Ik snap heus wel dat er bij patiënten,
het gaat over informatie en privacy...
Kun je schetsen waarnaar je zit te kijken in je dagelijks leven?
Als CISO/FG.
VAN RIJN: In het dagelijks leven van een FG in een universitair medisch centrum
zitten we heel veel aan de zorgkant.
Maar ik ben ook een groot deel bezig met onderzoeksvraagstukken,
met patiëntgegevens, waar we veel onderzoek doen.
Maar ook zeker onderwijs.
We moeten niet vergeten dat we vaak organisaties zijn
van ruim 10.000 medewerkers.
Dus we zitten ook met heel veel medewerkergegevens.
Het is een open gebouw, moet goed beveiligd worden.
Dus we hebben ook veel contact met beveiliging.
En heel veel patiënten die met mij ook weleens persoonlijk
willen spreken om bepaalde zaken door te spreken.
ROTMAN: Interessant. Leuk werk.
Mabel, jij wordt als FG ingevlogen bij allerlei organisaties.
Je moet een beetje grinniken erom, maar het is echt waar.
Ben je ook weleens tegelijkertijd CISO geweest?
DE VRIES: Ik ben nooit CISO geweest. Toen heette het nog niet zo.
En toen het CISO heette nooit tegelijkertijd.
ROTMAN: Is het een functie die je makkelijk kan combineren?
DE VRIES: Ik zou 't kunnen combineren, omdat ik weet waar de grens ligt
zodat ik me daar senang bij voel, en waar het echt gaat wringen.
Ik zou het kunnen, maar niet ambiëren.
ROTMAN: Waar ligt die grens?
-Als je als CISO/ISO
verantwoordelijk bent voor de keuze van de systemen
waarmee je de gegevensverwerking uitvoert,
verantwoordelijk bent voor de toetsing, de praktische toetsing,
budgettair verantwoordelijk bent voor dat soort besluiten,
dus ook de werkpraktijk uitvoert,
en dat je daarna moet zeggen 'dat heb ik goed gedaan',
daar ligt wel de scheidslijn.
ROTMAN: Hier gaat het over, Bart. Daarom is het een dilemma.
VAN RIJN: Zeker. Ik wil wel aanvullen
dat een goede CISO zichzelf ook laat auditen.
Al zou hij operationeel systeemverantwoordelijkheid hebben
zich altijd extern laten auditen.
Tenminste, een goed systeemwerkend bedrijf.
Maar het is zo dat daar de scheidslijn zit.
Daar hebben we in het UMC Utrecht wel zorg voor gedragen.
Ik ben sinds september 2017 daar in dienst
en ik heb als eerste een organisatievorm ingebracht
zoals die bekend is bij banken en andere werelden.
Drie lijnen van verantwoordelijkheid invoeren
en duidelijk een scheiding maken tussen die eerste lijn,
uitvoerend werk, en de tweede en derde lijn.
Waarbij we in de derde lijn een intern auditbureau eraan toe hebben gevoegd
om ervoor te zorgen dat we dat systeem kunnen keuren.
ROTMAN: Kan ik zeggen dat je een deel van de FG-werkzaamheden uitbesteed?
VAN RIJN: Een deel of een extra zekerheid.
Het is maar hoe je het wil noemen.
Het is ook zo dat ik toezichthoudende taken zelf uitvoer.
Maar het is heerlijk om af en toe,
en ik denk dat elke FG dat zou moeten willen,
dat iemand anders af en toe over je schouder kijkt.
'Hé, hoe zit het nu eigenlijk?'
ROTMAN: Mabel knikt instemmend.
-Het is vaker gezegd.
Als iemand weet hoe bedrijfsvoering in elkaar zit
en hoe de processen lopen, waarin veel mensen iets moeten bijleren,
daar gaat het vaak mis.
Het klinkt mij als muziek in de oren
als iemand zo verstandig en volwassen is dat ze zeggen:
'Wij laten ons auditen.' Dus door een objectief orgaan,
de NEN of ISO, of een andere externe audit laten toevoegen.
Helaas, in de praktijk waar ik kom, is dat dus niet zo.
Het spanningsveld van 'we laten ons goed extern auditeren'
is helaas nog steeds een ondergeschoven kindje.
ROTMAN: Kun je uit jouw praktijk een voorbeeld meenemen of casus
waaruit bleek dat het tricky was?
Hier moesten we even opletten dat we al die verantwoordelijkheden en taken
goed gesplitst hadden en snapten wat we aan het doen waren.
Wat anders zit Bart paraafjes onder z'n eigen werk te zetten.
VAN RIJN: Ik ben dat niet zo tegengekomen
doordat ik bij aanvang eerst ben begonnen
met een goede verdeling te maken
tussen eerste- en tweedelijns verantwoordelijkheid.
Ik heb juist gemerkt... De ziekenhuizen hebben het heel zwaar gehad met covid.
Zeker in de eerste golf was het heel handig
dat ik als één persoon vaak aan tafel kon schuiven
bij bestuurlijke beslissingen en dingen die moesten gebeuren
om de zorg op afstand te organiseren, om mensen thuis te laten werken,
dat dat heel prettig was dat er vanuit twee hoeken, privacy en security,
goed meegekeken werd met alles wat snel en onder druk moest gebeuren.
ROTMAN: Maar dan is het risico dat je bepaalde processystemen invoert,
onder druk, het moet snel.
Hoe heb je ervoor gezorgd dat die kritische blik er wel was?
VAN RIJN: Dat ik me daar dus niet mee bemoei,
maar altijd meekeek met: welk proces wil je invoeren?
Hoe wil je het gaan uitvoeren, met welke systemen?
En daar een advies over geven hoe je die het beste inricht en gebruikt.
ROTMAN: Mabel, we hebben hier te maken met het UMC Utrecht,
een grote zorgorganisatie, veel belangen, veel patiënten
veel medewerkers, IT-systemen, covid. Allemaal situaties die nieuw zijn.
Wat denk jij dan? Die meneer is CISO en FG. Hij heeft een goed verhaal.
Maar toch, denk je dan: Dat is automatisch handig geregeld?
Of is het wel handig om te splitsen?
DE VRIES: Ik vind 'handig' een ongelukkige term,
want dat klinkt alsof hij bijdehand... Misschien is hij dat wel.
Het is nuttig in deze situatie
met druk op verschillende processen die echt niet stil mogen komen te liggen.
Een nuttige combi, maar Bart is ook een persoon
die zowel de kennis van de IT-systemen, processen,
maar ook de privacywetgeving goed kent.
Dan is het wel toevertrouwd.
Maar heel veel FG's ontberen de basale technische kennis.
Daar word ik wel ongelukkig van.
Want het is nu vaak ingevlogen vanuit het juridisch kader.
De AVG wordt heel vaak vanuit de juridische invalshoek benaderd.
Als je geen technische kennis hebt, moet je niets combineren.
In de praktijk waar ik kom, wil ik ze scheiden
om te zorgen dat je geen single point of failure hebt.
Want dat is de volgende uitdaging.
ROTMAN: Jij zegt: je moet genoeg zelfvertrouwen en kennis hebben.
Je moet snappen hoe 't spel gespeeld wordt
en dan kun je die externe audit nog inbouwen.
In welk scenario zeg je: hier moet je ze echt scheiden?
DE VRIES: Je hebt twee kennisgebieden, twee domeinen,
waar je zowel de inhoudelijke kennis moet hebben als de ervaringskennis.
Je moet het in je handen hebben gehad.
Misschien een paar ongelooflijke fouten hebben gemaakt om ervan te leren.
Als een van de twee domeinen ondergeschikt is,
dus niet op het hoogste niveau zit wat je moet hebben,
denk ik dat je 'n vergissing maakt door alles onder één persoon te scharen.
Want dan is het net niks.
ROTMAN: Wat is een single point of failure?
DE VRIES: Als je te veel dingen bij één persoon neerlegt
en diegene dan wegvalt, dan is het klaar.
ROTMAN: Te afhankelijk van die ene.
VAN RIJN: Ik kan gelukkig op vakantie.
Ik heb een systeem ingebracht dat zorgt dat het goed geborgd is.
Ik begrijp wel wat je bedoelt. Je moet borging aanbrengen,
want het is lastig als je dat, zeker in covidtijd,
als je zelf ook covid hebt en wegvalt, dan heb je gelijk niks.
ROTMAN: Dan ben ik benieuwd: Hoe heb je jezelf onmisbaar kunnen maken?
VAN RIJN: Ik heb zowel een privacy- als security officer in de tweede lijn
en bij de techniek twee ISO's die goed mee kunnen praten
aan de techniekkant en jarenlang kennis hebben hoe 'n ziekenhuis werkt.
En ervoor gezorgd dat binnen de verantwoordelijke eenheden
ook een ISO rondloopt die dicht bij het werkveld staat
en goed mee kan denken in privacy- en securitykwesties.
Tot een bepaald niveau.
ROTMAN: Er komt wat bij kijken
als jij deze functies in één persoon wil verenigen.
Het gaat niet vanzelf.
VAN RIJN: Nee, je moet echt wat neerzetten.
Je moet ook een goed gesprek hebben met zowel Raad van Bestuur,
zodat je die backing hebt en draagvlak kan krijgen,
maar ook dat je op de werkvloer gezien wordt.
En graag gezien wordt.
ROTMAN: Je moet graag gezien willen worden.
Mabel, heb je iets toe te voegen? Je moet dus als je het doet
er goed over nadenken, in die tweede en derde lijn de juiste poppetjes zetten
en binnen de organisatie goed regelen dat iedereen snapt dat het zo werkt.
Wat kan je nog meer doen als je toch deze functies wil verenigen?
DE VRIES: Je moet echt gedegen kennis hebben van beide domeinen.
En dat is schaars.
Je moet bijblijven met de ontwikkelingen van beide domeinen.
Bij de AVG vindt iedereen dat vanzelfsprekend
en als je vraagt 'hoe vaak doe je dit en dat?',
dan is dat heel vaak uit balans.
Er is genoemd dat het een eenzaam vak is.
Dus als je al in je eentje bent
en je hebt niet beide domeinen even goed te bedienen, heb je een uitdaging.
ROTMAN: Of zorg voor een team met kennis van mensen
die dat wel vertegenwoordigen.
DE VRIES: De eenzaamheid bestaat, omdat het voor de organisatie
ook nieuw is.
En daar lastig uit te leggen is waarom je een FG moet hebben
en als je ook moet uitleggen dat er een CISO moet zijn
en dat dat een ander moet zijn...
Het gaat over het soort organisatie,
middelgrote ondernemersorganisaties hebben daar last van
en die hebben niet altijd de middelen en mensen om die functies te scheiden.
VAN RIJN: Eerlijk gezegd vind ik dat je je dan verstopt in de organisatie.
En dat zie ik vaak als ik met wat broeders praat.
Ik ga op het toezicht zitten.
Volgens mij staan er vele andere taken in de AVG-wet,
zoals informeren en adviseren. Maar ook contactpunt zijn.
Aleid Wolfsen zei het net nog.
Dat we onze Raad van Besturen goed moeten kunnen adviseren.
ROTMAN: Dat betekent dus dat je ook aan de strategietafel moet zitten als FG.
Het is nogal wat.
-Ja, maar daar gebeurt het
en daar kan je uiteindelijk ervoor zorgen dat je er niet achteraf komt.
ROTMAN: Ik heb inmiddels wel geleerd,
het maakt niet uit welk dilemma je op tafel gooit,
wat je moet doen, is zorgen dat je vroeg in het proces aan tafel zit
en word belangrijk genoeg dat je wordt uitgenodigd als het ergens over gaat.
VAN RIJN: Belangrijk genoeg of ervoor zorgt dat je goed mee kan praten
met waar de business mee bezig is,
en ook begrijpt wat ze nodig hebben om door te kunnen gaan.
ROTMAN: De naam viel, Aleid Wolfsen van de AP.
Zij hebben volgens mij het liefst dat het twee gescheiden functies zijn.
Nu hebben jullie redelijk neergezet wat erbij komt kijken
als je dan toch zo eigenwijs wil zijn om die functies te verenigen.
Even naar de andere kant van het spectrum.
Stel dat je luistert als iemand die een organisatie runt of een FG
en je denkt: ik wil toch splitsen, voel ik me veiliger bij.
De checks and balances beter georganiseerd
en de AP wil het ook.
Hoe pakken we dat aan?
Stel dat je een kleine organisatie bent.
Je hebt eigenlijk geen budget voor twee fulltimers.
Hoe doe je dat?
DE VRIES: Als we met het hamertje aan de gang moeten
dat het in één poppetje moet, om het zo te zeggen,
moet je die wel selecteren op de juiste competenties en ervaring.
Wat Bart zegt, het is een strategische functie.
Dat is de grootste onderschatting van de laatste jaren
dat een FG geen strategisch functionaris is
en dat is hij of zij wel degelijk.
Op strategisch, directie- of bestuursniveau,
ben je onderdeel van het team.
Als je dat al niet kunt combineren, ben je ook geen gesprekspartner
en is het adviseren van de directies een ingewikkelde klus.
ROTMAN: Nu gaan we de CISO en de FG uit elkaar trekken.
Hoe organiseer je dat als je niet genoeg mankracht hebt?
Dan moet je een FG vanbuiten zoals jij laten invliegen?
DE VRIES: Dat mag. VAN RIJN: Graag zelfs.
DE VRIES: Dat klinkt gek, maar ik ben er geen voorstander van
om die functies zomaar makkelijk extern te doen.
Dat moet een organisatie zelf kunnen regelen,
tenzij het qua kennis en resources niet kan.
Dat is een tijdelijke situatie.
Als je het dan toch wil combineren, kijk je: welke werklast ligt er?
Welke taken liggen er?
Welke bevoegdheden moet die persoon kunnen uitvoeren?
Wat voor kennisniveau hebben we nodig?
Dan ga je kijken: als er maar voor 16 uur werk is,
moet je een parttimer aannemen, of je leidt iemand van je organisatie op
en die maak je vrij om die 16 uur uit te voeren.
ROTMAN: Een voormalig kinderverpleegkundige, bijvoorbeeld.
DE VRIES: Hij is al bezet, maar in principe wel.
Ik zit bij heel veel middelgrote zorgorganisaties
en de mensen hebben een passie voor zorg
en gaan ook aan als ze begrijpen waarom.
ROTMAN: Bart, jij hebt je zaakjes goed voor elkaar.
Dat geloof ik meteen.
Wat zou jij partijen, bedrijven, organisaties adviseren
als ze twijfels hebben?
VAN RIJN: Wat ik zou doen, is ervoor zorgen dat je één persoon hebt
die een goede strategische denker is
en goed op het hoogste niveau mee kan denken.
ROTMAN: De CISO of FG?
-Dat is niet zo belangrijk.
Je moet vooral die kennis gaan organiseren.
Je kan er ook prima voor zorgen dat die strateeg goed verbonden is
met iemand uit de techniek met een passie voor security.
Die combinatie zou weleens goed kunnen werken in kleine organisaties.
Iemand die weet hoe hij de gegevensbescherming
in de organisatie goed kan organiseren, maar ook aan de man kan brengen.
Goed kan praten.
En aan de andere kant iemand die er goed invulling aan kan geven
en met een technische bril mee kan denken.
ROTMAN: En als je als organisatie allemaal je eigen CISO hebt
en je bent acht of vijf of vier zorgorganisaties
en je deelt één FG met een paar organisaties.
Dat klinkt niet onlogisch.
VAN RIJN: Dat zou kunnen.
Maar ik vind dat je wel verbonden moet zijn.
En bij exact dezelfde soort organisatie zou dat best kunnen,
maar je moet wel verbondenheid hebben met waar de business mee bezig is.
ROTMAN: Als ik jullie zo hoor, zou de AP af moeten van het standpunt
dat er twee gescheiden functies moeten zijn.
Ze moeten niet kijken of het gescheiden is,
maar veel pragmatischer:
hebben we het goed geregeld als we er één functie van maken?
VAN RIJN: Het grootste deel wat je samen doet is gegevensbescherming.
Organiseer dat samen. En wat buiten het werkveld valt,
we hebben daar bolletjes voor gemaakt,
organiseer dat goed. Dat zou mijn advies zijn.
DE VRIES: Vanuit Barts oogpunt is dat de enige manier om het op te lossen.
Ik denk dat de stelling vanuit de AP niet zo zwart-wit is
dat hij niet verenigbaar is.
Dat staat net even iets anders in dat paper.
ROTMAN: Anders had Bart een boete gekregen.
DE VRIES: Maar wat ik wel merk, is dat je als externe FG
inderdaad verbonden moet zijn, en ik wil verder gaan,
je moet voelen waar de buikpijnfactor van die zorgorganisatie vandaan komt.
Als je 'n jeugdzorg- of ouderenzorg- organisatie bent, het is allebei zorg.
Het is allebei de carekant, dus niet de curekant.
Daar spelen hele andere dingen. Er zijn andere wetgevingen op van toepassing.
Als je dat niet weet, ben je gewoon een slechte raadgever.
Dus dat moet je weten. En die keuzes moet je met een open vizier maken.
ROTMAN: Dus een belangrijk element in de keuze
'ga ik de functies verenigen of niet' is je zelfkennis.
Hoe goed ken je jezelf? En ken je beperkingen.
VAN RIJN: Dat ook, maar ik denk dat je...
Nee, eigenlijk wel. Je moet weten waar je sterk in bent.
Dat is met elke functie zo, dat je moet organiseren wat je niet goed kan
en wat je wel goed kan, moet je zelf neerzetten.
ROTMAN: Volgens mij is ie wel helder zo.
Dank jullie wel, Bart van Rijn en Mabel de Vries.
Luister andere afleveringen van 'Privacy in de praktijk'.
Leuke onderwerpen, mooie dilemma's.
Ga hiervoor naar cip-overheid.nl/uitgelicht.

Better safe than sorry?

In de laatste en achtste aflevering in deze podcastserie is het onderwerp de ruimte binnen de AVG. Better safe than sorry? Dient er vooral te worden gekeken naar de letter of naar de geest van de wet? Hierover praten Arjen Deenen (FG bij de RijksUniversiteit Groningen) en Sergef Katus, (Privacy Management Partners, onder leiding van Robin Rotman.

Privacy in de praktijk 8: Better safe than sorry?

Better safe than sorry.
Welkom bij 'Privacy in de praktijk.' Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
Privacybescherming bespreek ik met functionarissen gegevensbescherming
en deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast Arjen Deenen, FG bij de Rijksuniversiteit Groningen
en Sergej Katus, FG bij verschillende gemeentes.
Je schreef ook nog een boek, 'Hoe ben ik FG?'
en je bent partner bij Privacy Management Partners. Zeg ik dat goed?
Privacy Management Partners, wat is dat?
KATUS: We zijn een bureau van mensen uit de praktijk
die dachten: dat kunnen wij ook aan anderen vertellen.
Hoe kunnen wij organisaties helpen het goede te doen
en het goede goed te doen.
-Arjen, better safe than sorry.
Ik denk dat heel veel FG's zich hier wel mee kunnen identificeren.
Het is een beetje een spreuk. Hoe uit zich dit in de praktijk
als een soort dilemma? Dus wat is de safe-kant en wat is de sorry-kant?
DEENEN: Dat is een goeie.
Als je begint als FG heb je die AVG, je hebt die letterlijke tekst,
en als je begint, is dat natuurlijk wel een beetje spannend.
Je bent als FG toezichthouder, je bent degene die verstand heeft van zaken.
Elke FG begint ergens, dus het is een kwestie van groen en rijp.
Dus je houdt in eerste instantie krampachtig vast aan die tekst.
En de vraag is of je daarmee ook het doel van de AVG behaalt.
ROTMAN: Want je denkt: ik verschuil me achter de regels.
'Als ik mijn bestuur aan de regels hou, zit ik veilig.'
Sergej, jij loopt al een tijdje mee, zou je kunnen zeggen.
Je bent bij verschillende gemeenten actief, je schrijft boeken.
Proef jij, als je al langer bezig bent in dit vak, dat er eigenlijk ruimte is,
dat er helemaal niet zoiets is als de letter van de wet,
als het gaat over de AVG?
KATUS: Nou, de AVG staat vol met lettertjes, laten we daar wel over wezen.
Maar tegelijkertijd is het wetgeverstaal.
En die wetgeverstaal is geen managementhandboek
of praktijkhandleiding. Dus er staan ook een heleboel dingen
tussen de regels, of het staat er niet of je moet het in de overwegingen zoeken.
Dus als je even de AVG openslaat en je zegt 'hoe zit het?',
dan kan het zo zijn dat je de wet veel te oppervlakkig leest
en daarnaast zijn er ook allerlei modellen, formats
die worden gepubliceerd door de een en de ander.
Dus er ontstaat ook een hele wereld die jou gaat vertellen
dat je de AVG moet lezen, want als je dat format gebruikt
en die modelovereenkomst, dan doe je het goed. Maar is dat zo?
ROTMAN: Wat merk jij bij FG's?
Ik kan me voorstellen dat jij voor veel FG's een vraagbaak bent.
Of dat je mailtjes krijgt van FG's.
'Sergej, hoe moet ik dit probleem aanvliegen?'
Merk je dat dit inderdaad een ding is uit de praktijk?
Sommige mensen denken: Ik wil me aan de regels houden.
Merk je dat? Is dit een ding?
-Uiteraard. Dat kom je vaak tegen.
Bijvoorbeeld: moet ik dit datalek melden aan de Autoriteit Persoonsgegevens?
Wanneer moet je wel melden, wanneer niet?
Better safe is dat je alles meldt.
Als ik de AP ben, zou ik niet blij zijn met alles wat gemeld wordt,
want het is een lawine aan kleine dingetjes en is dat nou erg?
ROTMAN: Hoe functioneel is het? Wat ben je aan het doen? Arjen,
jij werkt op een universiteit. Dat vind ik leuk.
Die hebben we nog niet gehad in deze serie.
Op welke manier krijg jij te maken met privacyvraagstukken?
DEENEN: Dat is wel divers.
Het mooie van een universiteit is dat je meerdere domeinen hebt.
Je hebt onderzoek, onderwijs en bedrijfsvoering.
Dus je maakt het hele spectrum mee. Dat is heel erg leuk.
Bedrijfsvoering in onderwijs komt wat vaker voor.
Onderzoeken is veel meer onontgonnen gebied.
In die zin dat daar nog veel meer ontwikkeld wordt.
ROTMAN: Dus als een wetenschapper bezig wil met data
en daar onderzoek naar wil doen of mee wil doen,
valt dat ook onder jouw FG-domein. Dan moet je er ook wat van vinden.
DEENEN: Ja, mits wij het over persoonsgegevens hebben.
Want bij veel onderzoek komen er geen persoonsgegevens aan te pas.
ROTMAN: Ik proef aan mijn water dat dit dilemma gaat over
als je net begint, zit je aan de kant better safe
en als je wat langer actief bent zit je aan de kant van:
'Ik voel ruimte, ik zit eigenlijk...'
Die safezone is misschien groter als je er meer verstand van hebt.
Waar plaats jezelf een beetje in dit spectrum?
DEENEN: Ik moet eerlijk zeggen dat ik mezelf nog niet altijd als dé expert zie.
Het voordeel daarvan is dat je jezelf ook de mogelijkheid geeft
om nog veel te leren.
Onzeker zijn hoeft niet erg te zijn, want het stimuleert om verder te zoeken.
Dat geldt ook voor mij. Als ik iets spannend vind,
ga je juist meer die materie in, ga je onderzoeken,
ook proberen niet direct antwoord te geven,
want ook van onderzoekers krijg je de vraag 'mag dit?'.
Niet alleen voor onderzoek, dat geldt ook voor bedrijfsvoering en onderwijs.
Maar naarmate je wat verder komt, durf je in die zin ook wat meer te doen.
Durf je wat meer los te raken, en als jij in die zin genoeg ballen hebt,
dan durf je ook weleens in te gaan tegen wat bijvoorbeeld een AP zegt
of wat in een sector gebruikelijk is.
ROTMAN: En dan voel je ook dat die ruimte er daadwerkelijk is.
DEENE: Nee, nog niet altijd, want je bent een beetje aan het pionieren.
En dat kan best wel spannend zijn.
Dus dat is wat ik ervan mee krijg.
Dus in dat geval laat je de letterlijke... of naar wat er lijkt te staan in de wet,
laat je wat meer los en je pakt wat meer de ruimte.
Bij de universiteit hanteren wij algemeen belang,
maar algemeen belang is soms wel lastig,
want wij mogen in het kader van de wet voeren wij onderwijs en onderzoek uit,
maar dat is natuurlijk heel breed.
Waar begint en waar stopt dat onderzoek dan?
En wat mag je in het kader van het onderzoek doen?
ROTMAN: Ik vraag nu om even alvast na te denken over een casus
uit jouw praktijk, waaruit blijkt dat het inderdaad niet zo makkelijk is
waar nou die grens zit. Safe or sorry.
Maar Sergej, het is ook een beetje waar wat hij zei.
Het is ook pionieren, toch? Het is ook een nieuw terrein,
die AVG is ook relatief nieuw.
De AP is ook niet altijd...
Het is ook een kwestie van jurisprudentie opbouwen.
Zo werkt het op dit moment. Daar staan we toch gewoon?
KATUS: En kennis en ervaring uitwisselen, wat we nu doen.
Vaak met elkaar in gesprek zijn, ook veel in gesprek zijn met je doelgroep.
Studenten, patiënten, inwoners.
Dus ik zeg altijd: privacy is eigenlijk meer een vorm van dialoog
die met elkaar voert, waar vind je nou dat de grenzen liggen,
dan dat het hele strikte grenzen zijn.
En het grappige is dat als je het hebt over de letter van de AVG
je merkt dat die letters zo zijn opgesteld dat het juist ook de bedoeling is
dat je met elkaar daar inkleuring aan geeft.
Ik zeg ook altijd: ieder mens heeft als het goed is
een soort kan-niet-waar-zijn-meter in zijn lijf
en als die meter helemaal in het rood doorslaat:
'Het kan niet waar zijn dat dit niet mag van de privacywetgeving',
zit je waarschijnlijk fout. ROTMAN: Of het kan niet waar zijn
dat ze iets willen doen: maar we hebben toch ook...
KATUS: Exact, het gaat allebei de kanten op.
ROTMAN: Arjen, heb je een casus uit jouw praktijk?
DEENEN: Ja, die heb ik wel.
Wat op zich interessant is wat betreft onderzoek
is onderzoek onder de eigen studentengemeenschap.
Wat de universiteit ook doet is onderzoek doen met de eigen studenten.
En wat daar lastig aan is, is dat in de sector, maar ook AVG, UAVG
om toestemming vraagt op het moment dat wij onderzoek doen
en dan het liefst met bijzondere persoonsgegevens.
ROTMAN: Dus dat is de letter van de wet.
DEENEN: Kort door de bocht zou ik zeggen: ja.
Maar de maar zit hem in het stukje algemeen belang.
Een universiteit heeft algemeen belang, dus onderzoek en onderwijs,
en binnen dat kader, algemeen belang, kun je volgens mij ook een hoop doen.
Dat staat er niet letterlijk in en hier in Nederland
en in onze sector zijn we heel terughoudend.
Maar ik denk dan: daar kun je inderdaad wat meer loslaten in die zin
dat je de letterlijke tekst loslaat en daar gewoon gebruik van gaat maken.
ROTMAN: Er zit gewoon ruimte.
-Ja.
ROTMAN: Sergej, akkoord?
-Ja, ik zie veel parallellen
met het gemeentewerk met algemeen belang.
ROTMAN: Bij gemeentewerk denk ik aan vuilnisbakken ophalen.
Gemeentewerk en gegevensverwerking?
KATUS: Het algemeen belang.
De AP heeft bijvoorbeeld een mooi rapport geschreven
over de rol van toestemming in het sociaal domein.
Waar het dan om gaat, is dat ook bij gemeenten
veel met toestemming wordt gewerkt.
En ik ga een beetje kort door de bocht,
maar in feite zegt de AP: stop nou eens met toestemming.
Want gemeenten hebben een taak in het algemeen belang.
We hebben het algemeen belang en dat staat ook zo in de AVG.
En om die taak uit te oefenen moet je natuurlijk wel je ding kunnen doen
zonder dat je afhankelijk bent van toestemming.
En ik denk dat Arjen dat bedoelt.
ROTMAN: Soms is de afwezigheid van toestemming
een soort voorwaarde voor succes.
Is dat wat je zegt? Is dat wat er in jouw onderzoek speelde?
In principe hoor je toestemming te vragen,
maar je weet ook als je toestemming gaat vragen,
dan gaat het misschien ten koste van de kwaliteit van het onderzoek?
DEENEN: Nee, eerder ten koste van de zogenaamde rechten en vrijheden
van de betrokkenen.
Je geeft ze zogenaamd een stukje vrijheid door toestemming te vragen.
Eigenlijk kun je geen toestemming vragen,
want het is een hoogleraar, of een andere medewerker bij de universiteit,
die jou die toestemming vraagt.
In hoeverre is die dan nog vrijelijk gegeven?
Het zit niet zo zeer op de inhoud en kwaliteit van het onderzoek.
ROTMAN: En als zo'n casus op je pad komt,
voel je dan gelijk intuïtief 'dit wordt spannend'?
'Ik zit een beetje de randjes op te zoeken.' En hoe ga je daar dan mee om?
DEENEN: Ja en nee. In die zin vind ik het spannend,
omdat het niet gebruikelijk is binnen ons sector
om gebruik te maken van algemeen belang.
Ik weet wel dat de AP binnenkort met een stuk advies komt.
Daar ben ik wel heel benieuwd naar.
Maar nee, ik vind het in die zin niet spannend,
want ik denk dat je die ruimte gewoon moet pakken. Die is er.
De autoriteiten in het buitenland zijn er al wat verder in.
De ICO is nu niet heel relevant niet meer, maar die was daar heel duidelijk in.
Je kunt dat gewoon pakken en doe dat dan ook.
ROTMAN: Sergej, als ik jou aanspreek
op je nestorschap binnen de wereld van de FG's,
wat zou jij dan FG's willen adviseren, als je denkt:
'Nu zit ik een beetje in een grijs gebied. Er komt een casus op me af
waarbij ik de regeltjes een beetje moet of kan loslaten'...
Jij hebt vaak met dat bijltje gehakt.
Hoe doe je dat zodat je ook nog het gevoel houdt
'ik doe het nog steeds goed als FG'?
KATUS: Dat heeft heel erg te maken met snappen wat werkelijk het probleem is.
De lettertjes kunnen soms meer een probleem maken dan oplossen,
als je daar te oppervlakkig mee omgaat.
Ik moet even denken aan de meldplicht datalekken.
Moet ik nou wel of niet melden? Eigenlijk zegt de AVG:
'Je hoeft niet te melden als er eigenlijk niet zoveel aan de hand is.'
Daar heb je het weer. Hoe groot is het probleem?
Je hebt zelfs een plicht om niet te melden als het probleem er eigenlijk niet is.
Dus waar hebben we het over?
ROTMAN: En bij datalekken geldt dat een heleboel FG is het gevoel hebben,
elk datalek, groot en klein: Ik moet meteen gaan melden. Dat zijn de regels.
Dat gevoel heerst.
-En toestemming is er ook zo een.
Zeker als ik een juridische opleiding heb gehad,
snap ik heel goed wat toestemming is,
en wilsovereenstemming, en alles wat erbij hoort.
Dus dat is koren op mijn molen. Ik sla de AVG open
en het eerste wat ik tegenkom is het woord 'toestemming' in artikel 6.1.
Dan zeg ik altijd: Realiseer je, dat is de vluchtstrook.
Je hebt nog vijf andere rijbanen waar je mag rijden
en dat gerechtvaardigd belang, en openbaar gezag staat er bij,
geeft nou eenmaal de universiteiten, in dit geval,
de taak om universiteit zijn en onderzoek te doen.
Je vroeg net 'wat waar zit het 'm nou in?'
en toen had Arjen het over die die gezagsrelatie en dat soort dingen,
afhankelijkheidsrelatie, maar wat hier ook speelt,
of je nou gemeente bent of DOU of universiteit:
je kunt geen universiteit zijn als je voor ieder wissewasje
iedere keer toestemming moet vragen.
Dat is zand in de raderen van de samenleving.
ROTMAN: Dan staat onderzoek en innovatie stil.
Voel je dat ook zo, Arjen?
-Jazeker.
Wil je de grens opzoeken, ook van wetenschap,
dan moet je onderzoek gaan doen.
ROTMAN: Ik hoor nu, en dan gaan we afronden...
Er zijn een hoop situaties denkbaar waarbij...
Jij noemde net de gemeentes en onderzoek en Sergej noemde weer
het wel of niet melden van datalekken.
Jij zei: de eerste stap is zorgen dat je snapt waar deze casus over gaat
en probeer echt inzichtelijk te krijgen, wat al moeilijk genoeg is,
waar nu de kneep zit, word wijzer in deze zaak.
Wat zijn nog meer handige, concrete stappen
die je als FG kan doen als je je voelt:
'Ik zit nu in dat heerlijke grijze gebied waar we kunnen gaan spelen.'
Arjen, heb je nog tips voor FG's?
-Ik adviseer om een DPIA te doen,
data protection impact assessment.
Daar volgen al een hele hoop kleine risico assessments uit
en dat geeft ook veel meer duidelijkheid.
Wat je daarmee ook geeft, in mijn geval met onderzoek,
zijn wat handvatten. Waar gaat het nou om?
Want we hebben het dan altijd over privacy,
maar het gaat om gegevens beschermen en het beschermen
van de natuurlijke personen,
maar wel het onderzoek nog kunnen doen.
Ik geef je daar ook handvatten mee en een stukje awareness.
ROTMAN: Lees je in en word wijzer, DPIA's.
Sergej, nog meer tips en tricks om jezelf meer te wapenen als hierin terechtkomt?
Het is iets waarin je je moet trainen, dus dat moet je heel veel doen,
maar dat is: lees overweging 76 AVG. Daarin staat... ik zeg dit...
ROTMAN: Ik moet een beetje lachen. Je kent ze allemaal uit je hoofd.
KATUS: Ik zeg dit, omdat we dit doen voor FG's en die pakken de wet erbij:
'Waar staat dat dan?' ROTMAN: Wat is die overweging?
Dat je niet van risico kunt spreken zonder een objectieve beoordeling
van het risico, waarbij je ernst en waarschijnlijkheid
tegen elkaar afweegt. Dus wat we niet moeten doen is theoretisch zeggen:
'Dat is erg, want dan kan over 30 jaar dit en dat misgaan met mensen.'
Nee. Hoe waarschijnlijk is het dat het scenario in je hoofd
zich werkelijk zal voltrekken en wat is dan het causaal verband?
Hoe kun je dat terugleiden naar de AVG?
Denk bijvoorbeeld aan de toeslagenaffaire:
de AVG zegt: je mag alleen acteren op gegevens die juist zijn.
Als je kijkt wat er in de toeslagen gebeurde en je ziet dat scenario van
'o jee, we gaan terugvorderen',
dan had je kunnen voorspellen aan de voorkant, met het AVG-risicobegrip,
hoe erg het is dat je zomaar gaat terugvorderen bij mensen,
want de gegevens die je hebt zijn niet juist.
ROTMAN: Welke was dit, voor de fijnproever?
KATUS: Overweging 76. En kijk ook eens op 75.
ROTMAN: Uiteraard. Tot slot: Arjen, laatste tip.
We hebben nu drie bruikbare tips die je als FG kan toepassen
als je in een situatie waarin je het grijze gebied gaat betreden.
DEENEN: Probeer je in te leven in de betrokkenen.
ROTMAN: Probeer je in te leven, gewoon easy as that.
De belangen van de betrokkenen goed in kaart krijgen.
DEENEN: Probeer je in te leven, want het gaat om verwachtingsmanagement.
KATUS: Wat dat betreft zeg ik weleens: de AVG gaat niet over privacy,
maar precies het omgekeerde. Know your customer.
ROTMAN: Het gaat over mensen.
Blij dat jullie er zo over denken, het gaat ook over mij.
Dank jullie wel, Arjen Deenen en Sergej Katus.
Luister ook de andere afleveringen van 'Privacy in de praktijk' terug.
Ga hierdoor cip-overheid.nl/uitgelicht.

De podcasts zijn hier te beluisteren, maar ook via één van onze podcastkanalen Apple en Google Podcasts, Spotify of Soundcloud.