CIP podcastserie: Privacy in de praktijk II

KAGER: Hoe deel je data veilig met andere landen?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en in deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen en betrokkenen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
KAGER: Al ben je de controle over je data kwijt
het blijft jouw verantwoordelijkheid.
ROTMAN: Deze man kan niet alleen alles vertellen over data en privacy
hij kan ook nog eens rijmen.
Vandaag te gast: Peter Kager, privacy- en ICT-jurist bij ICTRecht.
Leuk dat je er bent. We praten vandaag over data delen met het buitenland.
Als je het hebt over data delen met het buitenland
heb je het eigenlijk over data stallen in het buitenland.
Niet delen, maar stallen, toch? Leg eens even uit: Hoe zit dat?
KAGER: Het is breder dan dat.
Niet alleen het stallen van data in het buitenland
maar überhaupt het delen of het doorgeven van data naar het buitenland.
In het ergste geval zelfs nog dat de data in Europa staat
en ingezien wordt vanuit buiten Europa, het buitenland.
ROTMAN: En dan gaat het over servers. Waar is die data?
Is dat de cloud? Waar hebben we het over hier?
KAGER: Ja. Ik roep altijd: De cloud is niet meer dan andermans computer.
Een server die ergens anders staat, die het voor jou mogelijk maakt
dat je data veilig overal, snel en makkelijk beschikbaar is.
Dat is inderdaad vaak het buitenland. Buiten Europa.
ROTMAN: Het grote boze buitenland. We hebben het ook over social media.
We hebben het over Microsoft 365, dan werk je dus in de cloud.
Die informatie komt dan in het buitenland terecht.
Dat grote boze buitenland, kan dat ook Europa zijn waarop jij gaat aanslaan?
Of is het eigenlijk vooral het verdere buitenland?
KAGER: Het verdere buitenland. Als het gaat over data
hebben we het in mijn geval vaak over persoonsgegevens
privacygevoelige gegevens. Daar hebben we in Europa de AVG voor.
De Algemene Verordening Gegevensbescherming.
Die beschermt de data binnen Europa.
Uitgangspunt is dat als je de data binnen Europa hebt staan,
dat dat valt onder de AVG en in ieder geval wettechnisch goed geregeld is.
ROTMAN: En jij werkt voor ICTRecht. Hoe kom jij dan in de picture?
Wie zijn dan jouw klanten als het gaat over partijen
die dus hun data kennelijk in het buitenland hebben gestald?
KAGER: Ja. Dat kan alles zijn.
Dat kunnen organisaties zijn binnen de overheid,
kunnen organisaties zijn buiten de overheid, commerciële organisaties.
Ik adviseer een betaaldvoetbalclub, een applicatie om veilig te mailen
een pensioenfonds, ministeries, gemeenten, provincies.
Die hebben allemaal te maken met:
Hé, op enig moment hebben we misschien iets van data in de cloud staan
dus moeten we weten: Waar staat het?
Staat het er veilig? Staat het er goed?
ROTMAN: Wanneer ga jij aan? Wanneer denk je: Oké, nu moet ik opletten.
Wat zijn een beetje de haken en ogen?
KAGER: Op het moment dat ik echt aansla op dit stuk van 'waar staat data'
is het vaak: Hé, wat voor applicaties gebruik je, wat voor software?
Zit je in Office365 van Microsoft of heb je 'n eigen applicatie gemaakt of bedacht?
Altijd even checken: Waar staat de data uiteindelijk?
Onderaan de streep, als je iets met het internet wil verbinden
moet de data ergens staan om te zorgen dat het via internet beschikbaar is.
ROTMAN: Bij welke landen ga jij dan aan?
Dat je denkt: Nu moeten we opletten.
KAGER: Nou, met stip op 1 natuurlijk de Verenigde Staten.
ROTMAN: De Amerikanen? Zijn dat de databoefjes?
KAGER: Dat zijn niet direct databoefjes, het ligt eraan hoe je 't bekijkt
maar die hebben wel een iets andere kijk
op privacy en omgang met persoonsgegevens dan wij in Europa.
ROTMAN: Wat is dan voor jou je belangrijke punt?
Gaat het dan over de opsporingsdiensten misschien?
Of überhaupt de moraal als het gaat over privacy?
KAGER: Nee. Niet zozeer de moraal, maar vooral de opsporingsdiensten.
Ze hebben in Amerika wetgeving die iets anders in elkaar steekt
qua opsporing dan wij in Europa kennen.
We hebben uitspraken gezien van een Oost-Europese rechter
die zegt: Door die Amerikaanse wetgeving
kan eigenlijk onze Europese data niet zo veilig in Amerika opgeslagen worden.
ROTMAN: Wat is dan het probleem? Ze kunnen erbij?
Dat is het een beetje? Want het blijft een beetje ongrijpbaar.
'Ze kunnen erbij.' Dat is het eigenlijk, hè?
KAGER: Ja. Heel plat gezegd:
De Amerikaanse opsporing kan bij die data.
In Europa hebben wij daar het stelsel van checks and balances voor.
Je hebt het openbaar ministerie
opsporingsinstanties die zich aan regels moeten houden.
Maar die regels in Amerika zijn gewoon net iets breder en ruimer.
Je zou het bijna in Europa wel kunnen vertalen als een soort sleepnet.
We halen alles binnen en kijken of we er iets aan hebben.
ROTMAN: Toen ik dit voorbereidde, dacht ik:
Dit gaat over de Chinezen, maar jij zegt 'met stip op 1 de Amerikanen'.
KAGER: Ja.
-Hoe komt dat?
KAGER: Omdat wij qua uitbesteding van onze dienstverlening
veel meer gebruikmaken van de Amerikanen dan van de Chinezen.
Iedereen kent wel de diensten van Amazon, Microsoft, Google.
Ik ken de cijfers niet exact, maar dat is wel veel meer gebruikelijk
dan de diensten van de Chinezen.
ROTMAN: Heb jij de indruk dat wij ons met z'n allen
en al die bedrijven die je adviseert en die overheden
dat ze zich voldoende bewust zijn dat dit best wel tricky is misschien?
KAGER: Ja, ze zijn zich wel voldoende bewust dat er risico's aan kleven.
Men weet wel: Over het algemeen, data in Amerika, daar moeten we iets mee.
Maar wat je er dan uiteindelijk mee moet en dat het juridisch gezien
behoorlijk problematisch is, dat is nog niet bij iedereen helemaal bekend.
ROTMAN: Even kijken of we twee casussen kunnen bespreken
om een beetje te illustreren waarom dit best wel tricky is.
Zonder dat mensen dat in de gaten hebben.
Een overheid, die heeft dus kennelijk data in het buitenland.
Op welke manier? Hoe werkt dat?
KAGER: Ja, nou, er zijn de afgelopen drie, vier jaar
diverse onderzoeken uitgevoerd in opdracht van de rijksoverheid
vooral ten aanzien van diensten van Microsoft:
Office 365, Microsoft Teams, OneDrive, SharePoint.
Uit die onderzoeken kwamen DPIA's, data protection impact assessments
mooi woord voor privacyrisicoanalyse.
Daar is wel uit gebleken dat Microsoft onder water
bepaalde data toch naar Amerika stuurt.
Eén waren ze daar niet heel transparant over.
Maar twee is dat ook, zeker gelet op de uitspraken
die in de zomer van vorig jaar zijn gedaan, heel problematisch.
ROTMAN: En de overheid, de Nederlandse overheid, de ministeries, de gemeentes
de provincies werken met software van Microsoft
en jij zegt eigenlijk: Ja jongens, de Amerikanen kijken wel mee.
KAGER: Ja, nou, kijk, uit die risicoanalyses is dus gebleken:
De Amerikanen kunnen meekijken.
Want tegelijkertijd moet ook gezegd worden:
Het risico is geadresseerd van: Hé, de Amerikanen kunnen meekijken
omdat Microsoft onder water bepaalde data naar Amerika stuurt.
Dan moet je denken aan analysedata of telemetriedata zoals ze dat noemen.
Dus hoe worden onze diensten gebruikt?
Maar in gesprekken die de rijksoverheid met Microsoft heeft gevoerd
heeft Microsoft ook meteen cijfers aangegeven en gezegd van:
In theorie zouden de Amerikanen data op kunnen vragen
maar het is in onze praktijk nog nooit gebleken dat de Amerikaanse overheid
data heeft opgevraagd van Nederlandse overheidsinstellingen.
Dus dat maakt het risico ook meteen een stuk kleiner.
In theorie bestaat het, maar de kans dat het daadwerkelijk gebeurt is heel klein.
ROTMAN: Wat zegt je gut feeling? Gebeurt het ook inderdaad echt niet?
KAGER: Nee, nee. Kijk, je weet niet...
-Zeg dan alsjeblieft van:
Ja, het gebeurt aan de lopende band.
-Nee, dat kan ik niet
want Microsoft is daar ook wel de partij in die daar transparant in is
en ook bekend staat als voorvechter voor de Europese privacyrechten.
ROTMAN: Dit is typisch 'n voorbeeld van een Amerikaans bedrijf.
Die data zit daar ergens op die servers in Amerika.
Wij maken daar massaal gebruik van.
En zo zijn er nog meer voorbeelden van allerlei organisaties.
Oké, anders. Een bedrijf, een casus, noem eens wat.
KAGER: Ja, ik, ik, ik.... Wat ik veel zie, is ook bijvoorbeeld
het uitbesteden van bepaalde diensten of onderdelen van dienstverlening
en klantenservice, telefonische klantenservice
afhandeling van e-mail, chat, wordt ook vaak uitbesteed.
En of dat nu is naar India of naar Turkije
je ziet dat dat de landen zijn met wat lagere lonen
en dat mensen toch denken: Misschien moeten we daar kijken voor uitbesteding.
Het probleem is dat als je dat doet
dat je ook persoonsgegevens buiten Europa brengt
en dat je dus afspraken moet maken dat ook als die gegevens
buiten Europa gebracht worden dat ze daar ook veilig zijn.
Als dat naar landen gebeurt die niet zulke strenge privacyregels hebben
als wij in Europa dan zit je met een probleem.
ROTMAN: En wanneer komen de mensen bij jou terecht?
'We willen een klantenservice ergens in Turkije gaan onderbrengen.
Hoe doen we dat het veiligst?'
Of komen ze bij jou als ze het gevoel hebben van:
Hé, dit doen allemaal niet zo handig. Help, weet je, zo.
KAGER: Allebei. Ja.
Het beste is de situatie als ze vooraf bij mij komen natuurlijk.
Als ze zeggen: We willen dit gaan uitbesteden
en dat ik zeg: Dan gaan we naar de contracten kijken.
Waar staat de data? Hoe gaan we daarmee om?
En dan moet je soms ook een, ja, echt een risicoanalyse maken
van de situatie in dat land.
De DTIA is daar een mooi nieuw voorbeeld van.
De data transfer impact assessment.
Wat heeft het voor gevolg als wij data naar Turkije, India
of waar ook ter wereld brengen?
Wat voor wetgeving hebben ze? Dat moet je in kaart brengen.
Dat is de meest ideale situatie, dat ik vooraf daarbij betrokken wordt.
In de praktijk gebeurt het ook vaak
dat dat al in een iets verder gevorderd stadium is
en in het ergste geval dat de diensten al afgenomen worden
en dat ik dan de boeman moet spelen en zeggen:
Ja, ho even. We moeten hiermee stoppen, want we hebben ons huiswerk niet gedaan.
ROTMAN: Dat is de enige manier om het te repareren achteraf?
-Ja.
En in hoeverre zijn al die andere landen of die diensten
neem Microsoft, nou daadwerkelijk transparant over wat ze doen?
Je zei net een beetje van: Ze zijn wel, ze zijn niet transparant.
KAGER: Nou kijk, de diensten, als je het hebt over de grote jongens
en ik heb laatst nog opgezocht: Wat zijn nu de grote jongens qua videobellen?
Dan kom je bij Microsoft uit met Teams, dan kom je bij Zoom uit
en die delen wel data over: Hoeveel van die verzoeken krijgen wij?
Maar er zit toch altijd een soort zweem: Oké, maar mogen ze alles wel delen?
Microsoft kan bijvoorbeeld niet de absolute aantallen delen
maar die biedt dan bandbreedtes. Dus die zegt:
Oké, deze maand tussen de 0 en 450 verzoeken.
Afgelopen maand was dat tussen de 450 en 999 verzoeken.
Dus ze proberen echt wel hun best te doen om transparantie te bieden.
Dat is logisch, want de Europese klant heeft daar behoefte aan.
Dus daar, ja, gaan ze toch op inspringen.
ROTMAN: En die AVG hier binnen Europa zegt: Daar heb ik vertrouwen in.
Dat is goed. We hebben het goed gedaan eigenlijk hier in Europa.
KAGER: Qua wetgeving is het goed gedaan. Het staat goed op papier.
De vraag is alleen: kunnen we het goed in de praktijk toepassen
en op de juiste manier handhaven?
ROTMAN: Want betekent dit ook
dat als ik met mijn organisatie, met mijn club of met mijn overheidsdienst
data ergens in, weet ik veel, Duitsland, Frankrijk, in Europese landen heb staan
dat jij zegt van: Nou, dat zit wel goed. Die AVG doet z'n ding, komt goed.
Of denk je: Nou, wakker blijven.
KAGER: Niet dat het altijd goed gaat. Je moet altijd wakker blijven, scherp blijven
en je hebt zelfs de verplichting om te controleren of het nog wel goed gaat.
Wat je afgesproken hebt, wordt dat nog wel nageleefd?
Kunnen we even met elkaar om tafel
want we hebben afgesproken dat het zo zou gaan.
Laat maar zien dat dat in de praktijk daadwerkelijk gebeurt.
Het is nooit een kwestie van stilzitten. Het is altijd: Het is jouw data.
Jij moet er bovenop zitten. Jij bent er verantwoordelijk voor.
ROTMAN: Tips en tricks. Iedereen voelt 't aan z'n water.
Iedereen weet het, we weten het allemaal wel een beetje.
Pas nou op met die data die naar het buitenland gaat op die servers
bij die Amerikanen, misschien bij de Chinezen
misschien bij de Turken, in ieder geval ergens.
Er is data, we weten allemaal: opletten, opletten, opletten.
Wat zijn nou de tips en tricks? Ik kan me zo voorstellen inderdaad:
Wees je er in ieder geval van bewust. Dat is natuurlijk altijd tip één
maar dat is kennelijk niet vanzelfsprekend.
Het is een dingetje als je die data in het buitenland opslaat.
Is dat een belangrijke tip?
KAGER: Ja, dat is... Ik heb verschillende tips
maar ik zou altijd beginnen met te definiëren van:
Weet met wie je zaken doet en waar je data staat.
Weten met wie je zaken doet, is vaak in de praktijk:
Oké, je sluit in mijn praktijk een overeenkomst met partij XYZ.
En dan denk je: Oké, dat is het.
Maar ga altijd even doorvragen, diepe vragen:
Wie schakelen zij allemaal nog in?
Het kan zijn dat er een keten van partijen is
die met jouw data aan de slag gaat, zeker in de digitale wereld.
ROTMAN: En misschien is het ook 'n tip...
Kun jij bijvoorbeeld afdwingen van: Oké, ik ga met jou in zee.
We gaan je software gebruiken. We hebben dat getest
we hebben een analyse gedaan. Dit werkt voor ons doel het beste.
Maar je gaat je wel aan onze privacyregels houden
anders zoek ik iemand anders. Kan je dat afdwingen op die manier?
KAGER: Kan je 't afdwingen? Sterker nog, je moet 't afdwingen.
Zeker als je buiten Europa gaat met je data, moet je 't afdwingen.
Dat ben je wettelijk verplicht. Er is ook een modelovereenkomst
the standard contractual clauses heten die dingen in mooi Engels
die je dan verplicht of bijna verplicht moet sluiten.
Er zijn wat alternatieve details daargelaten
maar je bent verplicht dat af te spreken met de partij.
Daar zit ook de moeilijkheid, want dan...
ROTMAN: Dan stuur je de AVG mee en zeg je...
KAGER: Daar komt het op neer, maar daar zit de moeilijkheid
want in die overeenkomst staat ook van: Hallo, als er wetgeving in het land
waar we de data naartoe sturen is, die botst met bijvoorbeeld de AVG,
moeten we met elkaar wel even om tafel gaan.
Daar zit in Amerika de moeilijkheid.
-Dan zeggen we: De AVG is leidend.
Anders zoeken we wel een concurrent van je, toch?
KAGER: Dat zou kunnen. Alleen is nog steeds wel de prijs-kwaliteitverhouding
van de grote bekende jongens, die staan vrij bovenaan.
ROTMAN: Oké, dus tip één: Wees je bewust en kijk waar je data heen gaat
krijg er een mooi overzicht in. En de andere tip is: Dwing het af.
Zorg er gewoon voor... We eisen dat op.
Andere tips. Wat zijn nog belangrijke tips van: Oké, dat moet je doen.
KAGER: Kijk naar de beveiliging die je zelf toe kan passen.
Onder andere Microsoft biedt standaard encryptieversleuteling van je data
maar dat is wel encryptie waar Microsoft de sleutel van heeft.
En in het puur theoretische geval zou de Amerikaanse overheid bijvoorbeeld
ook de sleutel kunnen opvragen
zouden ze Microsoft kunnen dwingen die sleutel af te geven.
Dus zorg ervoor dat niet Microsoft de sleutel heeft, maar jijzelf.
ROTMAN: Dus 't IT-team van je organisatie kan zeggen:
we gaan die spulletjes gewoon versleutelen.
Dan pas gaat het ergens op een server in Amerika staan.
Versleutel het zelf al aan de voorkant.
-Ja, absoluut. Absoluut, ja.
ROTMAN: Dus versleutelen. Wees je bewust waar het staat.
Krijg inzicht. Ken de regels, weet waar je aan toe bent. Dwing het af.
Verder nog belangrijke dingen?
KAGER: Nou, kijk ook...
Schroom niet om ook te kijken naar Europese oplossingen.
Puur Europese oplossingen.
-Alternatieven die binnen de AVG vallen.
KAGER: Ja, zoek alternatieven die binnen AVG vallen
en niet te maken hebben met andere rechtsstelsels
of andere invloeden van buitenaf.
Maar die, ja, eigenlijk dezelfde kwaliteit van dienstverlening bieden
die we van de Amerikaanse jongens kennen.
ROTMAN: Nu weet ik dat veel Europese politici, Europarlementariërs...
In Europa, in Brussel, wordt veel gepraat over data, over privacy.
Allemaal regelgeving wordt er over ons uitgestrooid.
Dat is niet iets per se waar bedrijven en organisaties zelf iets aan kunnen doen.
Maar ze zeggen wel vaak:
We zijn te afhankelijk van al die buitenlandse spelers.
We zouden zelf wat meer van dit soort software moeten bouwen in Europa.
We moeten dat stimuleren, er misschien wat geld in steken.
We moeten misschien zelf die platforms gaan bouwen.
Is dat iets waarvan van jij dan als jurist vrolijk wordt?
Dat je denkt: Ja, eigenlijk wel.
KAGER: Enerzijds word ik daar wel vrolijk van
want dat is natuurlijk als je 't vanuit een privacybril bekijkt
wel een hele goede oplossing.
In ieder geval een stuk veiligere oplossing juridisch technisch.
Anderzijds denk ik ook dat je je niet moet vergissen in de positie, de kennis
de macht die de grote Amerikaanse jongens al hebben op bepaalde vlakken
en dat we daar niet zo heel snel en heel gemakkelijk met een paar euro
een Europees alternatief op kunnen zetten.
-Ze lopen een jaar of tien voor.
KAGER: Ze lopen 'n behoorlijk stuk voor op kennis, kwaliteit
en ja, vooral ook de schaalgrootte.
ROTMAN: Hoe kijkt de Europese rechter hiernaar?
Als ik dan m'n verhaal zou willen halen, als overheidsclub of als bedrijf?
Wat vindt de rechter ervan?
KAGER: Nou ja, die is eigenlijk klip en klaar. Die zegt van: joh...
Als we 'm helemaal plat slaan, zegt de Europese rechter op dit moment:
Europese persoonsgegevens veilig in Amerika stallen, is gewoon een no go.
Dat doe je niet, dat krijgen we niet voor elkaar.
ROTMAN: Het gebeurt niet. Dus die zegt van: Ja jongens, let op.
Oké, dan nog heel eventjes terug. We hadden als vraag opgeworpen:
Hoe stal je je data veilig in het buitenland?
En je had een soort antwoord geformuleerd dat rijmde.
Nog eventjes terughalen?
-Ja, ja, ja.
Ook al ben je de controle over je data kwijt
het blijft jouw verantwoordelijkheid.
ROTMAN: Oké. Dus je zegt: Je geeft een deel van je controle op
maar je blijft verantwoordelijk.
-Altijd.
ROTMAN: Dat is ook een somber beeld eigenlijk, of niet?
KAGER: Geen somber beeld.
Je legt de verantwoordelijkheid bij de partij die aan de knoppen zit.
Als jij besluit om bepaalde delen van je dienstverlening uit te besteden
of een derde in te schakelen, blijft 't jouw verantwoordelijkheid
dat je goede afspraken maakt met die derde.
ROTMAN: Peter Kager. Privacy- en ICT- jurist bij ICTRecht. Dank voor je verhaal.
Ik hoop dat we 'n beetje wijzer zijn geworden.
Ik in ieder geval wel. KAGER: Mooi.
ROTMAN: Luister ook andere afleveringen van Privacy in de Praktijk.
Ga hiervoor naar cip-overheid.nl/uitgelicht.
Dank je wel. KAGER: Graag gedaan.

REEDIJK: Wat zijn de hordes op de weg naar een goede DPIA?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
REEDIJK: Privacy gaat niet over regels, maar over mensen.
ROTMAN: Maurice Reedijk, wat een verademing dat je dit nu zegt.
Teammanager bij Privacy Management Partners.
We hebben het over de DPIA.
Privacy gaat over mensen. Hordes op weg naar een goede DPIA.
Wat zijn nou de hordes op weg als je zo'n assessment moet gaan doen?
REEDIJK: Er zijn meer hordes op de weg.
Vooral dat DPIA's eigenlijk vaak onleesbaar zijn voor niet-juristen.
Dat het vaak niet over mensen gaat, maar over regels.
En dat ook niet de juiste mensen betrokken worden
want privacy is een sociaal construct
en bij sociale constructen heb je mensen nodig.
ROTMAN: Jij bent socioloog, hè?
-Dat klopt.
ROTMAN: Je bent socioloog in een wereld die gedomineerd wordt door juristen.
REEDIJK: Dat klopt helemaal. Ja, ik doe dit nu al ruim vier jaar
en ik merk dat je eigenlijk alleen maar in aanraking komt met juristen.
En juristen zijn hele lieve mensen, dat moet ik even vooropstellen
anders krijg ik ruzie op mijn kantoor
maar die hebben wel een bepaalde blik op de wereld.
Die kijken vooral risicomijdend, vooral op het gebied van regels.
Hè, wat mag wel, wat mag niet?
We moeten ervoor zorgen dat we geen boete krijgen.
ROTMAN: Is dit wat jou betreft dan ook de horde op de weg naar een goede DPIA?
Dat we inderdaad misschien wel compliant zijn, we doen het allemaal goed.
We volgen de regeltjes, zeg ik een beetje met minachting.
Dat vind ik lekker, weet je. Dat je zegt: Nee, een goeie DPIA gaat over mensen.
De horde is misschien de mentaliteit van de mensen
die zo'n ding moeten maken of die daarmee bezig zijn.
Zeg ik dat goed zo? REEDIJK: Daar ben ik het mee eens.
Dus ik denk dat het juist heel belangrijk is
als privacyprofessional om je bewust te zijn van:
Wat is nou precies mijn taak in de toepassing van de AVG?
En nogmaals, privacy is een maatschappelijk vraagstuk.
En het is natuurlijk wel een wet die dat inkadert
maar het vraagt wel veel meer inzicht om dat op een goeie manier te doen.
ROTMAN: En op welke manier ben jij als professional met privacy bezig?
Hoe zien we jou in dit speelveld?
-Op meerdere vlakken.
Ik ben in principe consultant, dus dat betekent dat ik advies geef.
En vandaag hebben we het over DPIA's. Dat betekent dat ik DPIA's uitvoer
dus data protection impact assessments van top tot teen maak en begeleid.
Maar mijn rol is ook als functionaris gegevensbescherming
dat ik toezicht houd op de organisatie.
ROTMAN: Dus de ene keer ben je de toezichthouder, ben je een vraagbaak
dan weer help je mee, dan weer voer je het zelf uit
maar je zit er eigenlijk altijd bovenop. REEDIJK: Ja, ja.
ROTMAN: En zo'n DPIA, eventjes feitelijk voor mijn begrip: Is het altijd verplicht?
REEDIJK: Het is niet altijd verplicht. Ik zeg altijd: Het is wel altijd nuttig.
Dat hoeft ook niet heel uitgebreid te zijn, zo'n DPIA.
ROTMAN: Ook zoiets. Het is dan niet verplicht, maar het kan geen kwaad.
REEDIJK: Nee. Nee, als je er dus niet zo'n juridisch instrument van maakt
als dat het nu vaak wordt gedaan, is het A helemaal niet zo heel ingewikkeld
en B kan het heel prettig zijn om even goed stil te staan bij:
Wat zijn we nou precies aan het doen? Waarom doen we het?
En wat zijn eventuele risico's en hoe kunnen we die oplossen?
ROTMAN: Dus je werkt bij een organisatie. Je bent betrokken bij een thema
en daar komt privacy om de hoek kijken.
Wat is dan... Hoe pak je dat dan aan zo'n DPIA? Wanneer bel ik jou eigenlijk?
Wanneer wil ik advies van 'moet ik hier nou een DPIA doen?' en dan zeg je:
'Misschien is het niet verplicht, maar het is wel nuttig.'
Hoe werkt dat? Hoe gaat zo'n proces?
REEDIJK: Ik werk primair voor de overheid, dus voor overheidsinstellingen.
Decentrale overheid eigenlijk grotendeels, gemeenten.
En ja, wat je nu ziet, is: Je bent misschien proceseigenaar.
Ja, dat is een term die vaak in overheidsland wordt gebruikt.
Jij bent verantwoordelijk voor een proces, voor financiën.
Je bent verantwoordelijk voor de mensen die in worden gezet
maar ook voor de gegevensbescherming.
Want dat is een kwaliteitsaspect van ons huidige werk, zou je kunnen zeggen.
Jij hebt een nieuw initiatief. Je denkt: O, ik wil iets nieuws gaan ontwikkelen.
Ik wil de burger gaan helpen.
ROTMAN: Bijvoorbeeld een CoronaMelder app.
Dat is ook overheid, er is corona, er is een gekke situatie.
We willen zo'n app hebben en wat is dan zeg maar als je het hebt in het kader van
de hordes op de weg naar een goeie DPIA, CoronaMelder app,
wat gebeurt er dan? Wat is dan jouw kritische blik als socioloog
in deze wereld van de privacy die wordt gedomineerd door de juristen?
REEDIJK: Nou ja, wat je zag bij de CoronaMelder app, is dat...
Daar werd natuurlijk een DPIA op gedaan, dus dat besef was er al.
Dat is iets waar we mee moeten beginnen.
Eerst het besef weer: O, er moet een DPI gedaan worden.
Dat neemt gelukkig toe. Dus dat besef was er wel.
Dus daar wordt een DPIA op uitgevoerd. Maar je merkt dat de juristen
eigenlijk samen met de informatiebeveiligers aan de slag gaan.
Dus je ziet aan de ene kant dat er heel veel
naar de grondslag wordt gekeken. Mag dit wel? Et cetera.
Juridisch gezien: Is het een persoonsgeven en noem maar op.
ROTMAN: Ging goed, maar ik hoor 'n grote dikke maar in je stem en dat vind ik mooi.
REEDIJK: Ja. Ja, want als je dan de DPIA, en hij is leesbaar,
je kan 'm op rijksoverheid terugvinden...
Als je 'm dan bekijkt, dan zie je dat de risico's eigenlijk primair
vanuit juridische aard zijn ingestoken, maar ook vanuit informatiebeveiliging.
En wat ik heel erg miste is: Ja, waar staat de mens nou in dit verhaal?
ROTMAN: Het gaat over corona. Het gaat over burgers, het gaat over...
En wat zie je dan in de praktijk hoe dat dan uitpakt?
Je denkt: Er is niet goed over nagedacht.
-Nou ja, wat je gewoon mist
is dat de impact die het heeft op mensen niet altijd goed is meegenomen.
En, nou ja, dat heeft natuurlijk gevolgen.
En als je de impact niet meeneemt in je analyse
kan je er ook geen maatregelen voor treffen.
Dus ja, daar heb ik wel het gevoel van:
Dat is dan echt een gemiste kans en ook een belangrijke horde
die overwonnen moet worden als je wel een goede DPIA wil doen.
Dus richt je nou op wat voor impact het heeft op de mens.
ROTMAN: Oké, dus in deze zin wordt ie dan een beetje defensief ingestoken.
We moeten het goed regelen, moeten 'm dichttikken.
Het moet juridisch allemaal kloppen. En dat hebben ze ook goed gedaan.
Maar je zegt: Ja, jongens, het gaat hier wel over mensen.
Heb je nog een voorbeeld? Want ik wil kijken:
Hoe kunnen we nou in de toekomst in de praktijk... concrete tips...
Hoe ga je dan wel tot een betere DPIA komen?
Heb je nog een casus in petto voor mij?
REEDIJK: Nou, wat voor mij heel tekenend was als socioloog, was...
Een tijdje geleden is de wet gemeentelijke schuldhulpverlening aangepast
en is vroege signalering erin ingefietst.
Ik ben het er als socioloog helemaal mee eens.
Schulden stapelen vaak ongemerkt op. En als overheid ben je vaak te laat
omdat mensen dat A niet door hebben en zich daar niet graag over uitspreken.
ROTMAN: Er zit gêne, er zit best iets pijnlijks... Precies, ja.
REEDIJK: Dus, nou ja, dat heeft de wetgever ook gezien.
Die dacht 'we moeten iets doen' en is met vroege signalering gaan werken.
Dat betekent dat nutsbedrijven
dus woningcorporaties energieleveranciers, waterbedrijven
een melding mogen doen als jij twee of drie maanden
niet je facturen hebt betaald. Dat er dan een melding gaat.
ROTMAN: Da's privacy, hè. Da's een beetje gevoelig, tricky dit natuurlijk. Toch?
REEDIJK: Ja, dat wordt dan inderdaad heel tricky gevonden.
ROTMAN: Daar moet een DPIA aan te pas komen?
REEDIJK: Dan moet er een DPI aan te pas komen, want een proces verandert.
Het is gevoelig. Ik bedoel, daar zijn we het ook over eens.
Schulden zijn gevoelige gegevens, wil je niet zomaar op straat leggen.
Daar moet op een nette manier mee om worden gegaan.
En ik was werkzaam bij een gemeente en daar kreeg ik dan zo'n DPIA
dat zag ik langskomen en daar merkte je dat...
De enige insteek die daarin stond was:
'Oké. Nou, nu is die wet er, dus, ja, de grondslag is er.
Nou, we moeten nog een privacyverklaring en dan zijn we klaar.'
Maar er werd niet gekeken naar: Hoe kunnen we dat proces zo goed mogelijk vormgeven?
En dat miste je heel erg in die DPIA doordat je gewoon eigenlijk merkte
dat omdat het proces niet goed was uitgedacht, er snel bepaalde schade...
ROTMAN: Ja, op welke manier werd de factor mens hier dan vergeten?
Want ik kan me best voorstellen dat er best wel een soort antenne is voor:
We hebben het hier over mensen met schulden, over de vroege signalering,
dus we hebben het over partijen die moeten informatie gaan rondstrooien over mensen.
Ik zeg het een beetje minachtend, maar dat gaat echt over mensen.
Op welke manier was in die DPIA die jij kreeg, die jij naar voren geschoven kreeg:
'Ja, jongens, nee. Leuk geprobeerd.
Inderdaad, juridisch gezien klopt het, deugt ie misschien wel.
Maar op dit punt zijn we vergeten dat 't over mensen gaat.'
Heb je dat op je netvlies nog?
-Ja, nee, dat heb ik op m'n netvlies.
Dus wat je inderdaad merkt aan die DPIA, was...
Aan het einde van een DPIA staan echt de aanbevelingen
en die waren dus allemaal gericht op compliance.
Dus voldoen we aan de maatstaven van de AVG, om het zo maar te zeggen.
Maar er werd niet nagedacht over: Wat betekent het
als we bij iemand langsgaan bijvoorbeeld, of aankloppen en zeggen:
'O, u heeft al een paar maanden uw facturen niet betaald.
Gaat het wel goed met u?'
Als zo iemand ineens voor je, zonder dat je dat doorhad, voor de deur staat?
Ja, dat doet wat met de mens. En misschien zijn je kinderen thuis.
ROTMAN: Intimiderend. Je moet het uitleggen aan buren,
aan je partner die het misschien niet wist.
Je hebt het misschien verborgen gehouden.
Ah, en dat dat zou eigenlijk... in de DPIA moet dit hele totaalpakketje
al beschreven zijn, geformuleerd zijn.
REEDIJK: Precies, dus ja, wat je dan merkt is, als je...
Dus dat is even vanuit de visie van:
Nou, ik ga als jurist in isolement eigenlijk zo'n DPIA doen.
Of wat wij dan vaak doen, is: Wij gaan met stakeholders zitten.
We trekken het wat breder en we denken na over: Wat zouden we zelf fijn vinden?
Als dit mij zou overkomen, wat zou je prettig vinden?
En we begrijpen allemaal... Dat zien we ook terug in de literatuur:
dat als je schulden hebt, dat je je kop in het zand steekt.
Dat er iemand een keer langskomt, is helemaal niet verkeerd.
Dat is best wel goed eigenlijk. Maar het zou misschien wel fijn zijn
dat je daar eerst over geïnformeerd wordt.
Dat je de mogelijkheid wordt geboden om misschien die afspraak af te melden
of dat je zegt: Ik kom wel naar het gemeentehuis.
Iets in die trant en dat komt naar boven
als je met mensen die ermee te maken hebben, die er ervaring mee hebben...
Ja dan...
-Daar wil ik nu even... Praktische tips.
Hoe kan je voorkomen dat je niet als een juridische fijnslijper naar een DPIA kijkt
maar dat je ook naar de mensen gaat kijken?
Want ik kan me heel goed voorstellen.... Ik voel 'm namelijk helemaal.
Het gaat hier over mensen, ik vind het vanzelfsprekend.
Maar als ik tegelijkertijd ga denken aan de juristen
vind ik het ergens ook wel weer logisch dat zij denken:
Nee, we tikken 'm dicht. Er zijn regels. Voldoen we eraan of niet?
Dus ik snap 'm wel, maar dan wil ik van jou toch een paar concrete tips.
Oké, het gaat dus over mensen. Wat is... Dat is misschien ook de eerste tip.
Wees je daarvan bewust? Is het zo makkelijk?
REEDIJK: Eigenlijk wel.
En ik wil inderdaad nog even voordat ik...
M'n hele betoog lijkt het alsof ik juristen afbrand.
Dat heeft natuurlijk een bepaalde waarde.
Maar inderdaad, de eerste tip is: Het gaat over mensen, dus betrek mensen erbij.
Dat is eigenlijk m'n belangrijkste punt. Een DPIA is een...
Ik zie het ook meer als een proces, dus dat het tot een document leidt, oké.
Het proces is het belangrijkst en daar moet je mensen bij betrekken.
ROTMAN: Tip één is: Wees je ervan bewust.
En tip twee is: Betrek die mensen er ook bij, de mensen over wie het gaat.
REEDIJK: Ja. Ja, maar om dan tip één aan te scherpen: wees je ervan bewust...
Dan wil ik echt... Privacyprofessionals Nederland:
Kijk naar de AVG, overweging 75, overweging 76.
Wees je bewust dat je je op dat soort vormen van impact moet richten.
Dus het gaat niet om: Heb je een grondslag?
Nee, het gaat erom: Kan deze verwerking leiden tot discriminatie?
Kan deze verwerking leiden tot sociale schade?
Kan het leiden tot financiële verliezen?
Kan het leiden tot economisch of maatschappelijk nadeel?
ROTMAN: Die bewustwording gaat dieper dan alleen
'wees je ervan bewust', dat gaat over zulke vragen.
REEDIJK: Ja, dus je moet je eigenlijk op dat soort vormen van impact gaan nadenken:
Dit nieuwe voorstel van ons, kan dat mogelijk leiden tot dit soort gevolgen?
ROTMAN: Maar dan de volgende tip: Haal die mensen er gewoon bij.
REEDIJK: Precies. En ja, hoe meer mensen...
Dat is dan misschien ook de tip, hè. De AVG zegt in overweging 76:
'Het moet een objectieve beoordeling zijn, naar de aard en de context.'
Nou ja, objectiviteit bestaat in mijn optiek niet, dus iedereen is subjectief.
We zijn vooringenomen met meningen en zijn op een bepaalde manier opgevoed.
Maar als je mensen erbij neemt...
Je hebt een grotere doelgroep en misschien een beleidsmedewerker
misschien iemand waar het over gaat. Dus iemand in de schulden.
Een jurist ook erbij, maar misschien een socioloog.
ROTMAN: Als het over mensen gaat, kun je ze net zo goed betrekken.
REEDIJK: Ja, en dan maak je er een soort van sessie van: Nou, wat denken jullie?
Wat kan je verwachten in de gekste scenario's?
En ja, maak het zo praktisch mogelijk en dan krijg je eigenlijk vanzelf:
Dit zijn eventuele risico's. Dan gaan we nadenken:
Wat voor maatregelen kunnen we daar nou tegenover zetten
om die risico's die we net hebben geconstateerd, te mitigeren?
Je zal altijd restrisico houden, maar je kan in ieder geval de kans verkleinen.
ROTMAN: Haal ze erbij. Maak er een leuke brainstorm van.
Dat is tip twee. De eerste is: Wees je ervan bewust,
het gaat over mensen met vragen die je erbij moet stellen.
Volgende tip is: Haal de stakeholders, haal de betrokkenen,
de mensen over wie het daadwerkelijk gaat erbij.
Laat ze meedenken, misschien geen juridische background, maakt niet uit.
Wat doet dit met je? Wat gaat 't met je doen? Waar maak je je zorgen over?
Luister naar ze. Oké, heb je nog een tip?
REEDIJK: Ik denk, de laatste tip is, daar begon je eigenlijk mee:
Wie moet nou die DPIA doen?
Ja, en ik denk dat het altijd slim is om je de vraag stellen:
Voor wie schrijf je nou een DPIA?
Nou, vaak is dat dus in eerste instantie voor de proceseigenaar.
Die moet daar iets mee gaan doen, maar is vaak niet juridisch onderlegd.
Dus maak het leesbaar, zorg ervoor dat een DPIA helder, overzichtelijk is.
Wat zijn nou m'n risico's? Wat zijn de maatregelen die ik moet nemen?
Waar hebben we over nagedacht en misschien ook niet over nagedacht?
Ik pleit er ook voor, dat is een oproep eigenlijk aan overheidsinstellingen,
misschien in een iets samengevatte vorm,
om DPIA's ook misschien openbaar te maken, zodat ook inwoners zelf kunnen lezen:
Oké, nou, dit is hun plan. Zo willen zij mijn gegevens verwerken.
Hier hebben ze over nagedacht. Dit is het doorlopen proces.
ROTMAN: Transparant. 'We hebben maatregelen.
We hebben ook over je privacy nagedacht.
We hebben over de gevolgen nagedacht. Lees maar terug. Kijk maar gewoon.'
Daar ga je veel vertrouwen mee wekken.
REEDIJK: Heel veel vertrouwen en ik denk dat ook daar een DPIA voor bedoeld is
dus ook juist om dat te kunnen aantonen.
Want in die zin, we zeggen altijd: Privacy begint met PR.
Dus ook een DPIA is daar onderdeel van.
-Privacy begint met PR, oké.
Dus je moet 'm goed verkopen ook eigenlijk.
REEDIJK: Ja.
-Breng naar de mensen.
Jij zei net van: Ik ga die juristen natuurlijk helemaal niet afvallen.
Die mensen doen gewoon goed werk en zo. Maar toch...
Komen die sociologen zoals jij veel voor in deze business?
Ik vind het wel wat om eerlijk te zijn.
REEDIJK: Ik ben er nog geen enkele tegengekomen
behalve dan mijn collega die bij mij op kantoor werkt.
Wij hebben dezelfde studie gedaan op dezelfde universiteit, dus vandaar.
Voor de rest ben ik nooit een socioloog tegengekomen in de privacywereld.
ROTMAN: Een jurist en een socioloog, de menselijke maat
maar ook wel de juridische fijnslijperij samen als een soort duo.
Lijkt mij wel een mooie combinatie.
-Nou, daar pleit ik altijd voor.
En je kan nog nadenken over communicatiewetenschappen, filosofie.
Dus betrek sociale wetenschappen bij privacy.
Want ja, als je het alleen aan de juristen overlaat, wordt het een juridisch feestje.
En dan wordt het dus compliance in plaats van dat het over mensen gaat.
Maurice Reedijk. Teammanager bij Privacy Management Partners.
Dank voor je mooie verhaal.
Ik ben onder de indruk. Dat meen ik serieus.
Luister andere afleveringen van Privacy in de Praktijk.
Want je hoort het, het is leuk.
Ga hiervoor naar cip-overheid.nl/uitgelicht.
Dank je wel, Maurice.
-Geen dank.

0001 00:00:00:00 00:00:02:08

LEVENDIGE MUZIEK
MAN: Wanneer ben je een verwerker?

0002 00:00:02:11 00:00:04:06

ROTMAN:
Welkom bij Privacy in de Praktijk.

0003 00:00:04:09 00:00:06:07

Ik ben Robin Rotman
en in deze podcast

0004 00:00:06:10 00:00:09:07

van het centrum informatiebeveiliging
en privacybescherming

0005 00:00:09:10 00:00:12:02

bespreek ik met deskundigen
de meest interessante vragen

0006 00:00:12:05 00:00:14:13

rond privacy in de dagelijkse praktijk.

0007 00:00:14:16 00:00:16:11

MAN: Denk goed na
aan welke kant je staat.

0008 00:00:16:14 00:00:20:16

ROTMAN: Dat is Alex Commandeur, de
enige echte managing consultant bij BMC.

0009 00:00:20:19 00:00:22:24

Alex, een verwerkingsovereenkomst.

0010 00:00:23:02 00:00:26:13

Dit is volgens mij een van de
meest verwarrende onderwerpen

0011 00:00:26:16 00:00:28:09

waar ik in deze serie over ga praten.

0012 00:00:28:12 00:00:32:20

Want het lijkt heel makkelijk en
er is volgens mij heel veel ruis over.

0013 00:00:32:23 00:00:36:01

Wanneer ben je een verwerker?
Wanneer ben je een verantwoordelijke?

0014 00:00:36:04 00:00:37:14

Ik hoop dat we in dit kwartier

0015 00:00:37:17 00:00:40:09

tot een hoop mooie concrete inzichten
kunnen komen.

0016 00:00:40:12 00:00:43:09

Eerst even: wat is nou eigenlijk
een verwerkersovereenkomst?

0017 00:00:43:12 00:00:46:20

Wat is dat voor een ding?
-Het is, wat 't zegt, een overeenkomst.

0018 00:00:46:23 00:00:50:07

Normaal gesproken sluit je met
een partij met wie je wat gaat doen

0019 00:00:50:10 00:00:52:13

waarmee je gaat samenwerken,
een overeenkomst.

0020 00:00:52:16 00:00:55:15

En in dit geval sluit je ook nog
specifiek een overeenkomst

0021 00:00:55:18 00:00:58:18

over hoe je omgaat met de verwerking
van persoonsgegevens.

0022 00:00:58:21 00:01:00:03

ROTMAN: Je bent een partij.

0023 00:01:00:06 00:01:04:09

Je bent verantwoordelijk voor de
gegevens van de burgers in je gemeente

0024 00:01:04:12 00:01:08:22

of voor je klanten, voor een groep
mensen en gegevens

0025 00:01:09:00 00:01:12:14

en je wil een bepaalde taak
uitbesteden aan een andere partij.

0026 00:01:12:17 00:01:15:07

Die maak je verantwoordelijk
voor bepaalde gegevens.

0027 00:01:15:10 00:01:17:16

En dat wordt dan de verwerker.

0028 00:01:17:19 00:01:20:09

En dan ben jij de verantwoordelijke.
Zeg ik dat goed?

0029 00:01:20:12 00:01:22:08

COMMANDEUR: Ja,
je blijft de verantwoordelijke.

0030 00:01:22:11 00:01:26:01

Als je het hebt over de uitbesteding van
de personeelsadministratie.

0031 00:01:26:04 00:01:30:12

Jij bent als werkgever verantwoordelijk
voor de gegevens van jouw medewerkers.

0032 00:01:30:15 00:01:33:10

Je bent er ook verantwoordelijk voor
dat hun salaris wordt uitbetaald.

0033 00:01:33:13 00:01:35:15

Dat kun je ook uitbesteden
aan 'n andere partij.

0034 00:01:35:18 00:01:37:08

ROTMAN: Hmhm.
-En als je dat doet,

0035 00:01:37:11 00:01:39:23

maak je dus afspraken
over hoeveel geld dat gaat kosten.

0036 00:01:40:01 00:01:42:02

Dat is gewoon de overeenkomst
die je sluit.

0037 00:01:42:05 00:01:44:24

Maar daarnaast wil je ook
dat zij heel netjes omgaan

0038 00:01:45:02 00:01:48:02

met de gegevens van jouw medewerkers
waar jij verantwoordelijk voor bent.

0039 00:01:48:05 00:01:49:22

ROTMAN: Ja. Dus ik
ben daarvoor verantwoordelijk

0040 00:01:50:00 00:01:52:15

en in een overeenkomst
wil ik dat goed dicht tikken.

0041 00:01:52:18 00:01:56:15

Dus je mag ermee aan de slag. Ik huur je
daarvoor in, het is jouw expertise.

0042 00:01:56:18 00:01:59:04

En wat staat er
dan in er in zo'n overeenkomst?

0043 00:01:59:07 00:02:00:17

COMMANDEUR:
Heel belangrijk:

0044 00:02:00:20 00:02:04:15

hoe zij netjes en zorgvuldig omgaan.
Dus hoe beveilig je de gegevens?

0045 00:02:04:18 00:02:08:09

Maar ook: wie mogen erbij?
En waar mogen ze 't voor gebruiken?

0046 00:02:08:12 00:02:12:11

Maar ook niet onbelangrijk:
wat als de overeenkomst eindigt?

0047 00:02:12:14 00:02:14:17

Wat gebeurt er dan
met die personeelsgegevens?

0048 00:02:14:20 00:02:17:15

Blijft die dan tot in lengte van dagen
bij dat bedrijf?

0049 00:02:17:18 00:02:19:22

Of geef je dat weer terug
aan de werkgever?

0050 00:02:20:00 00:02:23:04

En zijn hier ook een soort
standaardovereenkomsten voor

0051 00:02:23:07 00:02:26:05

die je kan downloaden
van internet, bij wijze van spreken

0052 00:02:26:08 00:02:29:20

of waar de AP misschien mee komt
die mij een soort aanzetje geeft.

0053 00:02:29:23 00:02:33:19

Of is het heel specifiek per geval
een nieuwe overeenkomst sluiten?

0054 00:02:33:22 00:02:37:08

COMMANDEUR: Nee, er zitten
heel veel standaardbepalingen in.

0055 00:02:37:11 00:02:39:16

Dus er zijn ook standaardovereenkomsten
vaak

0056 00:02:39:19 00:02:42:04

afhankelijk van de branche
of sector waarin je werkt.

0057 00:02:42:07 00:02:44:05

Bijvoorbeeld voor gemeenten
heeft de VNG

0058 00:02:44:08 00:02:47:05

een standaard verwerkersovereenkomst
gemaakt.

0059 00:02:47:08 00:02:49:22

En dat zie je in heel veel branches
dat daar standaarden zijn gemaakt.

0060 00:02:50:00 00:02:52:06

ROTMAN: Nu vind ik dit
niet zo'n heel ingewikkeld geval.

0061 00:02:52:09 00:02:55:21

Jij noemt de de personeelsadministratie
of salarisuitbetaling.

0062 00:02:55:24 00:02:58:08

Dan gaat het daadwerkelijk
over de gegevens.

0063 00:02:58:11 00:03:01:10

Nu kan ik me ook voorstellen
dat je bijvoorbeeld als, weet ik veel,

0064 00:03:01:13 00:03:04:20

een school met leerlingenvervoer, dan...

0065 00:03:04:23 00:03:10:10

ga jij een partij inhuren om leerlingen
van huis naar school te brengen

0066 00:03:10:13 00:03:14:03

of naar de BSO te transporteren en zo.

0067 00:03:14:06 00:03:18:04

Maar die vervoerder, die werkt
ook met gegevens van mijn leerlingen.

0068 00:03:18:07 00:03:19:24

Moet ik dan
een verwerkersovereenkomst sluiten?

0069 00:03:20:02 00:03:21:18

COMMANDEUR: Nou, wat je ziet,
is dat gemeenten bijvoorbeeld

0070 00:03:21:21 00:03:25:01

in het kader van leerlingenvervoer
uitbestedingen doen.

0071 00:03:25:04 00:03:28:04

Dus leerlingen die niet in staat zijn
om zelfstandig naar school te komen,

0072 00:03:28:07 00:03:30:14

daar kan de gemeente
een voorziening voor treffen.

0073 00:03:30:17 00:03:33:14

En dan kunnen ze bijvoorbeeld
een taxibedrijf inhuren

0074 00:03:33:17 00:03:35:20

die zorgt dat die leerlingen
dan toch nog naar school kunnen.

0075 00:03:35:23 00:03:38:12

ROTMAN: Precies, wat ik net omschrijf.
-Ja.

0076 00:03:38:15 00:03:42:02

En dan is het wel zo:
de uitbesteding gaat dan in dit geval

0077 00:03:42:05 00:03:45:13

over een taxidienst en niet over
het verwerken van persoonsgegevens.

0078 00:03:45:16 00:03:49:08

De focus ligt op de taxiservice en niet
op de verwerking van persoonsgegevens.

0079 00:03:49:11 00:03:52:10

ROTMAN: Er komt dan geen
verwerkersovereenkomst omdat...

0080 00:03:52:13 00:03:55:23

Dat betekent niet dat dat taxibedrijf
niet verantwoordelijk...

0081 00:03:56:01 00:03:58:00

dat ze niet over die gegevens
hoeven na te denken.

0082 00:03:58:03 00:03:59:23

Maar in dat geval
zijn zij verantwoordelijk

0083 00:04:00:01 00:04:04:15

dat zij in hun administratie
hun spulletjes goed organiseren.

0084 00:04:04:18 00:04:07:11

Ik hoef me dan als gemeente
of als school geen zorgen te maken

0085 00:04:07:14 00:04:09:19

of dat wel goed komt. Dat is gewoon dan
hun verantwoordelijkheid

0086 00:04:09:22 00:04:13:09

en niet die van mij omdat het gaat
over vervoer en niet over gegevens.

0087 00:04:13:12 00:04:17:08

COMMANDEUR: Ja, het taxibedrijf is in
dit geval zelfstandig verantwoordelijk

0088 00:04:17:11 00:04:20:05

voor de naleving
van alle bepalingen uit de AVG

0089 00:04:20:08 00:04:23:04

en dus niet in dit geval
de gemeente die zegt:

0090 00:04:23:07 00:04:26:02

dit zijn de gegevens
van de leerlingen die je moet ophalen.

0091 00:04:26:05 00:04:29:13

ROTMAN: Ik kan me ook voorstellen dat
hier een beetje ruimte is om te zoeken.

0092 00:04:29:16 00:04:32:10

Soms willen partijen
een verwerker zijn,

0093 00:04:32:13 00:04:36:14

soms weten ze niet
of ze een verwerker zijn.

0094 00:04:36:17 00:04:38:05

Is dat in de praktijk zo?

0095 00:04:38:08 00:04:41:01

Wat kom jij dan allemaal
tegen dat jij moet gaan uitleggen:

0096 00:04:41:04 00:04:44:09

Ja, maar je bent wel een verwerker
of juist niet.

0097 00:04:44:12 00:04:45:20

Wat is dat... Zit daar ruis?

0098 00:04:45:23 00:04:47:16

COMMANDEUR: Nou, in principe niet,

0099 00:04:47:19 00:04:50:21

maar de praktijk is weerbarstig.
Je kunt het zo gek niet bedenken

0100 00:04:50:24 00:04:53:23

of je ziet in overheidsland
en in de commerciële sector

0101 00:04:54:01 00:04:56:19

dat er allerlei variaties
en samenwerkingen zijn

0102 00:04:56:22 00:04:58:23

die het af en toe wel
wat diffuser maken.

0103 00:04:59:01 00:05:03:19

Dan is het belangrijk dat je even goed
nadenkt over aan welke kant je staat.

0104 00:05:03:22 00:05:06:09

Want er zijn wel gevolgen verbonden

0105 00:05:06:12 00:05:09:08

aan of je verwerker
of verwerkingsverantwoordelijke bent.

0106 00:05:09:11 00:05:13:22

Alle verplichtingen uit de AVG volgen
de verwerkingsverantwoordelijke.

0107 00:05:14:00 00:05:16:18

Dus de AP vindt dat ook
heel interessant,

0108 00:05:16:21 00:05:19:23

want die kijken: naar wie gaan wij
de acceptgiro sturen voor de boete?

0109 00:05:20:01 00:05:21:01

ROTMAN LACHT

0110 00:05:21:04 00:05:24:07

Dus als jij verwerker bent,
heb je een kleinere kans op een boete

0111 00:05:24:10 00:05:27:21

dan als je verwerkingsverantwoordelijke
bent. Want jij moet de AVG naleven.

0112 00:05:27:24 00:05:30:04

ROTMAN: Dus als overheid
kun je ook een verwerker zijn.

0113 00:05:30:07 00:05:33:23

COMMANDEUR: Zeker. Verwerker
voor een andere gemeente bijvoorbeeld.

0114 00:05:34:01 00:05:37:09

ROTMAN: Je kan ook verantwoordelijke
zijn, je kan verwerker zijn en het...

0115 00:05:37:12 00:05:42:05

Je moet eigenlijk per casus, per geval
even goed gaan inchecken bij jezelf:

0116 00:05:42:08 00:05:46:12

Aan welke kant sta ik of wat...
Je kan niet kiezen aan welke kant.

0117 00:05:46:15 00:05:49:13

Je staat, je bent of verwerker,
of je bent verantwoordelijke.

0118 00:05:49:16 00:05:52:13

De AP beschouwt je als verwerker
of verantwoordelijke.

0119 00:05:52:16 00:05:55:00

COMMANDEUR: In die zin
heb je natuurlijk wel 'n keuze

0120 00:05:55:03 00:05:58:17

in sommige gevallen afhankelijk van de
afspraken die je maakt met 'n verwerker.

0121 00:05:58:20 00:06:02:03

Wat ga je uitbesteden?
En daar heb je dus wel een keuze in.

0122 00:06:02:06 00:06:06:00

Maar als jij maar alleen een dienst
uitbesteedt, dan heb je dus een keuze.

0123 00:06:06:03 00:06:08:08

Dan zeg je: nou goed,
dan ben ik geen verwerker,

0124 00:06:08:11 00:06:10:03

maar blijf je
verwerkingsverantwoordelijke.

0125 00:06:10:06 00:06:12:16

Als je zegt: nee,
maar we gaan als hoofdmoot...

0126 00:06:12:19 00:06:15:12

Het belangrijkste doel
van deze overeenkomst

0127 00:06:15:15 00:06:17:19

is het uitbesteden
van die gegevensverwerking.

0128 00:06:17:22 00:06:21:10

Dan wordt het anders. Dan word je
verwerker-verwerkingsverantwoordelijke.

0129 00:06:21:13 00:06:24:21

ROTMAN: Is dit een belangrijk deel
van jouw dagelijkse bestaan in jouw werk

0130 00:06:24:24 00:06:27:08

dat je bezig bent met partijen
om te kijken van:

0131 00:06:27:11 00:06:30:13

Eerst even definiëren: ben ik
een verantwoordelijke of verwerker?

0132 00:06:30:16 00:06:35:10

Wat is nou eigenlijk de core business
van deze deal? Of van deze actie?

0133 00:06:35:13 00:06:39:15

Is dat een belangrijk deel om
te definiëren: aan welke kant sta je?

0134 00:06:39:18 00:06:42:05

COMMANDEUR: Het is belangrijk
om dat te doen überhaupt.

0135 00:06:42:08 00:06:44:17

Omdat daarmee ook afhankelijk is van:

0136 00:06:44:20 00:06:47:10

welke verplichtingen en
verantwoordelijkheden laad je op je?

0137 00:06:47:13 00:06:49:14

Als jij verwerkingsverantwoordelijke
bent

0138 00:06:49:17 00:06:53:22

dan ben jij degene die de verplichtingen
uit de AVG moet nakomen, primair.

0139 00:06:54:00 00:06:55:12

Dus dat is belangrijk om te weten.

0140 00:06:55:15 00:06:57:16

Dat vindt de AP belangrijk,
want dan weten ze

0141 00:06:57:19 00:07:00:00

waar ze de acceptgiro
heen moeten sturen als het misgaat.

0142 00:07:00:03 00:07:03:03

ROTMAN: Kun je een voorbeeld geven
van een gemeente waarvan je zegt:

0143 00:07:03:06 00:07:05:17

het is een beetje diffuus
en het is niet altijd helder.

0144 00:07:05:20 00:07:07:06

Heb je daar een casus bij?

0145 00:07:07:09 00:07:08:24

COMMANDEUR:
We hebben wel gezien

0146 00:07:09:02 00:07:13:09

dat er een gemeente in Nederland
is die een boete heeft gekregen

0147 00:07:13:12 00:07:18:04

omdat ze iets deden wat niet mocht
waar zij in hun verweer aangaven:

0148 00:07:18:07 00:07:20:15

ja, maar wij zijn geen
verwerkingsverantwoordelijke,

0149 00:07:20:18 00:07:23:20

wij zijn verwerker.
En daar ging de AP niet in mee.

0150 00:07:23:23 00:07:26:14

ROTMAN: Kun je iets meer zeggen
over de inhoud van deze ca...

0151 00:07:26:17 00:07:29:15

Je hoeft niet die gemeente te noemen,
dat maakt me niet zoveel uit.

0152 00:07:29:18 00:07:32:21

Waarom was dus kennelijk de aard
van deze casus dat het ingewikkeld...

0153 00:07:32:24 00:07:35:17

COMMANDEUR: Het is een technisch
verhaal. Het ging over wifi-tracking.

0154 00:07:35:20 00:07:38:08

Dan was de vraag:
van wie is dat wifi-tracking?

0155 00:07:38:11 00:07:42:11

Wie verzamelt die gegevens? Wie doet
dat? Wie is daar verantwoordelijk voor?

0156 00:07:42:14 00:07:45:22

Daarvan zei de AP: nee, dat is in
dit geval heel duidelijk de gemeente.

0157 00:07:46:00 00:07:47:15

Terwijl de gemeente in het verweer zei:

0158 00:07:47:18 00:07:49:15

wij zijn geen
verwerkingsverantwoordelijke.

0159 00:07:49:18 00:07:51:03

ROTMAN: Ja, oké, voilà.

0160 00:07:51:06 00:07:54:09

Dus je hebt aan ene kant soms casussen
waarbij het heel duidelijk is:

0161 00:07:54:12 00:07:56:05

dit gaat over personeelsgegevens.

0162 00:07:56:08 00:07:58:22

Dit is duidelijk een partij
die de verantwoordelijke is,

0163 00:07:59:00 00:08:00:08

de andere partij is de verwerker.

0164 00:08:00:11 00:08:02:20

Soms gaat het duidelijk
over een taxivervoerder.

0165 00:08:02:23 00:08:04:24

Dan gaat het over de dienst,
de taxiservice

0166 00:08:05:02 00:08:08:02

en zijn zij zelf verantwoordelijk.
Daar zit dus een wereld tussen

0167 00:08:08:05 00:08:11:23

waarvan echt af en toe wel een beetje
ruimte is voor interpretatie.

0168 00:08:12:01 00:08:14:14

Er is ook nog zo'n bekend geval
van de Ticketcounter.

0169 00:08:14:17 00:08:16:09

Wat is dat voor een casus?

0170 00:08:16:12 00:08:18:01

COMMANDEUR: Het
gaat niet om Ticketcounter,

0171 00:08:18:04 00:08:20:17

maar het gaat erom
dat Ticketcounter,

0172 00:08:20:20 00:08:23:05

en zijn veel meer bedrijven,
die hebben veel klanten.

0173 00:08:23:08 00:08:25:14

Bijvoorbeeld ook overheden
hebben ze als klant.

0174 00:08:25:17 00:08:28:15

En ja, op het moment dat er dan
bijvoorbeeld een datalek ontstaat,

0175 00:08:28:18 00:08:31:05

hebben zij dus te maken
met heel veel klanten.

0176 00:08:31:08 00:08:35:06

ROTMAN: Even één klein stapje terug.
Wat is Ticketcounter?

0177 00:08:35:09 00:08:37:04

COMMANDEUR: Het gaat niet
om wat Ticketcounter is,

0178 00:08:37:07 00:08:39:07

want dit gaat niet
over de casus van Ticketcounter.

0179 00:08:39:10 00:08:43:05

Maar stel dat je een bedrijf inschakelt,
of dat nou bijvoorbeeld Google is...

0180 00:08:43:08 00:08:45:05

Veel partijen maken gebruik van Google.

0181 00:08:45:08 00:08:48:14

Als er bij Google een datalek is,
dan is dus niet alleen bij één klant,

0182 00:08:48:17 00:08:51:18

maar waarschijnlijk bij heel veel
klanten sprake van een datalek.

0183 00:08:51:21 00:08:53:15

Ja, wat voor afspraken
heb je dan met Google?

0184 00:08:53:18 00:08:57:05

Gaat Google dan voor jou
dat datalek melden of ga je dat zelf?

0185 00:08:57:08 00:08:58:16

Nou ja, je kunt je voorstellen

0186 00:08:58:19 00:09:00:21

dat Google in dit geval
het niet fijn zou vinden

0187 00:09:00:24 00:09:03:12

als ze 300 keer contact
op moeten nemen met klanten

0188 00:09:03:15 00:09:06:06

om te vertellen dat ze een datalek
hebben en afspraken moeten maken

0189 00:09:06:09 00:09:08:16

over hoe ze dat gaan melden bij de AP.

0190 00:09:08:19 00:09:11:04

ROTMAN: En wat zegt de AP dan
in zo'n geval?

0191 00:09:11:07 00:09:13:21

COMMANDEUR: De AP vindt het niet
zo spannend wie er meldt

0192 00:09:13:24 00:09:17:01

als er maar gemeld wordt
en er duidelijke afspraken over zijn.

0193 00:09:17:04 00:09:20:11

ROTMAN: Eh, maar dan zegt
de AP niet van:

0194 00:09:20:14 00:09:24:11

Google is hier de verwerker en
de partij die daarmee in zee is gegaan,

0195 00:09:24:14 00:09:27:19

die is de eindverantwoordelijke
of hier is Google de verantwoordelijke

0196 00:09:27:22 00:09:30:14

en die moet dit melden.
-Het gaat over onderlinge afspraken.

0197 00:09:30:17 00:09:33:12

De AP vindt het prima
als jij als verwerkingverantwoordelijke

0198 00:09:33:15 00:09:35:04

de afspraak maakt met de verwerker

0199 00:09:35:07 00:09:37:15

dat de verwerker
namens jou die melding doet.

0200 00:09:37:18 00:09:40:04

ROTMAN: Ah, oké. Dus het is
niet zo dat je automatisch

0201 00:09:40:07 00:09:43:00

of de verantwoordelijke bent
of de verwerker.

0202 00:09:43:03 00:09:47:13

Als je een afspraak maakt met onderling
en je komt er samen uit,

0203 00:09:47:16 00:09:50:08

dan maakt het in principe niet zo
heel veel uit waar je staat,

0204 00:09:50:11 00:09:53:08

als je het maar goed vastlegt.
-Nee, nee, nee, nee.

0205 00:09:53:11 00:09:56:04

ROTMAN: Hier is het dus ingewikkeld.
Voor mij in ieder geval.

0206 00:09:56:07 00:09:59:08

COMMANDEUR: Dan leg ik 't niet goed uit.
ROTMAN: Of ik ben niet slim genoeg.

0207 00:09:59:11 00:10:02:22

De vraag is: als je een verwerker en een
verwerkingsverantwoordelijke hebt

0208 00:10:03:00 00:10:05:16

en er is een datalek,
wie gaat dat datalek dan melden?

0209 00:10:05:19 00:10:08:06

Dan zegt de wet duidelijk:
de verwerkingsverantwoordelijkheid.

0210 00:10:08:09 00:10:10:16

ROTMAN: De verantwoordelijke
is de melder. Helder.

0211 00:10:10:19 00:10:14:17

COMMANDEUR: Nou is de praktijk wel zo
dat er bedrijven zijn met veel klanten.

0212 00:10:14:20 00:10:16:04

En dan zou het dus betekenen

0213 00:10:16:07 00:10:19:13

dat dat bedrijf met al die klanten
contact moet gaan opnemen over de vraag

0214 00:10:19:16 00:10:23:01

of de verwerkingsverantwoordelijke
dit dan een datalek vindt of niet

0215 00:10:23:04 00:10:24:15

en wat er gemeld moet worden.

0216 00:10:24:18 00:10:28:00

Nou, dat is voor een bedrijf met heel
veel klanten eigenlijk ondoenlijk.

0217 00:10:28:03 00:10:30:01

Dus maak je dan afspraken van:

0218 00:10:30:04 00:10:33:08

nou ja, wij gaan namens
de verwerkingsverantwoordelijke

0219 00:10:33:11 00:10:34:24

melden bij de toezichthouder.

0220 00:10:35:02 00:10:36:21

ROTMAN: Oké, helder.

0221 00:10:36:24 00:10:40:08

Oké, even praktisch en concreet:
wat zijn nou de belangrijkste tips?

0222 00:10:40:11 00:10:43:16

Ik ben een partij
en ik wil op een of andere manier

0223 00:10:43:19 00:10:46:19

een bepaalde taak uitbesteden
aan een andere partij.

0224 00:10:46:22 00:10:49:16

En ik moet zo'n verwerkingsovereenkomst
gaan opstellen.

0225 00:10:49:19 00:10:53:00

Hoe pak ik dit nou aan?
Wat is nou de allereerste stap?

0226 00:10:53:03 00:10:55:21

Dat is waarschijnlijk:
bepaal je positie.

0227 00:10:55:24 00:10:58:14

COMMANDEUR: Ja, de eerste stap
is weer goed nadenken over:

0228 00:10:58:17 00:11:02:00

wat ga ik nu uitbesteden?
Is dat alleen maar een dienst

0229 00:11:02:03 00:11:04:05

en ga ik alleen maar
een taxibedrijf inhuren?

0230 00:11:04:08 00:11:08:07

Of ga ik echt de verwerking
van persoonsgegevens uitbesteden?

0231 00:11:08:10 00:11:12:08

COMMANDEUR: Een voorbeeld is 'n
bloemetje voor de zieke medewerker.

0232 00:11:12:11 00:11:14:23

Ga je met de bloemist
op de hoek van de straat

0233 00:11:15:01 00:11:18:06

een verwerkersovereenkomst afsluiten
voor het bezorgen van het bloemetje?

0234 00:11:18:09 00:11:22:11

Ik denk het niet. Maar dat zijn dingen
waar je vooraf even over moet nadenken.

0235 00:11:22:14 00:11:23:15

ROTMAN: Oké.

0236 00:11:23:18 00:11:28:03

COMMANDEUR: Een goeie
handreiking kan zijn:

0237 00:11:28:06 00:11:32:14

kan die partij zelfstandig
een grondslag gebruiken?

0238 00:11:32:17 00:11:35:18

Hebben zij een goeie reden
om de gegevens te verwerken zelfstandig?

0239 00:11:35:21 00:11:38:10

Als dat zo is, als ze een
zelfstandige grondslag hebben,

0240 00:11:38:13 00:11:40:23

zullen ze vaak
verwerkingsverantwoordelijke zijn.

0241 00:11:41:01 00:11:43:02

ROTMAN: Dan zijn zij
de verwerkingsverantwoordelijke.

0242 00:11:43:05 00:11:46:07

Oké, dus de eerste stap is eigenlijk:
definieer eigenlijk even:

0243 00:11:46:10 00:11:49:06

wat is nou de aard van deze taak?

0244 00:11:49:09 00:11:51:08

Waar zitten we naar te kijken
met z'n allen?

0245 00:11:51:11 00:11:54:07

En heb je dat goed bekeken,
dan ga je kijken:

0246 00:11:54:10 00:11:58:10

aan welke kant sta ik dan eigenlijk?
Dat vloeit daaruit voort.

0247 00:11:58:13 00:12:01:16

En dan ga je met die partijen kijken:
wat zijn nou de afspraken?

0248 00:12:01:19 00:12:05:16

En hoe gaan we dat in zo'n overeenkomst
zetten? Zeg ik dat goed zo?

0249 00:12:05:19 00:12:08:04

COMMANDEUR: Ja, de eerste stap
is: aan welke kant sta ik?

0250 00:12:08:07 00:12:10:04

Ben ik verwerker
of werkingsverantwoordelijke?

0251 00:12:10:07 00:12:13:00

In de meeste gevallen
helpt het dan om te kijken van:

0252 00:12:13:03 00:12:16:03

nou ja, als ik het uitbesteed,
gaat het dan over de hoofdmoot,

0253 00:12:16:06 00:12:17:11

verwerking persoonsgegevens?

0254 00:12:17:14 00:12:21:01

Of gaat het over de hoofdmoot,
uitbesteding van een dienst of taak?

0255 00:12:21:04 00:12:23:24

ROTMAN: Bloemetjes bezorgen.
-Bloemetjes bezorgen, taxi rondrijden.

0256 00:12:24:02 00:12:26:08

En als je nou
zo'n overeenkomst wil gaan opstellen,

0257 00:12:26:11 00:12:28:06

heb je dan concrete tips
hoe je dat dan doet?

0258 00:12:28:09 00:12:31:13

Want dat is natuurlijk
heel erg casusafhankelijk.

0259 00:12:31:16 00:12:34:18

COMMANDEUR: Ja, de belangrijkste tip
als je zo'n overeenkomst gaat opstellen:

0260 00:12:34:21 00:12:37:18

maak gebruik van een format,
een vastgesteld iets

0261 00:12:37:21 00:12:40:22

wat binnen jouw branche
of sector gebruikelijk is.

0262 00:12:41:00 00:12:43:20

Maar dan gaat het er wel om
dat jij heel goed omschrijft

0263 00:12:43:23 00:12:46:22

datgene wat de taak of de dienst is
die je gaat uitbesteden.

0264 00:12:47:00 00:12:50:03

Wat dat inhoudt, waar het over gaat.
Dat is wel erg belangrijk.

0265 00:12:50:06 00:12:54:22

En zorg ook dat de naleving van
bijvoorbeeld beveiligingsvoorschriften

0266 00:12:55:00 00:12:56:16

dat je dat ook kunt aantonen.

0267 00:12:56:19 00:13:00:11

Dat overschrijven van dat er eh...

0268 00:13:00:14 00:13:03:10

Wat staat er ook alweer zo
mooi in de AVG?

0269 00:13:03:13 00:13:06:17

Passende organisatorische en
technische beveiligingsmaatregelen.

0270 00:13:06:20 00:13:08:12

Dat is een onvoldoende omschrijving

0271 00:13:08:15 00:13:11:03

als het gaat over het naleven
van de beveiliging,

0272 00:13:11:06 00:13:15:04

maar ze kunnen dat bijvoorbeeld ook
aantonen met audits of certificeringen.

0273 00:13:15:07 00:13:19:09

Ik kan me ook voorstellen dat het een
soort defensieve actie zou kunnen zijn

0274 00:13:19:12 00:13:23:21

als je gewoon even vaststelt van: jij
bent hier de verantwoordelijke, niet ik.

0275 00:13:23:24 00:13:27:00

COMMANDEUR: Wat bedoel je daarmee?
-Dat je tegen een partij zegt:

0276 00:13:27:03 00:13:30:04

even voor de helderheid, ik heb een
bepaalde dienst van jou afgenomen,

0277 00:13:30:07 00:13:32:20

maar jij moet wel zorgen
dat je die gegevens goed regelt.

0278 00:13:32:23 00:13:34:24

Jij bent hier de verantwoordelijke,
niet ik.

0279 00:13:35:02 00:13:37:08

Dat het een beetje defensief
is dat je zegt van:

0280 00:13:37:11 00:13:39:24

dat je misschien op papier zet
dat dat het geval is.

0281 00:13:40:02 00:13:42:04

COMMANDEUR: Ik weet niet
of dat defensief is.

0282 00:13:42:07 00:13:45:07

Dat is wat mij betreft: zorgen dat je
vooraf duidelijke afspraken maakt.

0283 00:13:45:10 00:13:48:17

Dat doe je met elk contract. Mt elke
partij met wie je afspraken gaat maken,

0284 00:13:48:20 00:13:53:00

wil je vooraf duidelijk hebben
wie welke verantwoordelijkheid
en verplichtingen heeft.

0285 00:13:53:03 00:13:55:13

Nou, dat doe je nu specifiek
voor persoonsgegevens.

0286 00:13:55:16 00:13:59:20

ROTMAN: Ja, en dan is jouw hoofdmoot
eigenlijk...

0287 00:13:59:23 00:14:03:06

Zoals zo vaak als het gaat over privacy,
dan zijn regels, regels, regels.

0288 00:14:03:09 00:14:08:00

Maar eigenlijk is de hoofdmoot ook:
gebruik je gezonde verstand ook gewoon

0289 00:14:08:03 00:14:10:09

en kijk even aan welke kant
je nou werkelijk staat.

0290 00:14:10:12 00:14:12:24

COMMANDEUR: Zeker. Gezond verstand
is in privacyland heel belangrijk.

0291 00:14:13:02 00:14:15:22

De vraag is altijd:
kan ik dit thuis uitleggen?

0292 00:14:16:00 00:14:18:03

Als je het thuis kunt uitleggen,
ben je meestal al een heel eind

0293 00:14:18:06 00:14:19:22

als je gezond verstand hebt gebruikt.

0294 00:14:20:00 00:14:23:18

ROTMAN: Dank je wel, Alex Commandeur,
managing consultant bij BMC.

0295 00:14:23:21 00:14:26:09

Als je ook de andere afleveringen
wil terugluisteren

0296 00:14:26:12 00:14:28:08

van Privacy in de Praktijk, dat kan.

0297 00:14:28:11 00:14:31:11

Ga dan naar
cip-overheid.nl/uitgelicht.

Waar moet je rekening mee houden bij het controleren van je werknemers?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en in deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
HAMELINK: Als 't minder ingrijpend kan, doe dat dan.
ROTMAN: Dat vind ik een mooie gelijk, Florianne Hamelink, om mee te beginnen.
Jij bent senior legal consultant bij Considerati. Zeg ik dat goed?
HAMELINK: Klopt helemaal. Ja.
ROTMAN: Het gaat over controleren van je werknemers.
Het zijn van die thema's waar ik zelf een beetje kriebelig van word.
Ik word gecontroleerd door de baas. Daar is m'n privacy in het geding.
Dus dat vind ik een spannend onderwerp. Toen ik me voorbereidde op dit gesprek
moest ik meteen denken aan personeelsvolgsystemen.
Ik denk dan: Oké, er wordt een dossier aangelegd van functioneringsgesprekken.
Maar het is eigenlijk meer dan dat als het gaat over privacy
en als het gaat over volgsystemen.
Kun je schetsen: Waar hebben we het over?
HAMELINK: Een personeelsvolgsysteem is eigenlijk een systeem of voorziening
waarmee je de prestaties of aanwezigheid van je werknemer kan controleren.
Daar zijn verschillende voorbeelden van.
Zo kun je denken aan track en trace in vrachtwagens bijvoorbeeld.
Of software waarop je kan zien hoe iemand z'n e-mail gebruikt
hoe vaak hij e-mails verstuurt of iets dergelijks.
En je zou kunnen denken aan een smartwatch
die uitgegeven wordt aan werknemers die bijvoorbeeld bepaalde metingen doen.
ROTMAN: Misschien ook mijn internetgebruik.
HAMELINK: Klopt. Ja, zeker, absoluut.
Ook je internetgebruik en natuurlijk ook...
Je kunt ook denken aan de meer traditionele vormen.
Het opnemen van telefoongesprekken
of het houden van cameratoezicht binnen een bedrijf.
ROTMAN: Wauw, dat is best... Ik vind dat...
Als ik dat zo hoor, denk ik van: Er mag dus van alles.
Ze mogen met camera's me in de gaten houden
en met ze bedoel ik dan de baas. Of misschien, ja...
En ze mogen dus kennelijk m'n mail in de gaten gaan houden.
Maar ik kan me zo voorstellen dat niet elke werkgever...
niet elke baas mag dit allemaal. Het moet waarschijnlijk functioneel zijn.
Dus als ik in dienst ben bij jou als vrachtwagenchauffeur
dan heeft het enige functie om te kijken of ik met die vrachtwagen
niet stiekeme ritjes voor m'n broer doe om hem te helpen verhuizen.
Dus dan is het ergens functioneel.
-Absoluut.
ROTMAN: Niet iedereen mag een tracker.
HAMELINK: Klopt. Er zijn punten
waar je rekening mee moet houden vanuit de privacywetgeving.
In de eerste plaats moet de werkgever een gerechtvaardigd belang hebben.
Dus inderdaad, jij noemde het al, hè:
een duidelijk doel eigenlijk waarom je een controle wil uitoefenen.
Daarbij moet je er rekening mee houden dat 't belang van die werkgever
zwaarder moet wegen dan het belang van de werknemers.
Moet je ook echt bewust en nauwkeurig afwegen.
Verder moet je je houden aan het noodzakelijkheidsvereiste.
Dus dat houdt in dat je beoordeelt of er middelen zijn
die minder ingrijpend zijn om de werknemer te controleren
of dat het op een andere manier kan.
Verder is het belangrijk dat je op voorhand het personeel informeert.
ROTMAN: Je mag het niet heimelijk doen.
-Nee, inderdaad.
Je moet wel goed de werknemers op de hoogte brengen
van het feit dat een dergelijke controle mogelijk is.
Wat ook belangrijk is, is dat je instemming moet vragen
bij de ondernemingsraad.
-OR moet ook meepraten.
HAMELINK: Klopt, ja.
Als je van plan bent om een personeelsvolgsysteem in te gaan zetten.
En tot slot is het noodzakelijk om een zogenaamde DPIA uit te voeren.
ROTMAN: Een DPIA, ja, ja, ja.
-Data Protection Impact Assessment
waarin je eigenlijk die onderdelen die ik net noemde nauwkeurig behandelt.
Dus je, ja, je bespreekt wat je grondslag is,
dus dat gerechtvaardigd belang komt aan de orde.
En nou, die noodzakelijkheidsvereiste.
Ook belangrijk is dat je in kaart brengt
wat de risico's zijn voor de betrokkenen.
ROTMAN: En ik hoorde in een gesprek dat ik heb gevoerd in deze serie:
Neem je gewoon je personeel mee bij die DPIA?
Gewoon alle stakeholders, betrokken, personeel?
Laat ze maar meedenken:
Oké, wij zijn van plan om inderdaad met camera's bepaalde personeels...
Op bepaalde plekken willen we de boel een beetje in de gaten houden.
Nou, neem je personeel mee, laat ze maar meepraten.
Vinden ze het spannend? Vinden ze het eng?
Dat is transparant eigenlijk, hè?
-Ja, dat is best wel een goeie
om daar eens onderzoek naar te doen hoe het personeel daarnaar kijkt. Ja.
ROTMAN: Moet je toestemming vragen aan je personeel?
Of is het meer: Je mag het niet heimelijk doen?
Als je een goeie overweging hebt, je hebt de OR meegenomen,
kan het als staand beleid en als personeel, je moet op de hoogte zijn
maar je hoeft niet per se toestemming te vragen.
HAMELINK: Nee, toestemming is ook een van de grondslagen van de AVG
net als gerechtvaardigd belang, maar dat kan hier niet van toepassing zijn
omdat het om een werknemer-werkgeverrelatie gaat.
Dus die toestemming kan nooit vrijelijk gegeven worden.
Dus daardoor moet je je beroepen op je gerechtvaardigd belang
en dat moet je nauwkeurig. afwegen zoals ik eerder noemde.
ROTMAN: En jij bent senior legal consultant bij Considerati, hè?
Op welke manier kom jij, zeg maar, in deze mix, zal ik maar zeggen?
Word jij betrokken door werkgevers van: 'Wij willen dit.
Wij hebben bepaalde problemen. Wij vinden het nodig
om het personeel op deze manier in de gaten te gaan houden.
Mag dit eigenlijk wel?' Wat is jouw rol?
HAMELINK: Ja, klopt, eigenlijk verschillende vormen van diensten
bieden wij aan.
We worden ook weleens gevraagd om bijvoorbeeld een DPIA op te stellen.
Of erbij te adviseren in de functie van interim DPO bijvoorbeeld.
Maar als consultant denk je mee over de grenzen van wat wel en niet kan.
En over de mogelijkheden ook.
ROTMAN: Ik kan me voorstellen dat je wordt ingeschakeld
door een werkgever die zegt van: 'Nou, wij willen dit.
Mag dit of wat zijn de grenzen van wat wel of niet mag?
Hoe gaan we dit vormgeven?'
-Ja.
ROTMAN: Ik kan me ook voorstellen dat je benaderd wordt door een ondernemingsraad
die dan zegt van: 'Oké, ze willen dit.
Kun jij ons helpen om te kijken of we de impact zo klein mogelijk kunnen maken
dat ze het wel een beetje doen, maar niet all in? Is dat ook wat jij doet?
HAMELINK: Nou, niet zozeer concreet, maar een DPIA bijvoorbeeld.
En een advies daarover.
Eh ja, onderdelen die je daaruit hebt gehaald,
die leg je ter instemming voor of het reglement.
En dan zou je wel daarbij een advies kunnen toevoegen
wat de risico's zijn aan de ondernemingsraad.
ROTMAN: Kun je zeggen dat met het oprukken van de technologie
en de digitalisering dat er steeds meer mogelijkheden komen
en dat het steeds trickier wordt? Dat het steeds...
HAMELINK: Absoluut, ja.
Dat denk ik wel, doordat er inderdaad meer mogelijkheden zijn.
Ook op het gebied van kunstmatige intelligentie
zijn er allerlei ontwikkelingen waarmee je mogelijk mensen kan monitoren.
Dus ik denk wel dat dat steeds verder zich ontwikkelt
en daardoor ook het belangrijk blijft om de privacy in acht te nemen.
ROTMAN: Wat denk jij eigenlijk als we over 20 jaar terugkijken op deze tijd?
We leven nu in 2022, dat we denken van:
Ach, toen hadden we nog privacy op de werkvloer.
Of blijven er krachten van:
'Ja, we hebben we hebben altijd een vorm van privacy.
Je mag heus wel eens een privémailtje sturen of zo.'
Hoe zie jij dat ontwikkelen? HAMELINK: Nou, het is zo dat je ook...
Privacy wordt niet gereduceerd tot nul op de werkvloer.
Op zich is het toegestaan om een privémailtje te sturen
of een privételefoontje te plegen
tenzij er duidelijk in een reglement is opgesteld dat dat expliciet niet mag.
Maar als dat niet zo is, dan ben je niet per se fout als je dat wel doet
af en toe een mailtje sturen, privé of telefonisch.
Maar je moet dat binnen de perken houden.
ROTMAN: Daar komt ook dat, hoe noemde je dat, rechtvaardig belang.
Je mag niet zomaar zeggen: Ik wil niet dat ze privémailtjes sturen.
Er is altijd een soort afweging in redelijkheid van:
Ja, als werkgever, je kan niet alles zomaar doen.
Je kan niet overal camera's gaan ophangen.
HAMELINK: Dat gerechtvaardigd belang zit meer
op het doel wat je wil bereiken met die ingreep, met die controle
en ja, in hoeverre dat belang wat je daarbij hebt zwaarder weegt.
ROTMAN: Heb je een concreet voorbeeld dat belangrijk is in de jurisprudentie?
Waaruit blijkt: Ja, zie je... Hier hebben we 't een beetje over.
HAMELINK: In 2017 is 'n uitspraak gedaan door het EHRM in de zaak Barbulescu
en daar ging het om een Roemeense man die bij een bedrijf werkte
en voor negen dagen gecontroleerd werd op zijn internetgebruik.
En daar kwam uit dat hij privéberichten stuurde naar familieleden
en daaropvolgend werd hij ontslagen.
Het Europees Hof van de Rechten van de Mens
heeft uiteindelijk geoordeeld dat vanwege het feit
dat die persoon niet op de hoogte was gesteld op voorhand
dat zo'n controle mogelijk was
dat hij daarom niet ontslagen had mogen worden.
En in die uitspraak is ook nog eens bevestigd
dat privacy niet volledig tot nul gereduceerd kan worden.
ROTMAN: Dus je hebt toch echt als werknemer...
Ja oké. Dus dat is een belangrijke.
Laten we kijken. Als je nou als werkgever hiermee rondloopt...
Dat je denkt van: Goh, ik vind dat ik goede redenen heb
om toch iets meer grip op mijn personeel te krijgen.
Wat nou de stappen zijn. Er zullen ongetwijfeld
wat juridische stappen zijn waar je aan moet voldoen.
Je moet inderdaad dus de OR erbij halen, die moet je inspraak geven.
Ehm, het mag sowieso dus niet heimelijk, hè.
Dus de mensen moeten op de hoogte zijn. 'Dit is het beleid.
Dit is hoe we met jou om wensen te gaan. Dit is wat we doen.'
HAMELINK: In sommige gevallen mag het heimelijk overigens,
maar om heel even terug te komen op de punten die jij net noemde
waar je rekening mee moet houden als werkgever.
Dat zijn dus de punten die ik net noemde uit de AVG.
Dat je een grondslag moet hebben, het gerechtvaardigd belang
en dat moet je heel goed onderbouwen.
Daarnaast moet je rekening houden met de noodzaak.
Dus ja, kan het ook op een minder ingrijpende manier?
Of zijn er andere middelen voorhanden om personen te controleren
of je doel te bereiken in ieder geval?
Ehm, ja, instemming van de OR noemde jij al.
Het op voorhand je personeel informeren.
En tot slot het opstellen van een DPIA.
Dat zijn punten waar je rekening mee moet houden.
Waar ook het privacyteam van je onderneming bij kan adviseren
of een consultant.
Ehm, en over het heimelijk controleren gesproken.
In sommige gevallen is dat wel mogelijk.
Eigenlijk naast dat je moet voldoen aan de vereisten die ik zonet noemde
moet je er ook rekening mee houden dat er een concrete verdenking moet zijn
van dat een werknemer fraude pleegt of een strafbaar feit pleegt.
ROTMAN: Mag ik je even onderbreken?
Heb je daar wat meer voorbeelden van? Fraude? Dat zijn de zaken.
Oké, nou, soms moet je gewoon je boel in de gaten houden.
Wat zijn redenen waardoor je zegt: Er ontstaat wel ruimte nu.
HAMELINK: Als jij het idee hebt dat iemand jouw bedrijfsgeheimen lekt
dat je daar aanleiding voor hebt om dat te denken.
Dus interne vertrouwelijke informatie
of bijvoorbeeld dat er diefstal wordt gepleegd
en dat je daarvoor een camera nodig hebt om dat te achterhalen.
Als je dat echt op geen andere manier kan achterhalen
dan zijn dat mogelijkheden. Ja.
ROTMAN: Als ik je zo hoor... Kijk, dit heeft voor mij...
Ik krijg hier een beetje jeuk van: Oh, de baas gaat mij in de gaten houden.
Het voelt altijd een beetje agressief ook.
'Ze pakken me m'n privacy af en ik ben niet meer...'
Het geeft een heel onveilig gevoel.
Is eigenlijk ook niet een hele belangrijke gewoon:
Haal je personeel er gewoon bij, man, ga gewoon met z'n allen in gesprek.
Wees transparant over je intenties. Anders krijg je zo'n wij-zijgevoel.
Dat willen we toch ook niet hebben?
-Dat is een goed punt.
Dat lijkt mij ook niet een hele prettige omgeving om in te werken
op het moment dat je weet dat elk moment je e-mail gecontroleerd kan worden.
En ik denk dat in sommige gevallen er best wel middelen zijn
waarbij je wel hetzelfde doel bereikt.
Bijvoorbeeld als jij wil weten wat jouw werknemer eigenlijk op een dag uitvoert.
Ja, dan kun je in theorie screenshots maken van z'n beeldscherm
of 'm via de webcam blijven volgen. Je kunt ook van tevoren afspraken maken:
'Ik wil dat je deze dag deze en deze taken uitvoert
en aan het einde van de dag bespreken we of dat gelukt is.
ROTMAN: Dat zeg ik. Je kan het ook vragen:
Wat heb je zitten doen de hele dag? Dan gaan ze in gesprek met elkaar.
HAMELINK: Ja. Dus dat, nee, dat is denk ik een belangrijke.
Als het minder ingrijpend kan, dan is dat altijd goed om te doen.
ROTMAN: Dat was een beetje de slogan waarmee je deze podcast aftrapt.
Als het minder ingrijpend kan, doe dat dan.
Dat is wat de AP ook eigenlijk zegt, hè. Kijk even of dit echt het middel is
de enige manier om erachter te komen. Dus in die zin is een belangrijke.
HAMELINK: Zeker. Dat is een van de eisen van de AVG.
ROTMAN: Precies. Het is een van de vereisten van de AVG,
maar het is ook gewoon voor het intermenselijke contact.
Op een menselijk niveau is het ook verstandig om op die manier te kijken:
Willen we zo met elkaar omgaan en kunnen we dit niet op een andere manier doen?
HAMELINK: Ja.
ROTMAN: En als mensen twijfelen of ze dit mogen doen?
Zullen we al laatste tip toevoegen: Florianne bellen bij twijfel?
HAMELINK: Heel goed idee. Ja, zeker weten.
ROTMAN: Oké, nou dat is dan Florianne Hamelink.
Senior legal consultant bij Considerati.
Dank je wel voor je tijd.
-Graag gedaan.
ROTMAN: Als je het interessant vindt,
luister dan andere afleveringen van Privacy in de Praktijk
en ga hiervoor naar cip-overheid.nl/uitgelicht.
Dank je wel.

VAN BOMMEL: Hoe audit je de hele keten?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In podcasts van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
AUGUSTINUS: Kijk niet alleen naar je leveranciers
maar ook naar de leveranciers van hun leveranciers.
ROTMAN: Te gast: Stan van Bommel, Rob Augustinus.
Beiden specialistisch inspecteur bij Agentschap Telecom.
Jullie hebben samen een mooi artikel geschreven over dit thema
en dat is te vinden via deitauditor.nl. Dus dat kunnen de mensen allemaal teruglezen.
Die audit van de hele keten, Stan.
Neem me even mee in jouw wereld. Waar hebben we het dan precies over?
Want het gaat dus meer over dan...
je gaat niet alleen naar je directe leveranciers kijken
je kijkt ook naar de leveranciers van je leveranciers.
We hebben het over een ecosysteem, wat je dus in kaart moet brengen of zo?
Vertel, waar hebben we het over? VAN BOMMEL: Dat klopt helemaal.
Je moet niet alleen de keten van de leverancier inzichtelijk hebben
maar ook de samenhang tussen verschillende leveranciers.
En niet alleen online, maar ook fysiek.
Op welke locatie zitten die leveranciers? Zitten die wellicht op één plek?
ROTMAN: Hmhm. En waar hebben we het dan concreet over?
Dus je bent een bedrijf of een organisatie
en je hebt een bepaald product en er gaat data van hot naar her.
Waar hebben we het eigenlijk over?
VAN BOMMEL: Ja, je kan... Wij hebben drie trends onlangs in een artikel beschreven.
De eerste trend is: Je hebt een concentratierisico.
Online. Dat kan zijn dat jij je dienst hebt uitbesteed bij drie verschillende partijen.
Maar al die drie verschillende partijen, die komen weer samen bij één datacenter.
Dan heb je op dat punt een single point of dependency.
ROTMAN: Dat maakt kwetsbaar.
-Dat maakt kwetsbaar.
Een tweede wat wij hebben onderkend, is dat zo'n datacenter
direct naast een datacenter van een andere partij kan zitten.
Vaak zitten die allemaal op één locatie op een gunstige plek.
In Nederland is dat Amsterdam.
Daar zit zeventig procent van het vloeroppervlakte van alle datacenters.
Dus da's een tweede risico.
ROTMAN: Dus ook weer een beetje die afhankelijkheid.
VAN BOMMEL: Ja, ja.
ROTMAN: Ik hoorde je drie dingen noemen.
-De derde is:
Nou, hoe meer je uitbesteed, hoe meer aanvalsoppervlakten je hebt.
Als je alles on premise hebt, alles binnen één bedrijf
dan weet je door welke deur een aanvaller kan komen.
Maar als jij verschillende leveranciers hebt die ook weer gebruikmaken
van verschillende leveranciers, dan heb je een veelvoud aan deuren.
ROTMAN: Jullie werken veel samen, hè Rob? Wat is jullie rolverdeling?
Jullie komen samen binnen ergens.
En wat doet Stan dan, Rob? Wat is zijn taak?
AUGUSTINUS: Stan is IT-auditor. Dus hij gaat echt alle organisaties doorlichten.
Hij stelt de vragen.
De vragen worden natuurlijk beantwoord door die organisaties.
En ik als IT security expert moet die vragen, zeg maar...
de antwoorden die daaruit vandaan komen naar waarde inschatten.
ROTMAN: Dus Stan komt binnen en die gaat die keten kijken:
Hebben jullie dat goed inzichtelijk gemaakt?
Dan komen die antwoorden en dan ga jij met jouw...
je securitymind gaat checken of dat allemaal wel inderdaad klopt.
En waar is dan de privacy in het geding?
Want ik hoor je nu security zeggen, maar dat gaat nog niet per se over privacy.
AUGUSTINUS: Dat klopt. Natuurlijk, de inspecties die wij uitvoeren
vanuit Agentschap Telecom, zijn gericht op de digitale weerbaarheid van bedrijven.
Zijn ze bestand tegen cybersecurity- aanvallen of andere incidenten?
Maar cybersecurity is eigenlijk een basisvoorwaarde voor je privacy.
Als jouw cybersecurity niet op orde is, zijn ook je persoonlijke gegevens
je personal data, ook niet beschermd.
Dus het een kan niet zonder het ander.
ROTMAN: Oké, dus privacy en security zijn onlosmakelijk met elkaar verbonden.
En als je security niet goed geregeld is, is de privacy het eerste wat sneuvelt.
AUGUSTINUS: Precies. ROTMAN: Als je het hebt over die keten
wat gaat er vaak fout, Stan? Want mensen denken misschien:
Nou, ik heb m'n eigen spulletjes op orde, ik weet waar mijn data staat.
Ik weet welke service ik weet welke partijen ook
misschien zelfs wel in welke landen ze zitten.
Maar is er dan een soort van naïviteit:
Je hebt een verantwoordelijkheid om te kijken waar je partners
al jouw leveranciers, waar zij hun spulletjes...
Is dat ook een soort naïviteit nog een beetje?
VAN BOMMEL: Wat wij wel in de praktijk zien
is dat partijen een contract afsluiten met een leverancier.
Dan wel ook een assuranceverklaring van die leverancier periodiek beoordelen.
En daarmee denken ze dat ze in control zijn. Echter, dan ben je er nog niet.
Want je moet ook een keer die leveranciers naast elkaar zetten.
En welke onderlinge afhankelijkheden zijn er?
En vaak gaan die verklaringen alleen over de online risico's
en niet over de fysieke locaties waar zo'n partij zit.
ROTMAN: Aha, dus er is een soort fysieke component nog een keertje erbij
bij die keten, bij die audit van die hele keten.
VAN BOMMEL: Zoals je net al zei: Je moet het hele ecosysteem inzichtelijk hebben.
ROTMAN: Oké, en er waren dus een paar concrete gevaren.
Je noemde die concentratierisico's vanwege de rol van de leveranciers eigenlijk, hè.
Je hebt de concentraties in bepaalde locaties.
Je noemde Amsterdam waar al die datacenters staan.
En door die uitbesteding wordt je aanvalsoppervlak
of eigenlijk het oppervlak. wat je moet verdedigen groter.
Als we bijvoorbeeld even een concrete casus pakken, Rob.
En laten we nou bijvoorbeeld, neem nou dat aanvalsoppervlak, dat vind ik heel...
Dat spreekt tot de verbeelding.
Geef eens een voorbeeld hoe dat dan in de praktijk werkt.
AUGUSTINUS: Nou, aanvalsoppervlak kun je het best eigenlijk illustreren
met een voorbeeldje van een recente kwetsbaarheid.
Dat was eind vorig jaar.
Dat heet Log4j. Da's een stukje software om gebeurtenissen te loggen.
De aanval bestond er eigenlijk uit dat bijvoorbeeld een aanval bepaalde...
bijvoorbeeld bij een webserver een bepaalde pagina kon opvragen
die bijvoorbeeld niet bestaat.
En dan gaat dat stukje software, Log4j, loggen van:
Hé, er wordt een pagina opgevraagd die niet bestaat.
Als die aanvaller dat nog om een specifiek iets gaat doen...
Een specifieke request naar een webserver zoals dat heet,
dan kan je daarmee een stukje code inzetten
wat eigenlijk gebruikmaakt van die kwetsbaarheid in Log4j.
Daarmee heeft die aanvaller... Da's een beetje een complexe aanval
dus ik ga het niet helemaal in detail uitspellen...
maar het resultaat is gewoon
dat een aanvaller daarmee bijvoorbeeld die webserver kan overnemen.
Nou, op zich is het niet zo erg
als dat een stukje software is wat zeg maar een enkele keer voorkomt.
Maar dit stukje software, dat kon overal en nergens voor...
ROTMAN: Dat zit overal?
-Dat wordt veel gebruikt.
Een heleboel applicaties. En daarmee als een...
Omdat dat stukje, dat is een stukje open source software. Dat wordt veel gebruikt.
Daarmee kan je dus...
door gebruik te maken van één kwetsbaarheid heb je een heel groot bereik.
ROTMAN: En dan heb je toegang tot data?
-Tot data.
Want je kunt daarmee uiteindelijk een webserver overnemen.
Nou, daarmee ben je al...
Je hebt je eerste horde genomen, ben je in een bedrijf gekomen.
En dan van daaruit kunnen aanvallers verdergaan.
En eh, het grote probleem met dat stukje software was
dat niemand zich realiseerde dat dat zoveel voorkwam.
ROTMAN: Dat zit overal, want je had het over dat aanvalsoppervlak.
Dus dat zit misschien bij mij, dat zit bij de leverancier.
Dat zit dus bij de leverancier van de leverancier.
En dat zit dus overal.
En zo heb je dus een groot potentieel aanval... Een grote kwetsbaarheid.
AUGUSTINUS: Precies.
ROTMAN: Omdat die data op straat komt te liggen, overgenomen wordt.
AUGUSTINUS: Zeker.
-Ransomware?
AUGUSTINUS: Ransomware ook.
Het biedt heel veel mogelijkheden. Het biedt in ieder geval aan aanvallers
al een eerste gelegenheid om binnen te komen.
ROTMAN: Ah allright. Oké, dat is zeg maar het aanvalsoppervlak.
Heb je nog een casus? Dit is spannend natuurlijk.
AUGUSTINUS: Een andere casus die we ook in ons artikel hebben aangehaald
is bijvoorbeeld Mimecast-kwetsbaarheid.
Nou, Mimecast is eigenlijk een bedrijf
dat beveiliging doet bijvoorbeeld van e-mail.
Ook back-ups maken ze en dergelijke.
Maar Mimecast heeft ook een service die wordt gebruikt
door Microsoft Office 365-gebruikers.
Nou, en wat je eigenlijk ziet, is dat je een relatie hebt tussen Mimecast
en de hele grote techreus zoals Microsoft.
Nou, door die kwetsbaarheid konden gebruik...
konden aanvallers Microsoft Office 365-accounts overnemen.
ROTMAN: Kijk eens aan.
AUGUSTINUS: Microsoft Office, eh...
Sorry. Microsoft Office 365 is eigenlijk een applicatie die iedereen gebruikt.
Iedereen gebruikt wel e-mail ervan. Of Word en dergelijke.
En dat is dus eigenlijk het probleem. Dat je dus door een gerichte aanval
op een applicatie die essentieel is voor een heleboel bedrijven
dat je daardoor bedrijven ermee in de problemen kan brengen.
ROTMAN: Oké, en dit is zo'n voorbeeld dat je het hebt
over dat concentratierisico vanwege die rol van die techreuzen.
Dat zit dus ook weer in die hele keten potentieel.
We maken er allemaal gebruik van. En dat zit ook overal. Dus zitten ze ook...
Dus een combinatie van concentratie van techreuzen
en dat aanvalsoppervlak wederom, neem ik aan.
Oké, dus je moet die hele keten dus door gaan zitten spitten.
Je moet niet alleen naar je directe leveranciers kijken
maar ook naar de leveranciers van je leveranciers.
Wat zijn nou de tips?
Waarvan je denkt van: Ja, oké, jongens, verlies nou die naïviteit.
Je moet het hele speelveld overzien.
Wat is nou de eerste tip, Stan? VAN BOMMEL: De eerste tip zou zijn:
Als je het hele ecosysteem inzichtelijk hebt gemaakt
kan je scenario's gaan verzinnen.
Wat als? En voor elk scenario zou je kunnen denken: Wat is mijn plan B?
ROTMAN: Dus bijvoorbeeld van: Wat nou als mijn cloudservice gebreacht wordt?
En dan moet je dan altijd een plan B?
Je moet dus een soort alternatieve partij in je achterzak hebben?
Als het misgaat, moet ik daarop kunnen terugvallen?
VAN BOMMEL: Als je proces belangrijk genoeg is,
dan zou je moeten kijken: Wat is mijn back-up?
ROTMAN: Altijd een plan B in je achterzak. VAN BOMMEL: Ja.
Wat is een tweede tip?
AUGUSTINUS: Een tweede tip is wat we al eerder hadden gezegd:
Kijk wat verder dan je neus lang is.
Je gaat niet alleen maar naar je directe leveranciers kijken,
maar ga ook naar de dieperliggende lagen daarvan kijken.
Zijn er misschien afhankelijkheden die je niet vermoedt?
Een voorbeeldje is net: grote techreuzen zoals Amazon Web Services en dergelijke.
Da's het fundament voor veel andere clouddiensten.
Het kan dus zijn dat je misschien drie verschillende cloudleveranciers hebt
maar die allemaal gebruikmaken van bijvoorbeeld Microsoft Azure.
Of Amazon Web Services. Alle drie.
Jij denkt: Ik heb m'n risico's gespreid.
Maar stel dat Amazon Web Services eruit vliegt
dan heb je drie cloudleveranciers die er hun diensten op draaien. Die vliegen er ook uit.
ROTMAN: Hoe is dan m'n privacy hier in het geding?
AUGUSTINUS: Je privacy kan zijn... Stel dat bijvoorbeeld daar een kwetsbaarheid in zit.
In, zeg maar, Amazon Web Services,
waardoor daardoor data op straat kan komen te liggen,
is dat je bij al die drie leveranciers dat probleem hebt
dat je data op straat kan komen te liggen.
ROTMAN: Ja, oké. Tip drie.
VAN BOMMEL: Ja, eigenlijk heeft Rob nu al twee tips gegeven.
Enerzijds zegt ie van: Kijk naar de keten van één leverancier. Diep die helemaal uit.
En de tweede tip was om de verschillende ketens naast elkaar te zetten.
En kijk of er tussen die ketens of daar verbanden zijn.
ROTMAN: Dwarsverband tussen de verschillende ketens. Tip vier.
AUGUSTINUS: Ja, fysieke locaties van waar je diensten staan.
Dat is eigenlijk vaak iets wat mensen over het hoofd zien
en dat is ook het verhaal wat wij vertellen in ons artikel over concentratierisico's.
Je kunt verschillende leveranciers hebben
maar die leveranciers moeten ergens fysiek hun servers hebben staan
waaruit ze hun diensten aanbieden.
Nou, vaak willen, zeg maar, leveranciers toch een local presence hebben.
Zo kort mogelijk bij. Nou, dan staan ze bijvoorbeeld in Amsterdam.
ROTMAN: Hmhm.
AUGUSTINUS: We hebben al aangehaald dat de grootste concentratie van datacenters
hier in de Amsterdam-Schiphol-regio is.
Nou, wat je eigenlijk hier hebt...
Je kan dus eigenlijk een heel groot probleem hebben
als daar bijvoorbeeld een overstroming komt, of er god weet wat voor ramp is.
Dan zie je ineens dat een heleboel leveranciers
die gebruikmaken van die datacenters daar, dat die ineens allemaal uitvallen.
Dat kan cascade-effecten hebben.
ROTMAN: Of over fysiek die datacenters gesproken, die staan in het buitenland
en in een land waar ze het helemaal niet zo nauw nemen met mijn privacy.
Daar is de AVG helemaal niet van kracht.
Die Amerikaanse opsporingsdiensten hebben er misschien wel schijt aan.
Is dat een gevaar? AUGUSTINUS: Dat kan ook een gevaar zijn.
ROTMAN: Is dat deel van de audit van de keten dat je dat in kaart brengt?
AUGUSTINUS: Ja, omdat je ook niet weet
hoe jouw leveranciers weer hun diensten uitbesteden.
En contractueel moet dat allemaal zijn vastgelegd.
Het kan best wel zijn dat er stukjes data ergens staan
op een locatie waar jij geen weet van hebt
maar die ergens drie lagen dieper in de leveranciersketen wel zichtbaar zijn
maar niet meteen voor jou.
ROTMAN: Oké, oké, resumerend.
Je moet altijd een plan B hebben, Stan, altijd een plan B.
Je moet altijd ergens op terug kunnen vallen.
Je moet diep in het konijnenhol kijken.
Niet alleen die ene leverancier, al je leveranciers
en je moet ook nog eens een keertje zorgen
dat je niet alleen naar de software kijkt, maar ook naar de locaties.
Je moet kijken... De fysieke locaties.
Die informatie moet beveiligd zijn als je ergens een probleem hebt...
Die cascade van problemen die op je afkomt als het misgaat...
Dan gaat al die informatie op straat, privacy breach.
En als het spul allemaal op die servers in het buitenland staat
waar ze het allemaal niet zo nauw nemen met die privacy, ben je ook de sjaak.
Dus je moet eigenlijk een soort verantwoordelijkheid voelen
om dat hele ecosysteem in kaart te brengen.
Is dat een goeie samenvatting zo, Stan? VAN BOMMEL: Ja, dat klopt helemaal.
Het belangrijkste uitgangspunt is:
hoeveel je ook uitbesteedt, je blijft verantwoordelijk.
ROTMAN: Stan van Bommel, Rob Augustinus. Bedankt.
Succes met jullie mooie werk om die audit in de hele keten te regelen.
Luister ook de andere afleveringen van Privacy in de Praktijk
en ga hiervoor naar cip-overheid.nl/uitgelicht.

VAN DER HAAGEN: Hoe creëer je privacy awareness in het DNA van je organisatie?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
VAN DER HAAGEN: Privacybescherming is 80 procent je gezonde verstand gebruiken.
ROTMAN: Hier zit iemand met een goed ontwikkeld gezond verstand
namelijk Marcel van der Haagen, FG bij Amsterdam UMC.
Marcel, leuk dat je er bent in deze podcast.
-Ook leuk hier te zijn.
ROTMAN: Privacy is niet iets van alleen de FG.
Privacy is ook niet iets van alleen maar het bestuur.
Privacy is van ons allemaal en voor ons allemaal.
Althans, zo zien wij het het liefst.
En waar wordt dat nou helderder dan in een ziekenhuis, denk ik dan?
Ik vind het ontzettend fijn dat je er bent. Op welke niveaus, op welke terreinen
speelt privacy allemaal een rol bij jullie op de werkvloer?
VAN DER HAAGEN: Ja, in een ziekenhuis daar...
Nou, een UMC, een universitair medisch centrum...
Ja, we hebben de gegevens van ongeveer 4,5 miljoen patiënten in het ziekenhuis.
Die moeten optimaal beschermd worden.
We hebben niet alleen met de privacywetgeving te maken
maar ook met het beroepsgeheim.
Maar ook in een UMC zoals Amsterdam UMC, daar werken zo'n 20.000 mensen.
ROTMAN: 20.000 mensen?
-20.000 mensen.
ROTMAN: Meer dan vier miljoen patiënten.
-Gegevens van patiënten.
Ze zijn niet allemaal op dit moment onder behandeling
maar we hebben de gegevens van zo'n 4,5 miljoen patiënten.
ROTMAN: Je noemt het al, beroepsgeheim. Dus privacy zit al in het vak van de arts.
Dat zit ingebakken. Je zegt: We hebben gegevens.
Dat staat op servers. Dat staat op computers.
Patiënten, dat zijn kwetsbare mensen die komen in die ziekenhuizen.
Privacy zit op een heleboel lagen en op een heleboel niveaus.
Je hebt dossiers, de patiëntendossiers. Het zit overal bij jullie, hè privacy?
VAN DER HAAGEN: Privacy zit overal en je noemde net de arts
waar beroepsgeheim op van toepassing is.
Maar in een ziekenhuis, in een universitair medisch centrum
is het beroepsgeheim op iedereen van toepassing.
ROTMAN: En als je het nou hebt over de momenten dat het fout gaat?
Want er zijn altijd incidenten. Waar 20.000 mensen werken, is af en toe gewoon gedoe.
Als het nou fout gaat, wat gaat er dan fout? Wat is dan een beetje de rode draad?
Is het onwetendheid? Is het slordigheid?
Wat gebeurt daar?
VAN DER HAAGEN: Je noemt de twee belangrijkste oorzaken.
Het is onwetendheid en onzorgvuldigheid.
We houden netjes alle privacy- en informatiebeveiligingsincidenten bij.
Daar maken we prachtige statistiekjes van.
Zo'n 70 procent, ja, 66 tot 70 procent om precies te zijn...
Dat zijn incidenten die te maken hebben met onwetendheid en onzorgvuldigheid.
ROTMAN: Gewoon slordigheid. En als je het nou hebt over awareness in het DNA...
Dat is altijd lekker, maar het klinkt ook een beetje als een containerbegrip.
Wat betekent het voor jou en voor jouw organisatie
dat die awareness voor privacy ook daadwerkelijk in dat DNA zit?
Wat is dat bij jullie en voor jou persoonlijk?
VAN DER HAAGEN: Bevorderen van awareness
is de allerbelangrijkste beheersmaatregel om de privacybescherming
en de informatiebeveiliging op orde te hebben in je organisatie.
En dan niet alleen bij leidinggevenden of bij de raad van bestuur
maar het moet bij iedereen op het netvlies staan.
Daar hebben we in Amsterdam UMC...
Ja, een fors aantal maatregelen treffen we daar
om te zorgen dat dat op peil blijft bij alle medewerkers.
ROTMAN: Tips en maatregelen gaan we 't over hebben.
Ik wil eerst een paar casussen. Hoe ziet het er dan in concreto uit?
Wat is jouw taakopvatting als FG?
Zie jij jezelf als 'n soort privacysheriff met de zweep erover
en iedereen past zich maar aan? Ben je meer een soort ambassadeur van de privacy?
Wat is jouw eigen taakopvatting daarbij?
-Dat is een hele goeie vraag.
In de wet staat eigenlijk dat de functionaris gegevensbescherming
vooral toezicht moet houden, dus dat is belangrijk. Dat is taak nummer één.
Twee: advies. Drie: zorgen voor awareness. Ja, bij mij is het eigenlijk net andersom.
Ik vind het zorgen dat die awareness op orde is in de organisatie
dat vind ik eigenlijk ook mijn allerbelangrijkste taak.
Er staat ook ergens in die richtlijnen van de Autoriteit Persoonsgegevens
dat je zichtbaar moet zijn.
Dat probeer ik ook vooral in de organisatie te bewerkstelligen.
Als ik door de organisatie loop en mensen zien mij,
dan associëren ze mij met privacybescherming en informatiebeveiliging.
Dat merk je ook, want dan maken de mensen een grapje over hun badge
of over papier wat op een tafel ligt waar privacygevoelige gegevens op staan.
Ik merk dat dat werkt. En ja, dat betekent dat ik rondloop.
Ja. Privacy bij walking around, hè.
-Privacy by walking around.
Dat vind ik een mooie. En wil je dat ze dan een beetje bang voor je zijn?
Of denk je: 'Nee, daar gaat het mij niet om. Ik ben geen politieagent.
Ik wil benaderbaar zijn.
Ik wil liever dat ze zich kwetsbaar opstellen en vragen aan me stellen
en toegeven dat ze misschien dingen niet zo goed weten
dan dat ze bang zijn dat Marcel een pets op m'n vingers geeft
omdat ik een papiertje met de verkeerde kant naar boven
op m'n bureau heb laten liggen.' Zoiets? Hoe zie jij jezelf dan?
VAN DER HAAGEN: Ik probeer 't vooral aantrekkelijk te maken.
Dus als mensen mij zien, denken ze niet: Daar is die boeman.
Mensen vinden het leuk als ik op afdelingen kom, mensen adviseer.
Ik probeer altijd een beetje de privacywetgeving en dergelijke
een beetje in de context te plaatsen van de geschiedenis, de democratie
als mensen dat aardig vinden om dat te horen ook natuurlijk.
Zo probeer ik het aantrekkelijk te maken. Mensen komen ook graag naar mij toe
en vinden het leuk om een advies aan mij te vragen.
ROTMAN: Je bent een benaderbare FG.
-Heel benaderbaar.
ROTMAN: Neem me mee naar het ziekenhuis.
Neem me even mee en geef eens wat voorbeelden van privacyzaken
waar je niet meteen aan denkt, maar dat je denkt:
'Maar dat is het ook bij ons.' Noem eens een voorbeeld.
VAN DER HAAGEN: Dat vind ik wel lastig, want we krijgen 1800 vragen per jaar.
En dat betreft eigenlijk de verwerking van alle persoonsgegevens.
Of het nou patiënten zijn of het zijn medewerkers of het zijn leveranciers
of het zijn cursisten of het zijn specialisten in opleiding.
Eigenlijk komt het op alle fronten, op alle afdelingen voor.
Dus een typisch voorbeeld vind ik nogal lastig als ik heel eerlijk ben.
ROTMAN: Nou, bijvoorbeeld bloedbuisjes, etiketten, dat is ook privacy.
VAN DER HAAGEN: Exact, exact. Ik denk dat je ook een beetje doelt op incidenten
die in Amsterdam UMC voorkomen
die verband houden met gebrek aan awareness.
Dan denk ik bijvoorbeeld een hele kleine. Bijvoorbeeld uit ons EPD.
Daar kan je verschillende soorten etiketten printen.
Nou, als je een brief naar een patiënt stuurt
kan je netjes een adresetiket printen en dat op de envelop plakken.
Maar er zijn ook etiketten die zijn bedoeld om op buisjes te plakken
of om op preparaten te plakken en dergelijke.
Ja, en daar staan meer gegevens op. Daar staat soms een BSN op.
Ik heb zelfs etiketten gezien met een BMI erop en met een bloeddruk
en met een hartslag en dergelijke. En heel soms worden die dan gebruikt
om op een envelop te plakken en op te sturen.
Dat wordt niet gewaardeerd door patiënten.
ROTMAN: Dus dan wordt er heel onbewust een beetje gestrooid met informatie.
Jongens, pas een beetje op.
VAN DER HAAGEN: Niet de bedoeling, slordigheid en geen controle zit er dan op.
Met dit soort verzendingen moet je natuurlijk je realiseren
dat je dat even goed moet controleren voor je dat in de bus stopt, in de brievenbus.
ROTMAN: En een ander voorbeeld. Dat gaat over onderhoudsmonteurs voor machines.
Dat zijn mensen die niet dagelijks in een ziekenhuis werken
of niet in jullie ziekenhuis.
Die voelen zich misschien minder betrokken dan de arts of het verpleegpersoneel
dat is mijn eigen aanname.
Maar hoe... die moeten natuurlijk voldoen aan de norm van Marcel, zal ik maar zeggen.
Het moet ook in dat DNA zitten.
-Ja, exact.
We hebben in Amsterdam UMC 40.000 tot 50.000 apparaten staan
waarin patiëntgegevens verwerkt worden.
Nou, zo ook hebben we natuurlijk prachtige apparaten
in de laboratoria om bloedbepalingen en dergelijke te doen.
Een incident wat zich ook voorgedaan heeft, is dat bij het updaten van software
van zo'n laboratoriumapparaat dat daar door een monteur
een externe monteur of een externe leverancier...
Die had tijdens de update een onbeveiligd stickje in het apparaat gestopt
en heeft per abuis een verkeerde opdracht gegeven.
En vervolgens stonden er op dat stickje
de uitslagen van laboratoriumbepalingen
dus microbiologie, dus heb je een infectie of niet?
Inclusief naam en toenaam kwamen op dat stickje te staan.
ROTMAN: Klassiekertje eigenlijk.
-Ja, da's een klassiekertje, ja.
Maar ja, normaal gesproken, zou je zeggen, komt dat stickje terug.
Maar wat gebeurde er nou? Deze meneer parkeerde z'n auto in Utrecht
en liet z'n laptop met het stickje in die tas in z'n auto achter
en vervolgens is dat gestolen. Ja, dan heb je helemaal geen controle meer
over die laboratoriumbepalingen waar naam en toenaam bij staat.
Dus dat is natuurlijk een heel pijnlijk...
ROTMAN: Jij als FG, dat komt jou ter ore.
-Exact.
ROTMAN: Want dit is een incident en dat hoort bij jou terecht te komen.
Wat gebeurt er dan bij jou? Flip jij dan?
Word je dan boos of... Wat voor proces...
-Je moet professioneel blijven.
ROTMAN: Wat voor proces komt er in gang?
VAN DER HAAGEN: In eerste instantie bij elk datalek...
We krijgen er pak 'm beet zo'n 250 per jaar gemeld bij ons.
Net ook weer hoorde ik er net een paar binnenkomen.
En ehm ja, dan wordt gekeken: Wat is de omvang?
Wat is de ernst? Ik schat eigenlijk in: Wat is de kans maal impact?
De kans dat het fout gaat. En wat is dan de impact?
Dat beoordelen we dan. En afhankelijk van de ernst wordt er al dan niet opgeschaald.
Dus in dit geval wordt er ook meteen een soortement van beheersteam ingesteld
om te zorgen dat het adequaat afgehandeld wordt.
En in dit geval moesten natuurlijk ook 2000 betrokken patiënten geïnformeerd worden.
Autoriteit Persoonsgegevens moest geïnformeerd worden.
Maar je moet ook zorgen in dit geval dat je daar ook transparant over bent
als organisatie, dus dan moeten de persberichten en dergelijke de deur uit.
ROTMAN: De communicatieafdeling zit daar niet op te wachten.
VAN DER HAAGEN: Jawel. We hebben daar een...
ook de communicatieafdeling staat op scherp als het ware
op het moment dat zich een ernstig datalek voordoet.
ROTMAN: Oké, dus dit is het al een beetje.
Dit is die awareness waar jij het over hebt.
Ook de communicatieafdeling moet meedoen.
Iedereen moet openstaan voor dit verhaal. Oké, leuk. Concrete tips.
Er zijn natuurlijk veel mensen die vanuit hun professie
met privacy bezig zijn, met dit soort dataproblemen
en: Hoe gaan we ermee om?
Ik hoor al aan alles dat jij natuurlijk dit in je hele organisatie erin wil duwen.
Wat zijn de concrete tips en maatregelen waarvan jij denkt:
Dat doen we op deze manier. Dat zou misschien voor andere organisaties...
Als je dit doet, is het goed om de privacydingen
in de awareness in het DNA van je hele organisatie te krijgen.
Wat zijn dan de belangrijkste tips?
VAN DER HAAGEN: Tips waar wij goeie ervaring mee hebben in Amsterdam UMC
is in eerste instantie dat alle mensen die in dienst zijn en in dienst komen
dat die e-learningmodules verplicht volgen.
En dat houdt in dat, ja, zodra je in dienst van Amsterdam UMC komt
krijg je ook een uitnodiging om een privacycursus te volgen.
Dan moet je een aantal vragen beantwoorden.
Als je die goed beantwoordt, krijg je een registratie van je competentie
in de personeelsadministratie. Dat is ontzettend belangrijk.
Eenmalig, da's natuurlijk onvoldoende.
Dus je moet iedere twee jaar dat herhalen, dus dan krijg je ook geautomatiseerd
een uitnodiging om die e-learning opnieuw te volgen.
Die e-learnings, die moeten wel afgestemd zijn op de verschillende groepen.
Want je voelt al wel aan dat mensen die in de zorg werken dat daar hele andere...
ROTMAN: Anders met privacy bezig zijn dan mensen bij de overheid.
VAN DER HAAGEN: Nee, wacht even. Ik wil zeggen:
Mensen die in de zorg werken, dus de zorgverleners zelf
daar zijn hele andere privacyrisico's dan bijvoorbeeld leidinggevenden.
Leidinggevenden stellen de middelen beschikbaar
en die moeten weten dat als zij een nieuwe verwerking willen starten
waar ze geld voor beschikbaar stellen
dat er een privacy impact assessment gedaan moet worden.
Dat het beveiligd moet worden op basis van zo'n BIV-classificatie.
Dus op die manier wordt 't...
En dat stafmedewerkers die vaak bezig zijn
met het plannen van OK's of poliklinieken of patiëntenstromen willen analyseren
ja, die gaan met miljoenen gegevens aan de gang.
Daar zijn weer andere risico's die 'n rol spelen.
ROTMAN: Ik hoor je. Dus je moet periodiek opgeleid worden.
De kennis moet bijgeschaafd worden.
Je zegt: op verschillende niveaus in de organisatie
verschillende soorten opleiding met verschillende aandachtspunten.
Zo kan je ook zeggen bij andere organisaties
waar weer hele andere thema's lopen ook weer ander soort...
Je moet 't bijwerken. Je moet aantekeningen maken in het competentieregister.
Als je het niet doet of niet goed genoeg misschien ook bepaalde privileges intrekken?
VAN DER HAAGEN: Ja, als je niet competent bent, worden je rechten ingetrokken
dus dan kan je feitelijk niet meer werken.
Het is eigenlijk precies hetzelfde als dat je een competentieaantekening moet hebben
in een ziekenhuis voor bijzondere handelingen als injecteren of wat dan ook.
Dat moet je ook bijscholen. Wat dat betreft, is het hetzelfde.
Je moet competent zijn op het gebied van privacybescherming en informatiebeveiliging.
Anders verlies je je rechten.
ROTMAN: Andere tip. Wees als FG zichtbaar.
Dat doe jij en ik voel me er senang bij. Zullen we die in de lijst opnemen?
Wees zichtbaar als FG.
-Ja, ben ik helemaal mee eens.
Niet in je kamertje de adviezen geven, maar naar de organisatie toe gaan.
Ze niet uitnodigen bij jou te komen, maar naar die mensen, naar de afdeling toe gaan.
En ik wil toch nog wel wat aanvullen als het gaat om die awareness.
Awareness is niet alleen dat mensen even een e-learningmodule doen.
Dat is echt onvoldoende.
Je moet zorgen dat het steeds terugkomt, dus wij zorgen ervoor dat...
Herhaling doet beklijven. Dat is een heel belangrijk aspect.
Ook als je bijvoorbeeld in dienst komt van Amsterdam UMC
krijg je een prachtige aanstellingsbrief met je contract erbij.
Maar er zit ook een brief bij
met hoe je je moet gedragen op het gebied van privacybescherming en informatie.
ROTMAN: Aan de voorkant bij nieuw personeel.
Meteen krijg je de thuis de brief, het begint meteen. Dan ben je er nog niet.
Als je dan op een gegeven moment binnen Amsterdam UMC komt
en je gaat je account ophalen, dan liggen er weer allemaal van die kaartjes.
Die krijg je mee met hoe je je moet gedragen
ten aanzien van privacybescherming en informatiebeveiliging.
Een ander punt is... nogmaals herhaling doet beklijven.
Je hebt het nu al twee keer gezegd, dus oké, dank je wel.
Je brengt 'm gelijk in de praktijk, heel goed.
VAN DER HAAGEN: Ik breng het meteen in de praktijk. Zo ook bijvoorbeeld...
Ja, ik zei net: 250 incidenten krijgen wij gemeld.
En ja, er worden altijd verbetermaatregelen getroffen.
Ook dat is niet voldoende.
Wij vragen ook altijd aan de afdeling... We eisen het eigenlijk, hè.
Als er een incident is op een afdeling
dan wordt het besproken in het eerstvolgende werkoverleg.
Anoniem, want het is vaak een fout.
Dan kan er anders gewezen worden in deze zaak.
ROTMAN: Deze lijkt mij essentieel als je het hebt over hoe krijg je awareness in je DNA.
Dus dat je dus ook niet alleen streng moet zijn.
Je moet niet alleen die opleiding doen
en 't moet niet alleen bij aanstelling erin gepompt worden,
je moet ook realistisch genoeg zijn om te realiseren:
er komen incidenten en als ze er zijn, moet je dat bespreekbaar maken.
Dus je moet een cultuur creëren
waar mensen zich veilig genoeg voelen om zich kwetsbaar op te stellen
om dat gesprek dus aan te gaan en dat dus ook gewoon te doen.
VAN DER HAAGEN: Ja, precies.
Zoals die incidenten is dan een typisch voorbeeld dat afdelingen daarover praten.
Je ziet ook soms dat incidenten binnen een afdeling
aanleiding is om de functionaris gegevensbescherming uit te nodigen
om nadere toelichting te geven over de wetgeving.
Want die leidinggevenden, die zijn natuurlijk uiteindelijk verantwoordelijk
dat er ook binnen hun afdeling conform wet- en regelgeving gehandeld wordt.
Dus die vinden het vaak ook nodig
om wat extra aandacht eraan te besteden op de afdeling.
ROTMAN: Nu ga ik op zoek naar waar dan de ruimte zit
want het kan ook niet de bedoeling zijn dat privacy het doel op zich is.
Het doel op zich in zo'n ziekenhuis is levens redden, mensen gezond maken.
Dus het is niet zo: privacy gered, patiënt overleden. Dat kan het ook niet zijn.
VAN DER HAAGEN: Dat willen we voorkomen.
Dat is ook het punt met die hele privacywetgeving.
En ook met het beroepsgeheim.
Het is min of meer zwart-wit, dus je moet het invullen in de praktijk.
Hebben ze ook adviezen, die moet je altijd geven
niet alleen maar vanuit het juridisch kader, maar juist ook vanuit het proces.
Ik vind het voor een FG van het grootste belang dat ie goed begrijpt
hoe een proces in elkaar zit in de organisatie waar ie werkt.
Precies zoals je zegt: in een ziekenhuis gaat het over leven en dood.
En je moet natuurlijk altijd zorgen dat er gewerkt kan worden
en dat op de spoedeisende hulp dat het natuurlijk zo is
dat de patiënt in eerste instantie geholpen wordt
en dat dat gebeurt binnen de kaders van de wetgeving.
Maar patiëntveiligheid en kwaliteit van zorg staat natuurlijk altijd voorop.
ROTMAN: Voilà, is dit ook waarom ik je aan het begin van deze podcast hoorde zeggen:
Privacy uiteindelijk is voor 80, 85 procent toch ook je gezonde verstand gebruiken?
VAN DER HAAGEN: Exact. Ik heb daar nauwelijks enige toelichting.
Het is natuurlijk ook zo: Als je met mensen praat
over privacybescherming en informatiebeveiliging in een ziekenhuis
dan realiseren ze zich dondersgoed dat als het hun eigen gegevens waren
dat ze willen dat daar zorgvuldig mee omgesprongen wordt.
ROTMAN: Marcel van der Haagen, FG bij Amsterdam UMC. Dank je wel.
Volgens mij is de informatie in dat ziekenhuis in goede handen bij je.
Dank je wel voor je mooie heldere verhaal.
Als je nou deze podcast leuk vindt en ook andere podcasts wil luisteren in de serie...
Marcel, misschien leuk. Kun je collega's horen over spannende thema's voor privacy.
Ga dan naar cip-overheid.nl/uitgelicht.
Marcel, dank je wel.
-Heel graag gedaan.

BEKENKAMP: Hoe pas je artikel 89 AVG toe zonder dat je de privacy geweld aan doet?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
BEKENKAMP: Statistisch onderzoek en privacy. Eerst denken, dan doen.
ROTMAN: Bas Bekenkamp, senior adviseur bij Privacy Company.
We hebben het vandaag over artikel 89.
We gaan een beetje juridisch fijnslijpen misschien wel
want als een artikelnummer in de kop zit, dan wordt het altijd juridisch.
Wat is dit voor ding? Artikel 89.
BEKENKAMP: Artikel 89 is eigenlijk een van de uitzonderingen binnen de AVG
voor de toepassing van statistisch onderzoek en wetenschappelijk onderzoek
en ook historisch onderzoek op basis van de gegevens die je gewoon verwerkt
met, ja, al je processen, al je verwerkingen die je feitelijk in de praktijk verricht.
ROTMAN: Ik ben een overheidsorganisatie of ik ben een bedrijf
en ik heb bepaalde gegevens over mijn klanten of over burgers
en die heb ik met een bepaald doel binnengehaald.
Ik heb keurig erover gecommuniceerd.
Iedereen weet waarvoor het is en dat is allemaal netjes.
En dan is het allemaal zuiver en helder. En dan is er artikel 89
en dat zorgt ervoor dat ik dat doel een beetje los mag laten
om die gegevens op een andere manier te gebruiken? Is dat wat je zegt?
BEKENKAMP: Een iets andere manier. Je kunt bijvoorbeeld die gegevens
die je eerder hebt verzameld, hergebruiken en verder gaan verwerken feitelijk
voor statistisch onderzoek of andere doeleinden
om inzicht te krijgen over hoe je bijvoorbeeld het beleid toepast.
Het zou bijvoorbeeld... ook als je het hebt over gemeentes.
Hoe voeren wij nou eigenlijk de jeugdwet uit?
Hoe zou je ook met subsidieregelingen om kunnen gaan en daar inzicht in verkrijgen
om bijvoorbeeld op een gegeven moment te evalueren:
Wat is het effect van die subsidieregeling?
ROTMAN: Ah oké, oké. Dus ik verzamel voor de jeugdwet
of voor subsidies, gegevens over burgers.
En dan... Ik moet natuurlijk... op een goed moment wil de gemeenteraad
of de Tweede Kamer weten of dat allemaal goed is gegaan.
Dan mag ik die gegevens heus wel gebruiken om te evalueren of het goed gegaan is.
Dat is wat je zegt. Dat is artikel 89?
BEKENKAMP: Onder bepaalde voorwaarden.
De voorwaarden gaan we bespreken. Dan kom ik met praktische tips
hoe je dat in de praktijk kan toepassen.
Maar onder voorwaarden is dat kort gezegd wel de insteek en de oplossing.
ROTMAN: Dat voelt voor mij natuurlijk weer als een recept voor gedoe. Want ik denk:
O ja, dus met artikel 89 in de hand kun je dus allerlei informatie
misschien weer misbruiken voor andere doeleinden.
Waarom niet gewoon aan die burger in kwestie
of aan de klant in kwestie vragen om inderdaad te lezen:
Vind je het oké als we deze gegevens uiteindelijk achteraf wederom gebruiken
om een onderzoek te doen? Dan kan iemand gewoon toestemming geven.
Want dit voelt voor mij een beetje, weet je wel, alsof er achter mijn rug om
met mijn gegevens alsnog een beetje gemarchandeerd wordt, weet je wel.
Zo voelt het een beetje. Waarom niet dat kruisje zetten
dat mensen bewust weten van 'nou' en mensen die dat niet willen gebruik je niet.
BEKENKAMP: Ja, en juist dat kruisje is natuurlijk ook onder de AVG
de toestemming en wat het lastiger maakt, bij vooral ook gewoon de overheidsorganen
is dat je heel vaak zit met die zogenaamde afhankelijkheidsrelatie.
Je bent afhankelijk en er bestaat dus die gezagsrelatie vaak.
Dus de overheid, die kan jou wat aanbieden of die moet jou iets verlenen.
Maar daartegenover staat dat jij dus gegevens moet leveren aan de overheid
en je ook van die overheid afhankelijk bent.
ROTMAN: Dus ik wil een subsidie van de overheid hebben
en dan voel ik me misschien wel verplicht om dan toestemming te geven
en dan voel ik me ook weer een beetje genaaid.
BEKENKAMP: Nou kijk, en daar zit nou precies die crux.
Eh, het is misschien...
Misschien voel je ook wel dat je dan genaaid wordt.
Alleen ja, je toestemming moet vrij zijn.
En op het moment dat jij een subsidieaanvraag indient
en vervolgens wordt er ook nog toestemming aan jou gevraagd
om bijvoorbeeld dan nog die gegevens verder te verwerken...
Ja, dat botert niet en dat botst dus met elkaar
omdat die toestemming dan niet vrij wordt gegeven in vrijheid.
Er is een afhankelijkheid. Jij krijgt die subsidie mogelijk als ie wordt toegekend.
Vervolgens geef je toestemming:
Ja, die gegevens mag je ook een keer verder gebruiken.
Terwijl het eigenlijk samenhangt al met de oorspronkelijke aanvraag.
Namelijk, je vraagt die subsidie aan.
Die wordt voor jou op individueel niveau toegekend of niet.
En vervolgens zou dus bijvoorbeeld de provincie of de gemeente
die gegevens kunnen gaan gebruiken,
verder kunnen gaan verwerken voor onderzoek naar:
Wat is nou het effect van die subsidieregeling?
Wat voor soorten aanvragen krijgen we nou bijvoorbeeld allemaal binnen
of van wat voor soorten partijen krijgen we die binnen?
En misschien is ook het uiteindelijke doeleinde van de subsidieregeling zelf
dus bijvoorbeeld ook de regeling of het beleid toe aan evaluatie of toepassing
op een andere manier omdat de tijd anders is geworden.
ROTMAN: En die artikel 89 voorziet erin,
die herkent zeg maar de gevoeligheden die er zijn bij de leverancier van die gegevens,
als burger of als klant.
En die zegt dan eigenlijk van: Nou, als je aan bepaalde voorwaarden voldoet
hoef je daar niet van tevoren om te vragen.
Wij garanderen dat dat inderdaad nog steeds met inachtneming van de privacy is
van de betrokkene en dan onder voorwaarden mag het.
Wat zijn dat dan voor voorwaarden dat de AVG zegt van: Oké, artikel 89?
Als je dit en dit en dit doet, dan mag het.
BEKENKAMP: Er zijn dus expliciet in de wet
een aantal voorbeelden en waarborgen eigenlijk beschreven.
In ieder geval is dat dus: Als het mogelijk is probeer in ieder geval
met anonieme gegevens dat onderzoek te verrichten.
ROTMAN: Het moet geanonimiseerd.
-Naar voorkeur altijd geanonimiseerd.
Alleen als dat dus niet kan, dus dat je je ruwe data
die je al hebt verkregen vanuit bijvoorbeeld die subsidieregeling en die aanvraag
dan moet je kijken of je ze misschien kunt pseudonimiseren
en daarbij ook altijd nog de voorwaarde:
in ieder geval altijd de beperking van dataminimalisatie.
Dus alleen die benodigde gegevens die je nodig hebt voor dat onderzoeksdoel.
ROTMAN: Op welke manier heb jij te maken
vanuit jouw professionele praktijk met artikel 89?
BEKENKAMP: Dat is echt op allerlei verschillende niveaus.
Vaak zie je dus... Ik ben zelf extern FG, dus functionaris gegevensbescherming
bij een gemeente dan wel bij een provincie.
En daar zie je dus dat eigenlijk ook vanuit beleidskwaliteitverbetering
beleidsonderzoek, beleidsevaluatie, er heel vaak behoefte is aan:
Hoe kunnen we met al die data inzichten krijgen
om bijvoorbeeld binnen een bepaalde regio, de woningvoorraad inzichtelijk te krijgen?
Ja, dan zie je vaak dat dus gewoon, zeg maar, wordt gevraagd om:
Wat zijn het aantal woningen? Wat voor soorten woningen hebben we daar?
Zijn dat vooral panden in bezit van bijvoorbeeld woningcorporaties
of zijn het juist particuliere eigenaren? Of zijn dat misschien beleggers?
En dan kan je op basis daarvan gaan kijken en een plan gaan maken
en ook je visie bijvoorbeeld, de woonvisie, gaan formuleren.
ROTMAN: Hoe gaat je woonvisie voor de komende tien, twintig jaar eruitzien?
BEKENKAMP: Of voor de komende vier jaar.
-Oké, oké, oké.
Artikel 89, die wordt eigenlijk heel vaak van stal gehaald.
Hij is eigenlijk alomtegenwoordig
want elke keer als er ergens beleid wordt gemaakt of ergens een wet komt
die moet ooit een keer geëvalueerd worden.
-Die moet een keer geëvalueerd worden.
Alleen is het even de vraag van: Hoe zet je het in?
Kijk, je kan met artikel 89 eigenlijk een heleboel kanten op.
Er bestaat niet alleen statistisch onderzoek
maar ook wetenschappelijk of historisch onderzoek.
En dat biedt juist de mogelijkheden
zolang je maar aan de waarborgen voldoet, zoals ook in dat artikel beschreven.
En belangrijk is wel dat je niet moet vergeten dat het niet alleen voor
alleen maar publieke taken toegepast kan worden
maar bijvoorbeeld ook voor commercieel statistisch onderzoek.
ROTMAN: Merk je als FG dat mensen denken van:
Lekker dat artikel 89 van stal halen.
Dat ze denken van: Mooi, kunnen we lekker onderzoek doen?
Kunnen we een heleboel informatie, al die gegevens lekker gaan gebruiken.
En dat jij als FG zegt: 'Ja jongens, oké, nee...
Je kan dat ding niet dus te pas en te onpas maar gaan inzetten
omdat jij zin hebt om met informatie aan de slag te gaan.'
Dat je ze moet terugfluiten met: Dit is niet de bedoeling.
BEKENKAMP: In die zin, dat niet. Alleen zie je wel dat ze natuurlijk tegenwoordig
veel gebruikmaken van allerlei applicaties
waar je bijvoorbeeld echt ook door middel van bijvoorbeeld
de Power BI tools van Microsoft waarbij je natuurlijk ook gewoon heel makkelijk
weer de resultaten kunt terug herleiden tot bijvoorbeeld individuele personen
terwijl eigenlijk het onderzoeksdoel wat je probeert inzichtelijk te krijgen
is niet, zeg maar, het op individueel niveau bekijken van: Wat is hier de trend?
Nee, het is juist op hoger geaggregeerd niveau het bekijken van:
Wat zijn nou de trends en ontwikkelingen? En op basis daarvan de inzichten krijgen.
Dus je moet daar wel goeie waarborgen treffen
dat je dus voorkomt dat iemand weer door middel van de techniek in kan zoomen
dus eigenlijk weer terug kan herleiden tot die individu.
ROTMAN: Kun jij een concreet voorbeeld geven
waarin heel duidelijk blijkt dat artikel 89 een beetje misbruikt wordt
of dat je echt zegt: Ja, jongens, hier gaat het fout.
Dit is niet waar hij voor bedoeld is, jongens.
BEKENKAMP: De manier waarop het vaak eigenlijk niet goed wordt toegepast
in de praktijk is dat je eigenlijk... Kijk, je begint feitelijk met:
Welke onderzoeksdata heb ik nodig voor dat doel?
De minimale gegevens die je nodig hebt om dat doel te bereiken.
Da's de eerste stap. Dat kan ook zijn dat je niet met anonieme data uit de voeten kunt.
Dat je misschien met gepseudonimiseerde data uit de voeten kunt.
Maar in ieder geval, de ruwe onderzoeksdata die je gaat gebruiken
die data zal je in ieder geval altijd na de analyse
ja, moeten parkeren, dan wel moeten verwijderen, dan wel moeten vernietigen.
In ieder geval op korte termijn.
Daar moet je ook in ieder geval al in bijvoorbeeld je onderzoeksvoorstel
een beschrijving van maken.
Wat belangrijk is vervolgens, is dat je dan als je gaat rapporteren
en vaak zie je dus dat het daar misgaat
Dus in het rapporteren van je onderzoeksresultaten
als je dus ook de resultaten wil gaan verder gebruiken
voor bijvoorbeeld beleidsverbetering, evaluatie
is dat je dan eigenlijk toch ziet dat er niet op voldoende geaggregeerd niveau
data inzichtelijk is.
ROTMAN: Help me even. Op geaggregeerd niveau data...
BEKENKAMP: Dat betekent eigenlijk dat het op bijvoorbeeld...
Denk eventjes bijvoorbeeld aan... Even een concreet voorbeeld.
ROTMAN: Graag.
-Het is een aantal jaar geleden.
Er werd een onderzoek gedaan naar de leefbaarheid binnen een gemeente.
Nou, dan is er allerlei data verzameld.
-Het gaat allemaal over mensen.
BEKENKAMP: Het gaat over mensen, bewoners.
Bijvoorbeeld ook: Wat voor nationaliteiten wonen er allemaal in die gemeenten?
ROTMAN: Dat is altijd tricky.
-Dan wordt het tricky.
En wat je dus zag, is dat het vervolgens in een kaartweergave werd gepresenteerd.
Alleen die techniek van de kaartweergave was...
Het was dus mogelijk om uit te zoomen op gemeenteniveau
en ook op basis van soorten nationaliteit. Maar het was vervolgens ook mogelijk
om weer in te zoomen op de specifieke nationaliteiten.
Dus bijvoorbeeld Iraakse nationaliteit.
En dat was in die gemeenten al beperkt tot een tiental.
En dan heb je eigenlijk al dat je eigenlijk gelet op de populatie
uiteindelijk te maken hebt met een tiental personen
op een gemeente van bijvoorbeeld dertigduizend inwoners.
Dan zou je al kunnen zeggen: Dan ga je al richting een indirecte herleidbaarheid.
ROTMAN: Oké. Dus hier heb je typisch 'n geval dat je met artikel 89 in de hand...
Je wil onderzoek doen of iets inzichtelijk maken...
En dan schieten ze het doel dus een beetje voorbij
omdat de mensen over wie het gaat uiteindelijk toch herleidbaar zijn.
BEKENKAMP: In dit geval ging 't nog verder
omdat je uiteindelijk ook nog kon in gaan zoomen op buurtniveau
en uiteindelijk in de kaartweergave bijna op postcode/adresniveau
dus kon aanwijzen waar de personen met die nationaliteit woonachtig waren.
ROTMAN: Merk je dat het in de praktijk vaak misgaat?
Ik merk aan mezelf dat ik het een lastige vind.
Er is dus een uitzondering. Ik snap dat het mag.
Dat je wetenschappelijk onderzoek kan doen.
Ik snap ook dat je je beleid moet evalueren.
Maar ik voel ook aan alles dat het een mogelijkheid is
om toch lekker met al die gegevens lekker zo'n slimme app te gaan maken
met slimme technologie AI erop te zetten en we dumpen al die gegevens er maar in.
We gaan ermee aan de slag. Dat kan, weet je wel.
Ik voel hier... Dit is natuurlijk allemaal... Er wordt gegraaid in die data.
Die ruimte geeft het voor mij ook een beetje.
Kan je die onvrede bij mij een beetje wegnemen?
Of is dit inderdaad wat er ook gebeurt? BEKENKAMP: Dit is wel inderdaad een zorg.
Ja, dus dat feitelijk in een soort van datawarehouse
alle data verzameld wordt door middel van big data science.
Er wordt gekeken en verzameld en er wordt gekeken van:
Goh, waar kunnen we wat uit plukken, uit dat datawarehouse?
En kunnen we dat misschien gebruiken voor dit betreffende onderzoek?
Eigenlijk moet je dus vooraf gaan bepalen: Wat wordt jouw onderzoeksdoel?
Feitelijk: Waarom moeten we dit onderzoek... Waarom moeten we die inzichten hebben?
Is dat bijvoorbeeld voor de evaluatie van een bepaald beleid of wat is de trend?
ROTMAN: De Raad, de Kamer wil het weten.
BEKENKAMP: Dat kan. Maar het kan ook gewoon zijn van:
Wij komen gewoon in deze gemeente of provincie tot bepaalde inzichten
dat wij op een andere manier de gemeentelijke belastingen
willen doorbelasten of een andere heffingsmaatstaf willen gaan toepassen.
Bijvoorbeeld in plaats van op basis van de WOZ-waarde
willen wij bijvoorbeeld op basis van waterverbruik als dat kan.
ROTMAN: Maar dan heb je wel die gegevens dus nodig.
BEKENKAMP: Dan heb je wel die gegevens nodig.
ROTMAN: Oké, het is tricky. Het is een hellend vlak.
Het is een beetje oppassen geblazen. Laten we wat concrete tips en tricks...
Oké, je bent een beleidsmaker.
Je werkt in een gemeente of je werkt in een organisatie
en je hebt het gevoel: Nu mag ik artikel 89 van stal halen.
Dat is een beetje... Daar zitten we nu.
Wat zijn nou... Wat doe je?
Er zijn een paar juridische verplichtingen, hè.
Die zei je net al. Dat gaat over de... Je moet het anonimiseren.
Als dat niet gaat, moet je pseudonimiseren en het mag dus niet herleidbaar zijn.
Dat zijn een beetje de wettelijke voorwaarden om dit te kunnen gaan doen.
Zo hè? Wat zijn nog meer de stappen, de concrete stappen, tips en tricks
die jij dan hebt voor mij als ik dit wil gaan doen?
BEKENKAMP: Op de eerste plaats... Ik zal altijd zeggen: Ondanks dat je...
In de wet wordt gezegd dat je je niet hoeft te verantwoorden
omdat het al automatisch verenigbaar wordt geacht.
Het is dus onderzoek gelet op het oorspronkelijke doel van de verwerking.
Leg het wel vast en start altijd met een soort van startnotitie
dat je kunt verantwoorden en uitleggen waarom je dat onderzoek gaat uitvoeren.
ROTMAN: En doe dat in heldere taal, zodat iedereen die zich een beetje bezwaard voelt
dat gewoon kan lezen en snapt.
BEKENKAMP: Dat is een andere stap, dat is een verdere uitwerking.
Ik weet niet of je dat nou ook echt als onderzoeker...
Het is wel een aspect om rekening mee te houden.
ROTMAN: Wees bereid je te verantwoorden en leg het vast.
Oké, dat is een mooie tip, los van de juridische voorwaarden, oké.
Heb je nog meer tips voor mij? Ik wil dat gaan doen, tips.
BEKENKAMP: Wat belangrijk is, is dat je altijd beschrijft
welke gegevens nou echt nodig zijn voor het onderzoeksdoel.
Dus dat je alleen maar die gegevens gebruikt.
Ook al haal je ze uit je datawarehouse voor dat doel wat je beoogt.
Dus voor de resultaten die je ook nodig hebt en de inzichten.
ROTMAN: Kijk, wees echt bereid om echt kritisch te kijken.
Is dit echt wat ik nodig heb
en ben ik niet per ongeluk toch allerlei andere informatie aan het gebruiken?
BEKENKAMP: Klopt. Ja.
En wat ook belangrijk is, is dat je dus gaat kijken ook naar:
Laat je het onderzoek uitvoeren door een andere partij?
Denk bijvoorbeeld een onderzoeksbureau.
Zorg er dan voor dat je de juiste afspraken daarmee maakt
door middel van een verwerkersovereenkomst.
ROTMAN: Oké, dus verwerkersovereenkomst.
BEKENKAMP: Met de aspecten die daarbij om de hoek...
ROTMAN: Daar komt een hoop bij kijken.
-Klopt.
ROTMAN: Daar gaan we een andere podcast over maken.
Dus blijf luisteren.
BEKENKAMP: En wat verder ook handig is, is dat je in ieder geval altijd
los van of je het nou laat uitvoeren door een onderzoeksbureau, ook zelf kijkt:
Welke systemen ga ik gebruiken om het onderzoek
welke applicatie gebruik ik om dat onderzoek mee uit te voeren?
Waar sla ik de gegevens op? Dus de onderzoeksresultaten op de eerste plaats
maar daarna is natuurlijk nog belangrijker, de ruwe data
of de bij voorkeur geanonimiseerde data waar je mee werkt.
ROTMAN: 'Waar sla je het op'? Welke servers, of welk land?
BEKENKAMP: Applicatie, nou ja, land ook.
In welke applicatie, dus daarbij ook samenhangend in welk land.
Bij voorkeur natuurlijk gewoon binnen de EU.
ROTMAN: Waar de AVG dus geldig is.
-Ja, waar de AVG dus geldig is.
En beoordeel dus ook nog eens een keer
wie toegang krijgt tot die onderzoeksdata.
En daarnaast ook nog eens kijken naar wanneer je de gegevens gaat verwijderen
dus de onderzoeksdata verwijdert.
En in de regel eigenlijk heb je die data niet meer nodig
nadat je de analyse hebt uitgevoerd.
ROTMAN: Oké, even resumerend en rondmaken.
Wat was ook weer jouw antwoord op die vraag over artikel 89?
Wat was ook alweer jouw slogan die je aan het begin van deze aflevering riep?
BEKENKAMP: Eerst denken, dan doen.
-Het klinkt als een waarschuwing.
Het is moeilijker dan je misschien denkt. Is dat een beetje wat je zegt?
'Kom op jongens, denk goed na, want het is allemaal niet zo makkelijk als het lijkt.'
BEKENKAMP: Klopt. Je moet eerst goed nadenken en beschrijven.
Nadenken wat je gaat doen met het onderzoek, wat je beoogt.
En de waarborgen in acht nemen zoals in artikel 89 staan beschreven
voor je het onderzoek uitvoert.
ROTMAN: Daarna ga je dat stappenplan volgen wat je net hebt beschreven.
BEKENKAMP: Belangrijk is wel dat, en een belangrijke ook:
Bij de rapportage altijd dus de resultaten als je die gaat presenteren
altijd op geaggregeerd niveau weergeven, dat het dus niet herleidbaar is.
Dat is heel belangrijk, ook gelet op de AVG.
Dat staat in overweging 50 van de AVG, dat het nooit gebruikt mag worden
om op individueel niveau eventuele maatregelen of besluiten te mogen nemen.
Dus statistisch onderzoek moet ook echt...
en dat de resultaten ervan ook echt gebruikt worden
alleen voor beleidsmatige doeleinden of om op andere manier inzicht te verkrijgen.
ROTMAN: Bas Bekenkamp, senior adviseur bij Privacy Company.
Dank je wel.
-Jij ook bedankt.
ROTMAN: Luister de andere afleveringen van Privacy in de Praktijk
Ga hiervoor naar cip-overheid.nl/uitgelicht.