De deadline nadert: de overgangstermijn van de Algemene Verordening Gegevensbescherming (AVG) eindigt op 25 mei. Maar lang niet alle overheden zullen dan volledig compliant zijn met de nieuwe privacyregels. Waar zitten de knelpunten? En waarom de vele verplichtingen ook een blessing in disguise kunnen zijn voor datagedreven organisaties.
Beeld: Dreamstime
“Nee, honderd procent klaar zijn we niet op 25 mei”, bevestigt Frans la Housse van de Belastingdienst. Hij leidt het kernteam dat alle bedrijfsonderdelen ondersteunt bij het compliant worden met de AVG. Dat de strengere privacywetgeving tot een grote hoeveelheid werk zou leiden, was na een eerste analyse al duidelijk: “We verwerken een enorme hoeveelheid gegevens van heel veel externe bronnen. Daarbij hebben we te maken met veel verschillende, en deels verouderde, IT-systemen. We hebben in een vroeg stadium kenbaar gemaakt, ook aan de Tweede Kamer, dat we meer tijd nodig zouden hebben. We hebben daarbij duidelijk aangegeven wat we wel kunnen realiseren voor 25 mei. Dat is wat we noemen onze basispositie.”
De meeste inspanningen gaan volgens La Housse zitten in het opstellen van een verwerkingsregister, de inventarisatie van alle gegevensverwerkingen, zowel intern als extern. “We hebben ook gedocumenteerd welke PIA’s (privacy impact assessments) er zijn gedaan en hoe onze gegevens worden beveiligd. Dat hebben we allemaal klaar op 25 mei.”
Net als de meeste andere publieke organisaties én bedrijven worstelt ook de Belastingdienst met achterstallig onderhoud. De vereisten die voortvloeiden uit de vorige Wet bescherming persoonsgegevens (Wbp) waren niet volledig geïmplementeerd. “Dat lopen we nu in, maar dat zorgt er zeker voor dat de AVG nu zoveel werk met zich meebrengt. De extra eisen van de AVG vallen op zich mee. De verantwoordingsplicht is alleen veel groter.”
Inzagerecht
Het grootste knelpunt bij de Belastingdienst vloeit voort uit het inzagerecht: als een burger of klant inzage vraagt in al zijn opgeslagen persoonsgegevens, heeft een organisatie die maar te verstrekken binnen een bepaalde termijn. Daar wreekt zich de erfenis van tientallen jaren automatisering. “We hebben veel belastingmodulen, met daaronder heel veel verschillende systemen. We kunnen daardoor inzageverzoeken niet volledig geautomatiseerd afhandelen. We hebben nu ongeveer 400 aanvragen per jaar. Maar we bereiden ons erop voor dat het aantal wel eens fors kan toenemen. Als een burger mag vragen: ‘geeft u mij alle gegevens die u van mij hebt’, dan komen we in problemen. Maar de toezichthouder, Autoriteit Persoonsgegevens, heeft aangegeven dat organisaties die veel gegevens verwerken, kunnen vragen om een verzoek toe te spitsen. Daar gaan wij dus van uit. We zullen dus vragen of het inzageverzoek bijvoorbeeld te maken heeft met toeslagen of met douanezaken.”
Acht stellingen
Om over na te denken Tijdens de door Capgemini en iBestuur georganiseerde AVG-bijeenkomst van afgelopen 29 januari in Nieuwspoort is gediscussieerd over verschillende stellingen. Meer daarover op ibestuur.nl, ‘De AVG belicht vanuit acht stellingen’. Alvast meedenken?
– Stelling 1 ‘Bij de implementatie van de AVG is de burger te veel buiten beeld’
– Stelling 2 ‘Privacy is een uitstekend middel om in kaart te brengen wat je aan het doen bent’
– Stelling 3 ‘Implementatie van de AVG draagt recht streeks bij tot optimalisatie van de infor matievoorziening in een organisatie’
– Stelling 4 ‘De overheid laat kleine broeders en zus ters hopeloos liggen, terwijl ze daar wel problematiek heeft’
– Stelling 5 ‘Wat voor keuzes maak je en hoe leg je dat naar buiten toe uit?
– Stelling 6 ‘Generieke ondersteuning voor oplossing AVG moet komen vanuit de business’
– Stelling 7 ‘De Functionaris Gegevensbescherming (FG) moet toezicht houden en geen advies geven’
– Stelling 8 ‘Ongestructureerde data (email, shares) zijn niet compliant te krijgen’
Uit het vooringevulde jaarlijkse aangifteformulier en portalen als ‘mijn toeslagen’ blijkt dat de Belastingdienst al flink wat informatie geautomatiseerd kan leveren. “Op termijn willen we op de portalen de volledige persoonlijke informatie die we hebben beschikbaar stellen. Maar zover is het nog niet.” La Housse verwacht niet dat direct de AP op de stoep staat omdat de Belastingdienst niet 100 procent AVG-proof is. “Ik ga ervan uit dat het vooral heel belangrijk is dat je kunt aantonen dat je zorgvuldig omgaat met gegevens van burgers. En dat je kunt aangeven wat je hebt gedaan, wat je van plan bent te doen en in welk tempo.”
Legacy
Dat er meer overheidsorganisaties op 25 mei niet of niet geheel klaar zijn, weet ook bedrijfsjurist Eelco Bonsing van Capgemini, leverancier en adviseur van veel overheden: “Het beeld is wisselend. De een heeft er meer moeite mee dan de ander. Er zijn organisaties waar enorm veel gegevens worden verwerkt en waar systemen worden gebruikt die tientallen jaren oud zijn. Dan moet je veel doen om AVG-compliant te worden. Je mag rekening houden met de kosten en de complexiteit daarvan, maar je kunt niet helemaal niets doen. En als je een datalek hebt, dan gaat de toezichthouder wel verder kijken.”
Oude systemen voldoen ongetwijfeld niet aan het beginsel van ‘privacy by design’ uit de nieuwe wet. Bonsing: “Maar de belangrijkste principes daarvan zul je wel moeten implementeren. In legacy-omgevingen zie je dat dezelfde data op verschillende plekken worden opgeslagen. Dan is het een uitdaging om die identiek te houden en een goed retentiebeleid op te zetten; dus wanneer gooi je gegevens weg of archiveer je het. De AVG is wat dat betreft strenger geworden.”
Data zijn de belangrijkste grondstof in onze organisatie
Een verwant pijnpunt is het autorisatiebeleid. Bonsing: “Wie heeft toegang tot welke gegevens en wie mag alleen inzien en wie mag ook wijzigen. Heel veel organisaties hebben dat beleid nog niet op orde of niet goed gedocumenteerd.” Nog problematischer zijn volgens hem de vele gegevensbestanden die zich buiten de bedrijfssystemen bevinden. Bonsing: “Al die ongestructureerde data die op pc’s, sharepoint-drives en in mailprogramma’s zijn opgeslagen. Iedereen worstelt daarmee. De IT-afdeling heeft er niet echt grip op. Je kunt wel allerlei tools inzetten en regels invoeren, maar uiteindelijk komt het toch neer op bewustwording. Gebruikers zelf zullen moeten inzien dat ze zorgvuldig moeten omgaan met persoonsgegevens en ze niet langer bewaren dan nodig is.”
Aansprakelijkheid
De AVG heeft ook betekenis voor de contracten die overheden met dienstverleners sluiten. Bonsing: “Al sinds 2010 worden er naast de reguliere overeenkomst aparte bewerkingsovereenkomsten gesloten, waarin bepalingen tot het verwerken van gegevens zijn opgenomen. Die heten onder de AVG de ‘verwerkingsovereenkomst’. Veel bestaande overeenkomsten zijn geactualiseerd toen in 2016 in Nederland al de datalekprocedure van kracht werd die nu ook in de AVG is opgenomen. Nu is er een nieuwe ronde waarin andere bepalingen van de AVG moeten worden verwerkt. Voor dienstverleners is van belang dat nu ook de verwerker wettelijke verplichtingen heeft. En dan ontstaat er natuurlijk een levendig debat over aansprakelijkheid, zeker omdat de boetes onder de AVG dramatisch hoger zijn.”
De risico’s zijn volgens Bonsing nog lastig in te schatten. Vooral omdat er nog nauwelijks jurisprudentie bestaat rond schadevergoedingen voor getroffen individuen. Hetzelfde geldt voor groepsclaims (‘class action’), die de advocatuur ook in Nederland kan inzetten. Linksom of rechtsom gaan deze risico’s tot hogere tarieven leiden, voor- spelt Bonsing. “Het risico op boetes en schadevergoedingen wordt natuurlijk kleiner als je state-of-the-art beveiliging hebt toegepast en de mogelijkheid van menselijke fouten beperkt, maar daar gaan de kosten wel door omhoog. De komst van de AVG leidt bovendien tot allerlei auditverplichtingen. Ook de EDP-auditors gaan hier garen bij spinnen. De kosten lopen aan alle kanten op.”
Datagedreven
De extra verplichtingen die voortvloeien uit de AVG zorgen voor extra bureaucratie. Maar La Housse positioneert de nieuwe privacywetgeving toch liever niet als een moetje maar als een kans om de interne dataorganisatie op een hoger niveau te krijgen. “De AVG is een element van het toenemende belang van data in de organisatie. De Belastingdienst is een informatieverwerker, een datagestuurde organisatie. Het is dan ook heel belangrijk om het datamanagement goed op orde te hebben. Ik probeer juist in alle interne communicatie te benadrukken dat de AVG ervoor zorgt dat we meer aandacht krijgen voor de data en datastromen in onze organisatie. Data zijn de belangrijkste grondstof in onze organisatie. In die zin kan deze hele operatie ook veel opleveren. Het leidt tot veel meer beheersing. Wij proberen dat verwerkingsregister niet als een afzonderlijk product te zien, maar onderdeel te maken van onze bedrijfsvoering.”
Uitwisselen van gegevens
De Belastingdienst bewaarde volgens de Hoge Raad tegen de regels in jarenlang miljoenen privacygevoelige kentekenfoto’s. Translink, het bedrijf achter de OV-chipkaart, werd door de rechter op de vingers getikt omdat het bedrijf zonder tussenkomst van justitie gegevens verstrekte aan de Dienst Uitvoering Onderwijs. Woningcorporaties bleken jarenlang illegaal inkomensindicaties te hebben gekregen van de Belastingdienst. Allemaal gevallen waarbij overheden naar later bleek gegevens uitwisselden zonder wettelijke grond.
La Housse verwacht dat overheden nu veel nadrukkelijker stil zullen staan bij verzoeken om gegevens beschikbaar te stellen: “Elke keer moet expliciet worden afgewogen wat de rechtsgrond is: worden de gegevens gebruikt overeenkomstig het doel waarmee ze zijn verkregen. Uiteraard zullen wij geen gegevens verwerken als daarvoor geen rechtsgrond (meer) is. Mocht zich dat voordoen, dan stoppen we met die verwerking. Of we doen voorstellen om de wettelijke grondslag aan te passen.”
AVG is hard werken
Ook voor het bedrijfsleven is de AVG meer dan het omzetten van ‘wat knopjes’, zo luidt vrij vertaald de boodschap van werkgeversorganisaties VNO–NCW en MKB-Nederland aan de Tweede Kamer. Dat bleek ook tijdens de door Capgemini en iBestuur georganiseerde AVG-bijeenkomst van afgelopen 29 januari in Nieuwspoort.
Gart Kostermans (DSM) “Vier jaar geleden hebben we een eerste project gehad, met name ingestoken vanuit de juridische afdeling. Dat bleek eigenlijk niet meer dan een papieren tijger. Twee jaar geleden hebben we een nieuwe start gemaakt en daarin is de kapstok veel meer verbreed. Ook bij voorbeeld richting governance, policies, procedures, training en awareness. Wat goed ging in dit proces is dat we op tijd begonnen zijn en dat er een brede groep van betrokken medewerkers is geactiveerd. Wat beter had gekund is het mee nemen van de top, de discussie met legal en dat er groepen blijven die de impact van de AVG onderschatten.”
Marco van Westerlaak (Connexxion) “Binnen Nederland wordt gewerkt met concessies en als openbaar vervoer der ben je verantwoordelijk voor een concessie. Voor het opslaan van reiziger gegevens wordt een centraal platform gebruikt: het OVchipkaartsysteem. Daarvoor zijn alle vervoerders verant woordelijk, inclusief een extra partij: TransLink. Dat betekent dat er een gezamenlijke verantwoordelijkheid is. In dat kader komen alle betrokken partijen periodiek bij elkaar om te praten over overkoepelende zaken die privacygere lateerd zijn. Daarnaast is er een interne verantwoordelijkheid. Wat voor data verzamelen we en wat voor maatregelen moeten we treffen om afdoende te zijn? Daarvoor wordt een procesgestuurde aanpak gebruikt.”
Download iBestuur magazine nummer 26 als PDF