Huiswerk!

Per 25 mei 2018 is de nieuwe Europese privacywetgeving van toepassing in alle lidstaten. Dat geeft bestuurders nog ruim een jaar om zich goed voor te bereiden. Wat gaat er in juridische zin voor overheden veranderen en wat zijn daarbij de aandachtspunten?

Televisieschermen en geluidsboxen, die conversaties in de kamer opvangen en doorsturen naar ‘de Centrale’, smart meters die de kleinste nuances in het energiegebruik in uw woning vastleggen, social media die niet alleen een reeks persoonsgegevens registreren, maar – op basis van uw surfgedrag – ook uw interessegebieden, politieke voor- en afkeuren, seksuele gerichtheid en aanwijzingen voor uw fysieke gesteldheid en dat alles samenbrengen in diepgravende persoonlijke profielen. Het zijn maar drie voorbeelden van de oprukkende digitale techniek en een privacy die daardoor stevig onder druk komt te staan. Door de digitale revolutie verandert ook ons denken over privacy. We worden er langzaam maar zeker wat soepeler in.

Versoepeling

De wetgeving versoepelt mee, althans op sommige punten. Nu is het nog zo dat u al uw privacygevoelige gegevensbewerkingen moet melden bij de Autoriteit Persoonsgegevens. Dit is vastgelegd in de Wet bescherming persoonsgegevens (Wbp) uit 1995. Onder de nieuwe Europa-brede Algemene Verordening Gegevensbescherming (AVG) hoeft dit niet meer. Voortaan bent u namelijk uw eigen waakhond. U dient straks te kunnen aantonen dat u uw datazaakjes goed geregeld heeft. Dit is vastgelegd in de zogeheten documentatieplicht. U moet hard kunnen maken dat uw processen privacy by design volgen, dan wel privacy by default. Dit laatste houdt in dat u niet meer gegevens mag vragen dan strikt noodzakelijk is. Uw vinkjes moeten voortaan standaard uit staan.


Privacy moet je goed beschermen, zegt de wet, en de komende Europese regelgeving legt de lat nog wat hoger. Dat brengt een flinke verantwoordelijkheid met zich mee voor overheidsbestuurders. Niet eenvoudig, want privacy kent vele aspecten. In deze iBestuur-special ‘Grip op privacy’ – onder redactie van Marc van Lieshout (TNO), Ad Reuijl (CIP) en Theo Hooghiemstra (PBLQ) – behandelen we die aspecten. De artikelen gaan in op de bestuurdersverantwoordelijkheid, de maatschappelijke kanten, de juridische aspecten, beveiliging en ‘privacy by design’.
De iBestuur-special ‘Grip op privacy’ is de opmaat naar het iBestuur symposium Grip op privacy op 7 februari 2017. Meer informatie op ibestuur.nl

Grip op privacy is een samenwerking van iBestuur met PBLQ, SIG, SYSQA, TNO, CIP-overheid en KPN.

Op andere punten is de AVG een stuk strakker. Als overheidsorganisatie bent u volgens de AVG verplicht een PIA (privacy impact assessment) uit te (laten) voeren. En u moet een Functionaris Gegevensbescherming (FG) aanstellen als u die al niet had. Ook kleine overheden krijgen met deze verplichting te maken. En nog een verschil: datalekken moet u voortaan altijd melden. Er zijn geen uitzonderingen meer.

Dit zijn een paar belangrijke verschuivingen. Hoe ingrijpend zijn ze, vergeleken met de situatie sinds 1995?

Data mapping

Gerrit-Jan Zwenne, hoogleraar recht en de informatiemaatschappij bij de afdeling eLaw van de Universiteit Leiden, verwacht geen grote verschuivingen als gevolg van de invoering van de nieuwe Europese Wet. Hij schat dat 80 procent ongeveer hetzelfde zal zijn vergeleken met de Wbp, maar dan wel een stuk gedetailleerder en meer omvattend. “Er is tot op zekere hoogte sprake van codificatie. Er is inmiddels de nodige jurisprudentie gekomen. Ook hebben de toezichthouders nu ruime ervaring opgedaan met de huidige regelgeving. Er is daardoor een scherper beeld ontstaan en consensus over wat onder de privacywetgeving valt en wat niet.”

In de 20 procent die het verschil uitmaakt, ruimt Zwenne een prominente plaats in voor accountability. “Daar ligt nu veel meer nadruk op. Je moet kunnen aantonen dat je voldoet aan wat in de Verordening staat. Om dat te kunnen, moet je precies weten welke gegevensverzamelingen je waar in je organisatie hebt en voor welke doelen je de gegevens inzet. Op dit moment hebben te veel overheden daar een te onbepaald beeld van.”

Toezichthouders bewegen zich langzaam maar zeker af van strikte doelbinding

Zwenne wijst in dit verband op het feit dat de Autoriteit Persoonsgegevens onlangs enkele gemeenten op de vingers tikte, omdat ze niet wisten wat ze aan gegevensbronnen in huis hadden. “In de AVG is een strenge documentatieplicht opgenomen. Je moet bijvoorbeeld logfiles bijhouden, dus vastleggen wie op welk moment bij welke gegevens is geweest. De organisatie van je informatievoorziening moet daarop wel zijn ingericht. Op dit punt moet nog heel wat werk worden verzet door overheden.”

Zwenne raadt aan om de tijdspanne tot aan het van kracht worden van de AVG vooral te benutten voor data mapping. “Daar zijn tal van goede tools voor. Elke accountantsorganisatie of privacyadviesbureau kan je daarover voorlichten.” En dan is er nog de aanstelling van een FG. “Bij de Rijksoverheid en de grote gemeenten zijn al zulke functionarissen aangesteld,” verduidelijkt hij, “maar nog niet op de overige niveaus. Ook kleine overheden zijn hiertoe volgens de AVG verplicht. Zij zijn daar vaak niet op ingericht en kunnen ervoor kiezen om deze taak uit te besteden aan een dienstverlenend bedrijf, maar ik vraag me af of dat wel zo verstandig is. Als gegevensverwerking tot je kerntaken behoort – en bij overheden is dat altijd het geval – dan is er veel voor te zeggen om de expertise op het punt van privacy in eigen huis te houden.”

Bezinning

Belangrijke peiler in zowel de Wbp als de AVG is de zogeheten doelbinding. Datagraaien mag nog steeds niet. Dit houdt in dat het doel waarvoor de gegevens worden verzameld, vastgelegd en verwerkt duidelijk omschreven moet zijn. Dat is logisch, want dat maakt deze activiteit ‘tastbaar’ en daarmee in principe controleerbaar. Maar daarmee loopt de AVG wel enigszins achter bij de maatschappelijke realiteit van big data-toepassingen. De kern van echt innovatieve big data is nu juist dat er geen nauw omschreven doel is, omdat dit pas ‘tijdens de rit’ contouren krijgt.

De overheid is een monopolist. Je kunt als burger als iets je niet zint niet naar een andere overheid overstappen

Corien Prins, hoogleraar Recht en Informatisering aan de Universiteit van Tilburg, beaamt dat de AVG op dit punt nog voor zijn inwerkingtreding al achter de feiten aanloopt. “Je ziet in de praktijk nu al dat er een verschuiving optreedt. Toezichthouders bewegen zich een beetje af van die strikte doelbinding.” Tegelijkertijd treedt het begrip ‘gerechtvaardigd belang’ meer op de voorgrond, aldus Prins. “Onder de huidige Wbp is verantwoording afleggen over de keuzes die organisaties maken in het verwerken van persoonsgegevens een minder expliciete opdracht. Dat is volgens de nieuwe AVG wel het geval. Het effect hiervan kan zijn dat wat vroeger gedacht werd wel te kunnen, omdat er voorafgaand aan de verwerking minder expliciet om verantwoording afleggen werd gevraagd, nu niet meer mag, bijvoorbeeld omdat het gerechtvaardigd belang niet goed kan worden gemotiveerd. En omgekeerd, dat wat vroeger niet mocht omdat het doel niet goed was omschreven, nu wel mag, omdat er een evident gerechtvaardigd en goed gemotiveerd belang mee is gediend.”

Prins raadt overheden aan om de verplichte PIA’s aan te grijpen voor een bezinning op precies deze vraagstukken: is er wel een voldoende gerechtvaardigd belang? “Zo’n PIA kan als resultaat opleveren dat je van voorgenomen activiteiten afziet. Overheden kunnen dit instrument gebruiken om in sommige gevallen duidelijk NEE te zeggen tegen eerder door hen geformuleerde beleidsintenties.”

Waarborgen

En de burger? Gaat de rechtspositie van de Europese burger erop vooruit? “Dat verwacht ik wel,” reageert Zwenne, “maar we moeten ons ook niet rijk rekenen.” Als voorbeeld noemt hij het klachtrecht. “Onder de Wbp heb je ook een klachtrecht, maar de AP hoefde niet iets met zo’n klacht te doen. Ze konden hem voor kennisgeving aannemen of volstaan met een beleefd antwoordbriefje: ‘we hebben uw signaal ontvangen’. In de nieuwe situatie is dat niet meer vanzelfsprekend. De AP zal dan al snel aantoonbaar actie moeten ondernemen.”

Corien Prins is minder optimistisch gestemd over de positie van de burger. “De overheid is een monopolist. Je kunt als burger als iets je niet zint niet naar een andere overheid overstappen. De overheid heeft zo enorm veel macht. Daarom zouden er wat mij betreft betere wettelijke waarborgen ingebouwd moeten worden.”

Ze geeft het voorbeeld van het onderscheid in de AVG tussen gewone en bijzondere gegevens. “Dat onderscheid kun je zo eigenlijk niet meer maken. Iedereen weet dat je door de combinatie van twee of meer gewone gegevens bijzondere, soms zelfs uiterst gevoelige gegevens kunt creëren. Overigens is het wel zo dat de AVG alleen het nieuwe juridische raamwerk omvat. De nationale parlementen moeten nu voor het verwerken van bepaalde gegevens – bijvoorbeeld gezondheidsgegevens – nadere regels uitwerken. En bij die gelegenheid zijn er voor die verwerkingen nog volop kansen om in de dagelijkse praktijk van de regelgeving betere waarborgen aan te brengen.”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren