partnermenu

zoeken binnen de website

Grip op privacy

Welke informatie heb je echt nodig?

artikelen | 23 januari 2017

Privacy is een bestuurlijke kwestie geworden en bestuurlijke vragen hebben meerdere invalshoeken. Daarom pleit PBLQ voor een meervoudig perspectief op privacy. Niet alleen juridisch, of alleen informatiekundig. En altijd strategisch-bestuurlijk.


De Meldplicht Datalekken en de Algemene Verordening Gegevensbescherming maken bestuurders – nog meer dan voorheen – verantwoordelijk voor het juist toepassen van privacywet- en regelgeving. Dat is ook nodig, want privacy staat dagelijks digitaal onder druk. Realistisch ogende phishing mails hengelen naar bank- en creditcardgegevens. Criminele organisaties azen op persoonsgegevens die zij kunnen doorverkopen op de zwarte markt of gebruiken voor identiteitsfraude. Ransomware bevriest bestanden die pas worden vrijgegeven na betaling van losgeld. Zowel zakelijk als privé komen mensen steeds vaker in aanraking met verschillende vormen van cyberdreiging. Ook neemt de berichtgeving toe over persoonsgegevens die op straat belanden. De reputatieschade voor de gehackte organisaties is groot. De noodzaak van het goed beschermen van persoonsgegevens van klanten en burgers staat hoog op de agenda van bedrijfsleven en overheid, weet Theo Hooghiemstra van de advies- en opleidingsorganisatie PBLQ. “Het bewustzijn dat men ‘iets’ moet doen is alom aanwezig en het gevoel van urgentie ook. De vraag die wij krijgen van opdrachtgevers is: wát moeten wij dan doen?”


Privacy moet je goed beschermen, zegt de wet, en de komende Europese regelgeving legt de lat nog wat hoger. Dat brengt een flinke verantwoordelijkheid met zich mee voor overheidsbestuurders. Niet eenvoudig, want privacy kent vele aspecten. In de iBestuur-special ‘Grip op privacy’ – onder redactie van Marc van Lieshout (TNO), Ad Reuijl (CIP) en Theo Hooghiemstra (PBLQ) – behandelen we die aspecten. De artikelen gaan in op de bestuurdersverantwoordelijkheid, de maatschappelijke kanten, de juridische aspecten, beveiliging en ‘privacy by design’.
De iBestuur-special ‘Grip op privacy’ is de opmaat naar het iBestuur symposium Grip op privacy op 7 februari 2017.

Hooghiemstra en zijn collega Dirk Schravenveld pleiten voor een brede blik op privacy. Niet alleen juridisch of alleen informatiekundig, maar minimaal een combinatie van beide en dan ook steeds vanuit een strategisch-bestuurlijk perspectief. Tegelijkertijd moet rekening worden gehouden met de context van de gegevensverwerking, zoals bijvoorbeeld in de zorg of het onderwijs. “Privacy is een bestuurlijke kwestie geworden en bestuurlijke vragen hebben meerdere invalshoeken.” Dat lijkt misschien heel ingewikkeld, maar wanneer men digitale dienstverlening biedt moet privacy standaard onderdeel zijn van de discussies over functionaliteit. Het is geen apart onderwerp dat bij de juridische collega’s hoort of bij de informatiekundige. Privacy gaat iedereen aan en moet de normaalste zaak van de wereld worden.

Rekeningrijden

Waar te beginnen in de eigen organisatie? Schravendeel: “Vraag jezelf af wat daadwerkelijk nodig is aan persoonsgegevens om het werk te kunnen doen. De neiging is om te veel te vragen van de burger wanneer dit niet nodig is.” Hooghiemstra noemt als voorbeeld het rekeningrijden dat rond de eeuwwisseling hoog op de agenda stond en inmiddels weer terug is als punt van aandacht. “Toen die discussie voor het eerst werd gevoerd, werd er gesproken over camera’s op alle wegen om auto’s te kunnen volgen. Tot iemand vroeg of het wel nodig was om te zien waar iemand zich precies bevindt. Waarom geen kleurcode gebruiken voor de verschillende wegen? Of het nu de A12 is of de A4 maakt niet uit, gebruik rood, blauw en geel voor de verschillende toltarieven. Iedereen dacht aanvankelijk dat het noodzakelijk was om te weten waar mensen reden om het aantal kilometers in rekening te kunnen brengen. Nee, alleen de hoeveelheid kilometers en het soort weg telden.”

Hooghiemstra geeft nog twee voorbeelden. “Toen ik nog voor het College Bescherming Persoonsgegevens (de huidige Autoriteit Persoonsgegevens) werkte liet een gemeente burgers 106 vragen beantwoorden bij het aanvragen van huursubsidies. Als toezichthouder vroegen we welke persoonsgegevens echt noodzakelijk waren, gelet op het doel. Zes vragen bleken voldoende. Geen 106, maar zes. Het wetenschappelijke Nederlandse Huisartsen Genootschap (NHG) heeft zich gebogen over de vraag welke informatie noodzakelijk is voor tijdelijke waarneming in avonden en weekenden. Men hoeft niet alles van iemand te weten om die tijdelijke waarneming goed te kunnen uitvoeren, een professionele samenvatting is voldoende.” Dit zijn voorbeelden uit de ‘echte’ wereld, maar in de digitale wereld is vaak nog minder data nodig. Schravendeel: “Wanneer een jongere een fles wijn koopt moet hij een identiteitsbewijs overleggen. Daar staat op hoe hij heet, hoe lang hij is en wat zijn geboortedatum is. Het enige dat de wijnhandelaar moet weten: is deze persoon ouder of jonger dan 18? In de digitale wereld kunnen we een attributendienst aan de authenticatievoorziening toevoegen die alleen dát aan de webshop doorgeeft: rood is ‘te jong’, groen is ‘oud genoeg’.”

Noodzakelijk multidisciplinair

Hooghiemstra stelt dat de Algemene Verordening Gegevensbescherming (AVG) vergt dat bestuurders transparant zijn over en aansprakelijk voor de gegevens die zij verwerken:. “Burgers willen weten wat er met hun gegevens gebeurt en hebben daar ook het recht toe. Het juridisch perspectief en het informatiekundig perspectief kunnen en moeten worden gecombineerd. Multidisciplinaire teams zijn geen luxe meer, ze zijn noodzakelijk.” Schravendeel voegt daaraan toe dat PBLQ de benadering van het meervoudige perspectief toepast in workshops die zij geven met het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). “Mensen uit verschillende organisaties en disciplines gaan een middag met een concrete casus aan de slag. Juist de onderlinge uitwisseling en het samen zoeken naar privacyvriendelijke oplossingen blijken heel vruchtbaar en worden door de deelnemers zeer gewaardeerd. Dezelfde benadering past PBLQ toe in een opleiding om privacy impact analyses (PIA) te leren uitvoeren. Die opleiding komt begin volgend jaar op de markt. Zo kunnen organisaties binnen de overheid voldoen aan de regelgeving, maar gaan ze ook zorgvuldig met de gegevens van de burgers om.”

tags:

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.