Privacybewustzijn gevraagd

door: Freek Blankena , 18 januari 2017

Privacybewustzijn begint bij de bestuurder, want het gaat om juridische interpretatie, goed ontwerp, ketensamenwerking, rapportage én beveiliging. Zoiets delegeer je dus niet simpelweg naar bijvoorbeeld een ICT-afdeling. En om de aanstelling van een goede Functionaris Gegevensbescherming kan die bestuurder niet meer heen.


Over krap anderhalf jaar is de Algemene Verordening Gegevensbescherming (AVG) van kracht en de Meldplicht Datalekken is er al een jaar. Privacy moet ‘tussen de oren’ bij al diegenen die met persoonsgegevens omgaan, of dat nu ICT’ers, inspecteurs, hulpverleners of beleidsmedewerkers zijn. En de nieuwe wetgeving maakt bestuurders daarvoor in hoge mate verantwoordelijk. Privacy is niet alleen een kwestie van goed beveiligen, maar ook van goede ketensamenwerking, het goed ontwerpen van processen en systemen (Privacy by Design) én het goed interpreteren van de wetgeving. Dat betekent veel huiswerk voor overheden.


Privacy moet je goed beschermen, zegt de wet, en de komende Europese regelgeving legt de lat nog wat hoger. Dat brengt een flinke verantwoordelijkheid met zich mee voor overheidsbestuurders. Niet eenvoudig, want privacy kent vele aspecten. In deze iBestuur-special ‘Grip op privacy’ – onder redactie van Marc van Lieshout (TNO), Ad Reuijl (CIP) en Theo Hooghiemstra (PBLQ) – behandelen we die aspecten. De artikelen gaan in op de bestuurdersverantwoordelijkheid, de maatschappelijke kanten, de juridische aspecten, beveiliging en ‘privacy by design’.
De iBestuur-special ‘Grip op privacy’ is de opmaat naar het iBestuur symposium Grip op privacy op 7 februari 2017. Meer informatie op ibestuur.nl

Grip op privacy is een samenwerking van iBestuur met PBLQ, SIG, SYSQA, TNO, CIP-overheid en KPN.

Privacy is bij gemeenten zeker een punt van aandacht, zegt Martine Meijers, coördinator privacy bij de VNG. “Met name in het social domein is daar de afgelopen jaren in geïnvesteerd.” Afgelopen voorjaar kwam volgens haar het besef dat de inspanning wel wat groter, structureler en strategischer mocht, mede door de komst van de AVG. “Er verandert wat door de AVG, en de vraag wat privacy eigenlijk ís in de informatiesamenleving komt steeds meer op.”
Zij ziet de gemeenten enerzijds steeds meer in een regiepositie geplaatst, waarbij ze met persoonsgegevens werken die ze soms ook moeten delen. Anderzijds moeten ze het grondrecht privacy waarborgen. “Dat wordt steeds ingewikkelder en misschien hebben we daardoor een achterstand in denken en doen.”
Ondertussen moet er natuurlijk wel gewoon aan wetgeving worden voldaan, in alle domeinen. Meijers: “Het is niet zo dat er geen dingen fout gaan in het sociaal domein, maar wat we daar aan het doen zijn – gemeenten en ketenpartners samen, soms met commentaar van de AP hoe het nog beter kan – die beweging moeten we op alle domeinen gaan maken.”

Cyclus

Ad Reuijl is directeur van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), een netwerkorganisatie die vanuit met name de ZBO’s is ontstaan en die zich steeds meer richt op privacybescherming. Ook hij constateert dat er nog werk aan de winkel is. Reuijl neemt de eerdere invoering van de Baseline Informatiebeveiliging Rijk (BIR) als voorbeeld. Ook dat is een leerproces. “Er zijn in de praktijk verschillende manieren om die te volgen. Een manier die ik niet zo toejuich is het gebruik als afvinklijst. Je moet het eerder als een levend normenkader hanteren. Risicobewust en risicogestuurd omgaan met de vraag waar nu de risico’s in je bedrijfsvoering zitten en waar je kroonjuwelen. Zodat je een cyclus in gang brengt, waarmee je je informatiebeveiliging jaarlijks verbetert. In de top van de cyclus zit de bestuurder die steeds weer geconfronteerd wordt met de risico’s die nog niet gedekt zijn en waarover hij ook rapporteert.”

De Privacy Baseline die CIP heeft ontwikkeld kan een zelfde rol vervullen, aldus Reuijl. “Datalekken zijn niet altijd te voorkomen, maar wat je wél kunt doen, is zorgvuldig zijn en je privacy governance op orde brengen. Dan kun je ook op meer coulance rekenen van de Autoriteit Persoonsgegevens in het geval dat het toch een keer fout gaat. De Privacy Baseline is hierbij een hulpmiddel. Die stelt je in staat een proces te verankeren in de organisatie, waarmee de bestuurder daadwerkelijk verantwoordelijkheid neemt voor wat er gebeurt en kan sturen op risico’s.”
Net als Meijers ziet Reuijl het spanningsveld waarin overheidsorganisaties opereren. Afscherming van persoonsinformatie tegen ‘de buitenwereld’ is één ding, bescherming van die informatie tegen ‘de overheid’ zelf is iets anders. Reuijl: “Met het oog op opsporing en voorkoming van criminaliteit, aanslagen, et cetera zou je soms meer willen gebruiken dan nu mag. Veel is mogelijk, maar niet alles is wettelijk toegestaan. De wet loopt soms gewoon achter.”

Toelaatbaarheid

Binnen het CIP-netwerk kwam onlangs een discussie voorbij over de vraag of het gerechtvaardigd is om het inkomen van ouders na te gaan van jongeren die bijstand aanvragen. “Dan moet je de Suwi-wet erbij pakken en je afvragen waar die informatie zit en of het gebruik nog voldoet aan de doelbinding van die registratie. Daarnaast wordt het begrip ‘gerechtvaardigd belang’ steeds belangrijker. Mij valt op dat in heel veel situaties interpretatie nodig is.”
Juist dat soort afwegingen pleit voor de aanstelling van een Functionaris Gegevensbescherming, een soort ‘gewetensfunctie’ binnen de organisatie. Reuijl: “Maar er zijn grote organisaties die dat nog niet hebben gedaan en dat is jammer. Als bestuurder laat je zien dat je die privacy-agenda en het toezicht heel duidelijk belegt. Dit is overigens een van de verplichtingen die meekomen in de AVG. Ik raad iedereen aan om hierop al vooruit te lopen.” Uit een CIP-enquête van eind 2015 bleek 35 procent van de overheidsorganisaties een apart benoemde FG te hebben en bij ongeveer de helft van de organisaties was privacy belegd als specifieke verantwoordelijkheid bij een van de bestuursleden. “Bij het UWV bijvoorbeeld is privacy belegd bij de voorzitter. Het is daarmee gescheiden van de ICT-verantwoordelijkheid, die ligt bij een bestuurslid.”

Alles draait om de onafhankelijkheid en deskundigheid van de FG

Ook Meijers noemt de AVG-verplichting tot het aanstellen van een Functionaris Gegevensbescherming een belangrijk punt. Ze heeft op enkele netwerkbijeenkomsten daarover gemerkt dat die functie door zeer uiteenlopende mensen wordt ingevuld, zowel mensen met een technische achtergrond als met een meer juridische achtergrond. Hoe die functie exact moet worden ingevuld is nog onderwerp van Europees overleg, maar er moet in ieder geval niet licht over worden gedacht. Aan Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens, de vraag of iemand die FG-functie ‘erbij kan doen’ of niet. “Alles draait om de onafhankelijkheid en deskundigheid van de FG”, zegt hij. “Onafhankelijkheid is als eis in de AVG vastgelegd, maar moet ook de persoon typeren. Want dán is de FG uiteindelijk het meest van waarde voor de organisatie. Natuurlijk mag er geen belangenverstrengeling zijn. Dit betekent dat de FG binnen de organisatie geen andere functie mag hebben waarin hij, zoals dat heet, ‘het doel en middelen van een gegevensverwerking bepaalt’.” Bij een managementfunctie, zoals hoofd ICT, is volgens Tomesen die belangenverstrengeling bijvoorbeeld al snel aan de orde. “De organisatie moet daar scherp op zijn.”

Daarnaast is voor de functie van FG specialistische kennis nodig. “Organisaties moeten kijken wat er in hun specifieke geval nodig is; het concrete kennisniveau dat noodzakelijk is, ligt bijvoorbeeld hoger als een organisatie grote hoeveelheden gevoelige gegevens verwerkt. Op basis van zulke afwegingen – over belangenverstrengeling, de aard van de gegevens die worden verwerkt en de vereiste vakkennis – kan een organisatie besluiten de taken van de FG bij een bestaande werknemer te beleggen óf om hiervoor speciaal iemand in dienst te nemen dan wel in te huren. Een onafhankelijke FG, die heel goed weet waar hij het over heeft, is het beste in staat het privacybewustzijn in zijn organisatie, van hoog tot laag, te bevorderen.”

Fundamenteel

Privacybewustzijn moet zich binnen organisaties dus los van de dagelijkse beslommeringen ontwikkelen. Ondertussen moeten de regels wel nageleefd. Reuijl ziet nog een wat afwachtende houding ten opzichte van de AVG. “Maar begin daar nou mee. Een aantal grote organisaties doet al analyses. Je kunt via CIP ook te rade gaan bij collega-organisaties. En inderdaad: benoem een privacy officer, een FG. En dat is dan dus níet het hoofd IT-beveiliging. En gebruik de Privacy Baseline die we hebben ontwikkeld en voer Privacy by Design in, in je ontwikkelafdelingen. Dan adresseer je meteen veel punten van die AVG. Als de manager hanteerbare instrumenten in handen heeft dan helpt dat. En misschien nog belangrijker: als je privacybescherming op orde hebt, dan bouw je aan het broodnodige positieve imago van de overheidsdienstverlening.”

Meijers: “Wij hanteren twee sporen. Het eerste is dat de basis op orde moet, maar het tweede spoor is dat we echt het gesprek moeten gaan voeren, fundamenteel, als overheden met elkaar en met de maatschappij: wat is privacy nu in deze informatiesamenleving? Welke waarden proberen we daarmee te beschermen? Zijn onze huidige wetten en concepten nog bruikbaar? Mensen verwachten een proactieve regievoerende overheid en tegelijkertijd zijn er grenzen aan wat je met gegevens kan doen, dus daar moet je het over hebben. Ondertussen moeten we zorgen dat we ons binnen het huidige juridische kader begeven. Daar moet de burger op kunnen vertrouwen.”

iBestuur Magazine 21

tags:

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.