“Je kunt je bestuur of management schrik aanjagen door te focussen op boetes, maar je kunt privacy ook gebruiken als vliegwiel om je dataorganisatie op orde te krijgen,” aldus Frans la Housse van de Belastingdienst tijdens de "discussie":https://ibestuur.nl/symposium/rondetafeldiscussie-implementatie-van-de-avg over de implementatie van de "Algemene Verordening Gegevensbescherming (AVG)":https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving.
Beeld: Pixabay / WilliamCho
‘De Autoriteit Persoonsgegevens (AP) moet de nieuwe privacywet na invoering op 25 mei aanstaande niet direct handhaven, maar haar capaciteit juist inzetten op voorlichting en ondersteuning van (MKB-)bedrijven […] De nieuwe privacywetgeving is complex en ingrijpend, veel kleine bedrijven zijn nog onvoldoende op de hoogte en er is nog te veel onduidelijkheid over de concrete toepassing van de wet.’ Bovenstaande noodkreet werd half januari door werkgeversorganisaties VNO–NCW en MKB-Nederland verstuurd aan de leden van de Tweede Kamer en het geeft nog maar eens aan dat de implementatie van de AVG meer is dan het omzetten van ‘wat knopjes’. Dat bleek ook tijdens de door Capgemini en iBestuur georganiseerde rondetafeldiscussie, die op maandag 29 januari in Nieuwspoort (Den Haag) werd gehouden en waarop veertig betrokkenen af waren gekomen. Zij luisterden naar de ervaringsverhalen van vier plenaire sprekers (zie: kaders) en discussieerden, aan de hand van een achttal stellingen en onder leiding van Marcel Thaens, vooral met elkaar.
Gart Kostermans (DSM)
“Vier jaar geleden hebben we een eerste project gehad, met name ingestoken vanuit de juridische afdeling. De acceptatie en embedding in de organisatie bleek erg lastig. Twee jaar geleden hebben we een nieuwe start gemaakt en daarin is de kapstok veel meer verbreed. Ook bijvoorbeeld richting governance, policies, procedures, training en awareness. Wat goed ging in dit proces is dat we op tijd begonnen zijn en er verder een brede groep van betrokken medewerkers is geactiveerd. Wat beter had gekund is het meenemen van de top, de discussie met legal en het feit dat er groepen blijven die de impact van de AVG onderschatten.”
Stelling 1: ‘Bij de implementatie van de AVG is de burger te veel buiten beeld’
Volgens Frans la Housse gaat die stelling niet op voor de Belastingdienst. “Bij ons ligt de focus ook op de burger, juist gelet op de AVG. Zo hebben wij een burgerpanel, dat onder meer gebruikt wordt om te meten hoe burgers tegen de Belastingdienst aankijken. Bijvoorbeeld als het gaat om de betrouwbaarheid van de overheid of hoe de Belastingdienst omgaat met zijn gegevens. Ook de resultaten van het proces tot inzage bespreken wij met het burgerpanel. Daarbij gaat het bijvoorbeeld over de vraag of zo’n proces voorziet in een behoefte bij de burger.”
Burgers spelen ook een voorname rol in het reilen en zeilen van vervoersbedrijf Connexxion. Een van de speerpunten van het bedrijf is communicatie naar de reiziger toe. “Wij zullen de reizigers steeds meer betrekken bij onze dienstverlening”, aldus Marco van Westerlaak. Reizigers zullen op basis van persoonlijke voorkeuren en helder toelichting steeds meer invloed hebben welke informatie zij wensten te ontvangen, bijvoorbeeld informatie over wijzigingen in de dienstverlening of het ontvangen van aanbiedingen of onze nieuwsbrief. “Reizigers hebben daar zelf steeds meer invloed op.”
Stelling 2: ‘Privacy is een uitstekend middel om in kaart te brengen wat je aan het doen bent’
Het is een stelling waar Gart Kostermans (DSM) zich goed in kan vinden. “We hebben bij DSM lang gewerkt om het bewustzijn bij medewerkers en management op het gebied van veiligheid omhoog te krikken en ik verwacht dat dat ook bij het onderwerp privacy gebeurt. Maar dat is niet van de een op andere dag klaar. We moeten ook beseffen dat dit niet een traject is dat op 25 mei stopt. Het dreigen met boetes, zoals de AP wil, is wat mij betreft binnen DSM geen oplossing. Wij vinden dat het veel meer draait om intrinsieke motivatie. Je zou je op het werk niet anders moeten gedragen dan thuis en dat benadrukken we ook in de campagne rondom de AVG. Ik vermoed bijvoorbeeld dat veel mensen niet snappen wat de veiligheidsrisico’s zijn ten aanzien van privacy. Als je dan een awarenesscampagne hebt binnen je organisatie, kan je binnen én buiten de poort dat gedrag aanpassen.”
Ook Frans la Housse is het roerend eens met de stelling: “Je kunt je bestuur of management schrik aanjagen door te focussen op boetes, maar je kunt privacy ook gebruiken als vliegwiel om je dataorganisatie op orde te krijgen. Als Belastingdienst gaan wij voor die laatste optie.”
Marco van Westerlaak (Connexxion)
“Connexxion hanteert een proces en risico gestuurde aanpak voor de implementatie van de AVG. Voor het beoordelingen van risico’s en het treffen van risico mitigerende maatregelen is een multidisciplinair opgesteld die hierin een adviseren rol vervuld. Daarnaast vindt er periodiek afstemming plaatst binnen de branche over overkoepelende zaken die privacygerelateerd zijn. Dit als gevolg van het gezamenlijke OV-Chipkaart platform waarin openbaarvervoerders een gezamenlijke verantwoordelijkheid vervullen.”
Stelling 3: ‘Implementatie van de AVG draagt rechtstreeks bij tot optimalisatie van de informatievoorziening in een organisatie’
Voor wat betreft Eelco Bonsing van Capgemini is dat ook een van de beginselen van de gegevensbescherming. “Zoveel mogelijk streven naar enkelvoudige gegevensopslag. Hoeveel organisaties hebben niet redelijk wat databases en applicaties in gebruik? Als je nadenkt over je informatievoorziening en over het toepassen van privacy by design en privacy by default, dan is dat ook een mogelijkheid om te kijken of je je databasestructuur moet rationaliseren. Dat biedt kansen en het brengt onherroepelijk besparingen met zich mee.”
Stelling 4: ‘Overheid laat kleine broeders en zusters hopeloos liggen, terwijl ze daar wel problematiek heeft’
De problematiek rondom de AVG is niet afhankelijk van de data, maar wel van het vermogen om daar mensen op in te zetten. Dat treft met name de kleine(re) organisaties. “Ook al helpen kleine organisaties elkaar, het blijft erg lastig en dus is de hulp van grote organisaties nodig.” Of uitstel van de naleving of gefaseerd toezicht, zoals geopperd door de werkgeversorganisaties, ook voor kleine overheidspartijen een optie is? Wat Frans la Housse betreft lost een jaar uitstel niets op. “Gefaseerd toezicht vind ik weer iets anders, want wanneer is het goed genoeg? Daar is nog veel onduidelijk over. Wat mij betreft zou het helpen als de Autoriteit Persoonsgegevens zich jaarlijks zou richten op een paar thema’s, zoals de Belastingdienst ook doet. Dan weet je dat die thema’s in ieder geval aandacht krijgen.”
Frans la Housse (Belastingdienst)
“Het is onze grondhouding om zorgvuldig om te gaan met de vele gegevens die wij onder ogen krijgen. Wij zijn in het voorjaar 2017 begonnen met de specifieke voorbereiding op de AVG. Dat doen we projectmatig in een klein, multifunctioneel team. We maken onderscheid in de korte en lange termijn. Op de korte termijn gaat het erom snel slagen te maken, met name het inventariseren van gegevensverwerking en de focus op bewustwording. Op de lange termijn moet de organisatie zelfstandig in staat zijn om te blijven voldoen aan de AVG. Dat leidt er toe dat je moet nadenken hoe de organisatie zo aan te passen dat dat ook kan.”
Stelling 5: ‘Wat voor keuzes maak je en hoe leg je dat naar buiten toe uit?
Bijvoorbeeld waar het gaat om legacy, het omgaan met oude systemen. Bij de Belastingdienst zorgen onder meer oude(re) systemen ervoor dat de implementatie van de AVG op 25 mei niet is afgerond. Frans la Housse: “Het is belangrijk om te weten wat je nog aan maatregelen kunt en gaat treffen. Wij vliegen het vooral aan vanuit de risicobenadering. Als verouderde systemen binnen afzienbare tijd worden uitgefaseerd mag je naar mijn opvatting, mits transparant en uitlegbaar, een zorgvuldige afweging maken tussen het privacybelang, de technische mogelijkheden en de bedrijfseconomische aspecten. Het tweede element waarom wij op 25 mei nog niet volledig kunnen voldoen aan de AVG, heeft te maken met de manier waarop wij data ontsluiten van applicaties.” Ook bij DSM zijn nog oude systemen en databases aanwezig en in relatie tot de AVG wordt daar actief niets mee gedaan. “We zien wel of er vragen komen met betrekking tot informatie op die systemen.”
Stelling 6: ‘Generieke ondersteuning voor oplossing AVG moet komen vanuit de business’
Voor Capgemini, een bedrijf dat internationaal aan de weg timmert, is dat nog niet per se voor de hand liggend, zo laat Eelco Bonsing weten. “De Group IT binnen Capgemini is een interne dienstverlener en die hebben niet het initiatief genomen de interne systemen aan te passen. Zij wachten daarbij op instructies vanuit de businessowners van de diverse applicaties. Dat is een manier om er mee om te gaan. Dat is niet goed of fout. Of je kunt kijken waar concentraties zitten van deskundigheid, bijvoorbeeld in ondersteunende functies, zoals Juridische Zaken, de Functionaris gegevensbescherming of IT-beveiliging. Maar je kunt je ook voorstellen dat een IT-regieorganisatie het initiatief neemt en de business bij de hand neemt.”
De relatie tussen business en de verschillende vervoersorganisaties, zoals Connexxion, ligt vooral op het gebied van het creëren van bewustzijn. “Het betrekken van verschillende organisatieonderdelen bij een risico gebaseerde aanpak, helpt om het onderwerp privacy onder de aandacht te brengen”, aldus Marco van Westerlaak. “Doel daarvan was om mensen binnen het bedrijf te laten inzien dat het privacyvraagstuk/AVG iets is dat ons allemaal bezighoudt.”
Eelco Bonsing (Capgemini)
“Als Capgemini zijn we net voor 2016 begonnen met de AVG (GDPR). We zijn niet alleen verantwoordelijk voor alle interne verwerkingen van persoonsgegevens, maar vooral ook verwerker van klantorganisaties. We hebben wereldwijd 200.000 medewerkers, waarvan in India alleen al 80.000. Een groot deel van de verwerkingen die wij voor onze klanten doen, gebeuren in India. In eerste instantie lag de nadruk op het controllergedeelte en waren wij in onze verwerkersrol in afwachting van initiatieven van onze klanten. Toen die uitbleven zijn er gaandeweg vanuit de business diensten ontwikkeld op het gebied van GDPR ten behoeve onze klanten. Een van de speerpunten is nu dat wij inzichtelijk maken wat wij doen voor klanten. Wat voor soort gegevens verwerken wij? Hoeveel gegevens verwerken wij? Zijn dat persoonsgegevens of gevoelige persoonsgegevens? Hebben wij de juiste afspraken gemaakt met onze klanten, met onze onderaannemers of met onze toeleveranciers?”
Stelling 7: ‘De Functionaris Gegevensbescherming (FG) moet toezicht houden en geen advies geven’
“Zorg voor een goede functiescheiding”, aldus Marco van Westerlaak. “De AP en de wet ziet de functie echt als toezichthouder, maar de FG heeft (conform de AP) ook een taak in het adviseren over technologie en beveiliging (privacy by design)”. Het is van belang een goede rolverdeling toe te passen, waarmee voorkomen wordt dat de FG zijn eigen adviezen controleert. Binnen Connection wordt gebruikgemaakt van een privacy werkgroep, bestaande uit verschillende expertises en externe adviseurs met een adviserende rol. Door deze rolverdeling ligt de adviserende rol niet geheel bij de FG.
Frans la Housse vindt het een “traditionele spanning” tussen toezicht en advies. “Bij ons zie ik een scheiding voor en na 25 mei. Voor die datum speelt de FG een actievere rol en na die datum moet de eigen organisatie voldoende deskundigheid in huis hebben om ook de adviezen te doen zodat de FG zich echt de toezichthoudende rol kan aanmeten.”
Stelling 8: ‘Ongestructureerde data (e-mail, shares) zijn niet compliant te krijgen’
Eelco Bonsing ziet het als een van de majeure issues rondom de AVG. “Ik heb daar nog niet echt een pasklaar antwoord op, maar bewustwording en training van mensen speelt daar een grote rol in. Hoe ga ja als gebruiker om met systemen?” Ook Gart Kostermans erkent het probleem. “Wat doe je met SharePoint, wat doe je met al die Office-tools? Wat doe je met ticketingsystemen? Hoe groot is het topic eigenlijk? Daar spelen nog veel vragen.”
