Blog

AVG-puzzeltjes voor mens en computer

Iedereen die er ook maar iets mee te maken heeft, weet inmiddels dat de AVG enorm ingewikkeld is; voor bedrijven, voor burgers, voor computers. Gelukkig is er hulp in de vorm van een stripboek!

Iedereen die er ook maar iets mee te maken heeft, weet inmiddels dat de AVG (Algemene Verordening Gegevensbescherming) enorm ingewikkeld is; voor bedrijven, voor burgers, voor computers.

Even wat cijfers ter illustratie: 88 pagina’s dichtbedrukte tekst, 173 inleidende overwegingen, vervolgens 11 hoofdstukken met 99 artikelen, die weer zo’n 414 leden hebben. Al die structuurelementen zijn met elkaar verbonden door 733 onderlinge verwijzingen en alleen al voor verwerkingsverantwoordelijken zijn er 72 plichten, 105 voorwaarden en 25 dispensatiescenario’s geformuleerd.

Om bedrijven en overheden door dit labyrint te leiden zijn er cursussen en consultants, dus ik beperk mij even tot burgers en computers. Om een burger online te informeren over wat een bedrijf met haar gegevens wil en mag doen, heeft de AVG iets bedacht: plaatjes. Het staat letterlijk in artikel 12 lid 7: “De […] aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.”

Gestandaardiseerde icoontjes … hartstikke handig, toch? Maar eh … hebt u ze al ergens gezien?

Nee? Kan kloppen, want ze bestaan nog niet. Wel zat er een voorstel voor dergelijke icoontjes in het eerste ontwerp van de AVG dat in het Europees Parlement werd besproken. Ik wil u ze u niet onthouden, u mag raden wat ze betekenen:

Toen eenmaal was onderzocht of de gemiddelde burger de icoontjes wel begrijpt, verdween het voorstel schielijk in de la. Maar ja, wetten zijn er om uitgevoerd te worden en dat geldt zeker voor Europese wetten, dus ongetwijfeld kunnen we nieuwe voorstellen tegemoet zien.

Bijzonder interessant is ook de laatste zin van het geciteerde artikel: ”Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.” Dat is aardig bedacht, maar hoe zit het eigenlijk met de machineleesbaarheid van die honderden structuurrelaties, plichten, voorwaarden en dispensatiescenario’s? Daar zegt de AVG bar weinig over. Dat is jammer – en misschien wel buitengewoon kwalijk – zeker omdat de AVG juist in het digitale domein zo’n belangrijke rol speelt.

Want voor computers is de AVG ook niet echt eenvoudig: burgers verstrekken allerlei gegevens, het opslaan daarvan is gebonden aan regels, toestemming tot verwerking moet ingetrokken kunnen worden, verwerkingsdoelen kunnen, afhankelijk van de omstandigheden, worden uitgebreid en ga zo nog maar even door. Belangrijk daarbij is ook het beginsel van dataportabiliteit, wat wil zeggen dat al die gegevens aan betrokkene zelf of aan andere verwerkers overgedragen moeten kunnen worden “in een gestructureerde, gangbare en machineleesbare vorm”.

Wie ook maar iets van automatisering begrijpt, ziet onmiddellijk dat daar dus (open) standaarden voor nodig zijn, zodat die gegevens goed beschreven, eenduidig gelabeld en altijd in eenzelfde structuur kunnen worden overgedragen. En zodat computers die gegevens kunnen begrijpen en er mee kunnen redeneren.

Je zou denken, verwachten, hopen dat de verantwoordelijke instituties in de Europese Unie de noodzaak van IT-standaardisatie ook hadden onderkend, en dat ze in de jaren tussen afkondiging (2016) en inwerkingtreding (2018) daar net zo veel energie in zouden hebben gestoken als in het optuigen van dat hele juridische raamwerk.

Maar helaas, voor het proactief beteugelen van uitvoeringsdrama’s heeft de Europese wetgever net zo’n blinde vlek als nationale wetgevers. Het probleem wordt niet onderkend, een visie wordt niet ontwikkeld en voor IT-standaardisatie wordt stiekem gekeken naar de academische wereld en het bedrijfsleven. Die kunnen daarvoor natuurlijk Europese subsidies aanvragen.

Inderdaad zijn enkele consortia – met of zonder EU-subsidie – bezig (geweest) met het ontwikkelen van technische standaarden voor de AVG, in het bijzonder in de vorm van een ontologie: een nauwkeurige, computerleesbare beschrijving van alle relevante gegevenstypen, hun kenmerken en hun onderlinge verbanden. Maar iedereen die daar ervaring mee heeft, weet: als zulke projecten niet goed zijn ingebed in Europese besluitvormingsstructuren, is er niet genoeg inhoudelijk draagvlak te organiseren en is er onvoldoende doorzettingsmacht om een standaard daadwerkelijk voorgeschreven te krijgen. Maar hoe langer standaarden uitblijven, hoe hoger de maatschappelijke kosten en hoe groter de verwarring bij burgers en computers.

Toch zou er bij de belangrijkste AVG-spelers binnen de EU voldoende kennis aanwezig, of in ieder te organiseren moeten zijn: de Europese Commissie, het Europees Comité voor gegevensbescherming en de European Data Protection Supervisor. Overigens, die laatste kwam onlangs weliswaar niet met nieuwe icoontjes, maar wel met een ander belangrijk visueel hulpmiddel om de gedachte achter de AVG aan de burger uit te leggen: the Cartoon Introduction to Digital Ethics.

Jawel, u leest het goed: een stripboek.

Marc van Opijnen is adviseur rechtsinformatica bij het Kennis- en exploitatiecentrum Officiële Overheidspublicaties (BZK/UBR/KOOP).

Voor de puzzelaars de betekenis van de icoontjes:
A: Er worden geen andere persoonsgegevens verzameld dan die welke minimaal noodzakelijk zijn voor de verwerkingsdoeleinden;
B: Er worden niet meer persoonsgegevens opgeslagen dan strikt noodzakelijk voor de verwerkingsdoelen;
C: Er worden geen persoonsgegevens opgeslagen zonder adequate encryptie;
D: Er worden geen persoonsgegevens verwerkt voor andere doeleinden dan waarvoor ze zijn verzameld;
E: Er worden geen persoonsgegevens verstrekt aan commerciële partijen;
F: Er worden geen persoonsgegevens verkocht.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren