02-02-2016

Hieronder vind je een verslag van de bijeenkomst “Toezichthouder op persoonsgegevens” van 2 februari 2016.

Verslag  2 februari 2016, notulist: Hilde van der Waaij

Inleiding

Het gaat vanavond over de nieuwe ontwikkelingen op het gebied van privacywetgeving. Zoals de inwerkingtreding Algemene Verordening Gegevensbescherming en de Meldplicht Datalekken. De focus ligt op de rol van de toezichthouder, de Functionaris voor de Gegevensbescherming. Tussen de praatjes van de sprekers hebben we drie sketches.

Sprekers

Femke de Vries    – Toezichthouder bij de ACM en hoogleraar toezicht aan de Rug

Jan de Zeeuw      – FG bij Ministerie van EZ en voorzitter van het NGFG

Jaap-Henk Hoepman  – Directeur van het Privacy & Identity lab

Heleen van Balen:  We willen een profiel ontwikkelen voor een Functionaris voor de Gegevensbescherming (hierna: FG). Een profiel is nuttig voor de positionering en de opleiding van een FG. Het idee is dat wij vanavond met z’n allen vanuit de lezingen de eigenschappen halen die belangrijk zijn voor een FG. Zo kunnen wij een opzet voor een competentieprofiel bijstellen.

Aline Klingenberg: 15 December 2015 is overeenstemming bereikt over de tekst van de nieuwe privacyverordening. Een andere ontwikkeling is de meldplicht datalekken en de bijbehorende boetebevoegdheid. Er verandert veel, maar de basisprincipes blijven hetzelfde. Zoals de wettelijke grondslag en doelbinding.

Een belangrijke verandering uit de komende Privacyverordening is de verplichting voor bepaalde organisaties om een FG te hebben. Het wordt in elk geval verplicht voor overheidsorganen, met uitzondering van de rechterlijke macht. Het wordt ook verplicht voor organisaties die gevoelige gegevens verwerken. Daarnaast hebben de lidstaten de bevoegdheid om een FG voor meer organisaties verplicht te stellen. Dat moeten we nog afwachten.

Andere nieuwe ontwikkelingen zijn de volgende. De PIA (privacy impact assessment) is nieuw. Dit betekent dat alle risico’s geïnventariseerd moeten worden. Geen verandering is het ‘recht om vergeten te worden’, dat kan al worden gestructureerd uit bestaande wetgeving. Een andere verandering voor consumenten is ‘dataportabiliteit’. Een voorbeeld daarvan is een sporthorloge. Wat de overheid betreft is Aline heel erg benieuwd naar de verplichting in de verordening die eisen stelt aan de kwaliteit van de wet. Dus kortom, er staat heel wat te veranderen.

Spreker 1: Femke de Vries – Toezichthouder ACM / Hoogleraar toezicht

Femke de Vries gaat in op de rol van de toezichthouder zowel vanuit haar praktijk kennis als vanuit haar theoretische kennis. Haar verhaal gaat niet over privacy, maar over wat ‘goed toezicht’ is. De nieuwe Autoriteit Persoonsgegevens laat op haar website zien dat ze heel veel waarde hecht aan de FG. Als een instantie een FG heeft dan zal de autoriteit zich terughoudend opstellen. Een van de eisen is dat hij onafhankelijk zijn werk moet kunnen doen.

Goed toezicht

Eerst wat is goed toezicht. Denk aan de financiële hoek en de financiële crisis. Een van de belangrijkste lessen die je daaruit kan trekken is dat het hebben van een formele structuur geen garantie is voor goed toezicht. Ondanks het feit dat aan de regeltjes was voldaan, betekent nog niet dat het ook werkt. De les is: structuur alleen is niet genoeg.

Document van het Internationaal Monetair Fonds: “Good supervision, learning to say no”. Je moet vooral ook bereid zijn om nee te zeggen, al helemaal in omstandigheden waarin het bedrijf het moeilijk heeft. Er zijn volgens het IMF vijf elementen van goed toezicht:

  • Intrusive
  • Skeptical but pro active : proactief zijn, vooruit denken. Wat zijn trends in een onderneming, wat heeft een voorspellende waarde.
  • Comprehensive
  • Adaptive
  • Conclusive : je moet ook consequenties aan je conclusies/optreden kunnen verbinden.

Daarnaast is van belang dat het niet alleen gaat om de ‘ability’ maar ook de ‘will to act’. Je moet dus niet alleen de mogelijkheden hebben om op te treden, maar ook de bereidheid om op te treden.

De regering heeft ook een ‘Kaderstellende Visie op Toezicht’ gepubliceerd. Daarin staat met betrekking tot toezicht : onafhankelijkheid + transparantie + professionaliteit + selectiviteit + slagvaardigheid + samenwerking.

De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft drie kernwaarden gepubliceerd: onpartijdigheid + onafhankelijkheid + verantwoording.

Toezicht bestaat uit drie aspecten:

  • Risico-identificatie : de FG moet de business/ het bedrijf kennen. Hij moeten weten waar gegevens worden verwerkt en dus waar risico’s zijn. De FG moet niet alleen het proces kennen, maar ook de organisatiestructuur en de cultuur van een bedrijf.
  • Risico-beoordeling : hoe zwaar de risico’s wegen.
  • Risico-mitigatie : het evalueren van de risico’s.

Functionaris gegevensbescherming

De werkzaamheden van een FG kunnen volgens de Autoriteit Gegevensbescherming onder meer bestaan uit:

  • Toezicht houden:
  • Inventarisaties van gegevensverwerkingen maken
  • Meldingen van gegevensverwerkingen bijhouden
  • Vragen en klachten van mensen binnen en buiten de organisatie afhandelen
  • Interne regelingen ontwikkelen
  • Adviseren over technologie en beveiliging (privacy by design)
  • Input leveren bij het opstellen of aanpassen van een gedragscode

Opvallend: veel taken en ook taken die door elkaar lopen. Namelijk advies, toezicht en verwerken van klachten. Zijn dit allemaal rollen die men wel in één persoon kan/moet willen verenigen?

Verder nog:

  • Voldoende kennis over de organisatie en de privacywetgeving
  • Controlebevoegdheden
  • Onafhankelijk (ontslagbescherming)

Overigens moet de FG een natuurlijk persoon zijn. De FG heeft geen sanctiebevoegdheden.

Intern toezicht versus extern toezicht

Vraag: moet je iemand van binnen de organisatie halen of juist van buiten? Wat voor rol heb je als intern toezichthouder in plaats van extern toezichthouder? De Autoriteit Persoonsgegevens heeft er vertrouwen in blijkt uit de website. Denk aan de banken, die hebben ook risk managers etc. dat helpt, maar die worden alsnog zo nu en dan gecheckt.

Femke de Vries is ervan overtuigd dat een intern toezichthouder beter kan toezicht houden dan een extern toezichthouder. Er is onderzoek gedaan in Groningen door bedrijfskundigen. Intern toezicht is veel effectiever dan toezicht door een autoriteit op afstand. (M. de Waal, J. Stoker & F. Rink , DNB Working Paper “How internal and external supervisors influence empoloyees’ self-serving decisions”, DNB mart 2015, nr. 464.).

 

Proxy toezicht (door Ko de Ridder, vorig hoogleraar toezicht)

Proxy toezicht: intern toezichthouder neemt deel taak extern toezichthouder over. De onder toezicht gestelde moet alle belangen afwegen, terwijl een toezichthouder voor borging van het publieke belang is. Wanneer het publiek belang ten koste gaat van winstmaximalisatie werkt proxy toezicht niet. De Ridder is sceptisch wat betreft het gewicht dat privacy heeft bij een toezichthouder. Diegene moet alle belangen afwegen (ook belangen van werknemers, klanten), het privacy belang is daar maar één van. De Ridder: als een onderneming moet kiezen tussen bescherming van gegevens en winst, zal een onderneming vaak kiezen voor winst. Al helemaal als diegene in financiële nood zit.

Wanneer kan het dan wel werken? Bijvoorbeeld als je aan de bescherming van de gegevens een financieel prijskaartje kan hangen. Wanneer een bedrijf zich niet aan de afspraken houdt dan volgt een boete. Dan wordt de afweging voor een bedrijf alweer heel anders. Denk daarbij aan het opleggen van boetes of emissierechten bij het milieu.

Verder zegt De Ridder dat het publiek belang kan worden ingebed in bedrijfseconomische processen. Daarnaast moet de proxy toezichthouder een uitdrukkelijk taak krijgt om een welomschreven belang te borgen, op de uitoefening daarvan wordt hij geselecteerd een aangesproken. Femke vindt dit echter nog redelijk onduidelijk. Ook moet de proxy toezichthouder uitgebreid publieke verantwoording afleggen. Het liefst in het publieke domein. De vraag is dan wel of je als FG voldoende onafhankelijk bent dan wel onafhankelijk durft te zijn. Ten slotte is sterke ondersteuning van uit het externe toezicht nodig.

Femke de Vries noemt ter afsluiting drie dilemma’s:

  • Onderdeel van zelfde organisatie geeft invloed, hou behoud je toch je onafhankelijkheid als interne toezichthouder?
  • Hoe voldoe je als extern toezichthouder aan je maatschappelijke verantwoordelijkheid als je teveel gaat ‘leunen’ op intern toezicht? (proxy toezicht)
  • Kunnen intern toezichthouders het gedrag en de cultuur in een organisatie beoordelen (‘vis in het water’) of is extern toezichthouder daar toch beter in als buitenstaander?

Sketch: Arnold is security officer van de Arbodienst

Johan de FG. Een werknemer heeft zijn laptop laten liggen in de trein. Oplossing: de harde schijf op afstand verwijderen. Gelukkig is er in de tussentijd niemand bij geweest. De FG had er toch graag van af willen weten.

Femke de Vries zegt: belangrijk voor de FG is kennis van de organisatie + zichtbaarheid + duidelijk zeggen wat zijn taak is. Ook belangrijk is dat de medewerkers van de organisatie wel weten over beveiliging van gegevens. Je ziet dat compliance officers het ook steeds meer zoeken in de cultuur in plaats van techniek en proces.

Vraag: is ook de titel uit de Awb van toepassing over toezicht? Niet op de FG, maar wel op de Autoriteit Gegevensbescherming. FG moet wel over bevoegdheden uit 5.2 Awb beschikken, art. 64, derde lid, Wbp.

Spreker 2: Jan de Zeeuw – FG Ministerie EZ en voorzitter NGFG

Achtergrond: Wbp, AVG, Wet meldplicht datalekken. Nu er boetes opgelegd gaan worden als organisaties geen FG hebben is er opeens een enorme toename aan FG’s.

De hoofdtaken van de FG zijn toezicht en advies. De vraag is hoe je deze rollen gaat combineren. Wat voor advies? Advies als een advocaat: als je zo doet krijg je waarschijnlijk weinig problemen, maar is minder onafhankelijker. Een van de eisen is inderdaad onafhankelijkheid. Dit is lastig, want je bent ook medewerker. Ook moet de FG deskundig zijn (op gebied van privacywetgeving). Verder moet je bevoegdheden toegekend krijgen en je hebt ontslagbescherming.

Privacy-producten, overal is de FG bij betrokken:

  • Alle verwerkingen van persoonsgegevens in kaart brengen. Dit is het beginpunt, dit is essentieel. De documentatie moet op orde zijn. Je moet ook weten welke directeur verantwoordelijk is voor die gegevens of die melding. Dat is vaak helemaal niet zo duidelijk.
  • Compliance toets : een toetsing van het beleid aan de wet.
  • PIA (privacy impact assessment) : dat is het in kaart brengen van de risico’s.
  • Bewerkerscontracten
  • Privacy by design
  • Privacy audit
  • Contacten met de OR. Ook de OR heeft een wettelijk taak, die heeft instemmingsrecht op het gebied van verwerkingen van persoonsgegevens. Als er een nieuw systeem komt dan moet de OR daarmee instemmen. Maar ook de FG heeft een rol, die moet zeggen wanneer iets in overeenstemming is met de privacywetgeving. Beiden moeten akkoord zijn; de vraag is dan wie als eerste akkoord moet zijn, vaak kijken ze naar elkaar.
  • Aanbevelingen aan de minister

Begrip privacy

Vaak wordt het volgende beeld geschetst van privacy. Er is integrale beveiliging, daaronder valt ook informatiebeveiliging en daar weer een onderdeel van is privacy. Hij is het daar niet mee eens, privacy is veel meer. Privacy is veel meer dan bescherming van persoonsgegevens. Een FG houdt zich ook bezig met de noodzaaktoets en de doelbinding. Privacy en informatie beveiliging hebben wel overlap op het gebied van gegevensbescherming.

Meegeven voor taken van een FG:

  • Belangrijkste is dat een FG zich goed verdiept in de privacywetgeving en begrijpt waarom die er is en wat de beginselen daar achter zijn.
  • Privacywetgeving heeft te maken met machtsverhouding; de burger ten opzichte van de overheid, dat de burger niet verpletterd wordt.
  • Een FG moet intern een goede positie krijgen. Dit moet ook duidelijk zijn bij de Raad van Bestuur of de Minster, dat die ook begrijpt wat de taak is en waarom die van belang is.

Vragen

  • Vraag: taak voor de club van FG’s om toezicht te houden op de andere FG’s.
  • Vraag: waarom moet de FG rapporteren aan de Raad van bestuur ipv Raad van commissarissen?
  • Vraag: waarom hebben we een FG? Hij: vanwege de grondrechten, we zijn er voor de burgers. De FG staat er vaak alleen voor, als de hele organisatie iets moois wil dan is het lastig om als FG te zeggen dat het zo niet kan. Bijvoorbeeld in verband met doelbinding.

 Sketch 2: Bert de directeur en die heeft een FG (Johan) aangesteld.

Probleem: De directeur is kwaad op de FG, een laptop is kwijt geraakt dat was zeker niet de bedoeling. De FG is intern.

Jan de Zeeuw: vaak denken directeuren dat een FG alles regelt over privacy. Maar dat is niet zo. Een FG is bezig met advies en toezicht maar hij gaat niet over de uitvoering. Hij kan geen datalekken voorkomen etc. Een FG moet dus opletten dat hij niet alle privacytaken op z’n bord krijgt. Wat verwacht je van een goede directie? Dat ze begrijpen dat ze een signaal van de FG kunnen krijgen en dat ze dan zelf moeten zorgen voor aansturing, de directie kan dan niet verwachten dat de FG dat alles gaat regelen.

Een businesscase voor de FG? Er is een nalevingstekort geweest; privacywetgeving werd niet voldoende serieus genomen. Wat je nu ziet gebeuren wat blijkbaar wel werkt, zijn sancties. Bestuurders wegen vaak risico’s af, ze kijken wat er gebeurt als ze toch de wet overtreden. Verhouding tussen de FG en de externe toezichthouder: dat was een gevoelige discussie. Dat is nu anders, het is een soepele samenwerking althans dat is de bedoeling.

Spreker 3: Jaap-Henk Hoepman – Wetenschappelijk directeur privacy & identity lab

Hoofdtaak: onderzoek naar privacyvragen bij technische vragen. Hij is wetenschappelijk directeur van het Privacy & Identity Lab (samenwerking tussen universiteit Nijmegen, Tilburg en TNO). Daarnaast universitair hoofddocent bij Radbout universiteit Nijmegen.

Privacy by design

Dit is een wettelijke verplichting. Het idee is dat je zorgt dat je privacy meeneemt in het ontwikkelen van een product; van concept tot realisatie. Het gaat om de gehele ontwikkelcyclus. Voor de ontwerpfase is het design pattern bedacht. Maar de vraag blijft, wat moet je in het allereerste begin doen? Dus in de idee ontwikkelingsfase en de analyse daarvan.

Er zijn twee dingen van belang. PIA’s en Privacy Design Strategies. PIA’s zijn bedoeld om risico’s inschattingen te maken. Een promovendus van hem kijkt hier naar en heeft interviews afgenomen. Daaruit blijkt dat bedrijven kijken naar de risico’s, maar niet naar de fundamentele achtergrond.

Een andere promovendus van hem is bezig om begrippen te analyseren. Hieruit blijkt dat juristen en technici niet altijd het zelfde verstaan onder begrippen. Zo vinden juristen onder processing ook opslaan vallen, maar dat vinden technici niet.

Er zijn acht strategieën om te helpen bij het ontwikkelen van systemen, privacy by design. Namelijk: enforce, demonstrate, controle, inform, minimise, aggregate, separate, hide. Een oplossing is data gescheiden bewaren (in verschillende databases). Verder is van belang dat gegevens niet te gedetailleerd moeten worden bewaard, het liefst vanaf het begin af aan enkel opslaan wat je wilt. Daarna moeten de gegevens ook beschermd worden. Vervolgens moet het datasubject ook controle kunnen uitoefenen over zijn data. Dat blijkt lang niet altijd soepel te verlopen. Jaap-Henk heeft studenten in een seminaar gegevens over zichzelf laten opvragen bij bedrijven. Dat bleek vaak te lang te duren of zelfs niet te lukken.

Toezichthouder

Er is veel meer mogelijk dan men weet. Jaap-Henk wil liever geen jurist maar al helemaal geen technicus. Eigenlijk moet diegene kennis hebben van beiden; anders blijf je te vaak hangen in oplossingen die niet mogelijk zijn of je ziet de juiste oplossingen over het hoofd. Een moeilijkere oplossing kan vaak beter zijn voor de privacy. Idee: een peer2peer Facebook, zonder centrale instelling. Voor veel dingen geldt dat je het net zo goed lokaal kan doen. Technisch gezien kan alles lokaal, het is vanwege de winst dat commerciële instellingen het oppakken.

Sketch 3: De casemanager van de Arbodienst

Ik ben teamleider van een groep casemanagers. Geen idee wat de FG doet, wel aardige man verder. Ik had hem liever als uitbreiding van mijn team.

Jaap-Henk Hoepman: Als het gaat om het ontwerpen van systemen moet je heel erg rekening houden met de gebruiker. Ook degene die zijn laptop kwijt raakt. Je moet proberen om problemen te kunnen voorkomen, Gebruikers maken altijd fouten en je moet dan proberen om de gevolgen te voorkomen.

Voorbeelden van privacy by design waar de gebruiker niet zoveel van doorheeft:

Voorbeeld 1: whatsapp (en daarmee ook Facebook) kan toegang hebben tot alle gegevens die je verstuurt. Apple encrypt dit en dat is dus veel veiliger.

Voorbeeld 2: hoe kan je gebruik maken van verschillende medische gegevens, maar dat bepaalde vragen wel gesteld kunnen worden. Dus twee databases combineren zonder ze bij elkaar te brengen. Dan kan je kijken naar techniek en pseudoniemen. Het gaat uiteindelijk om autonomie.

Advertenties