Ict kan veel voor ons betekenen en geweldig ondersteunend zijn, maar kan na oplevering ook vaak een onbedoelde en niet ingecalculeerde kostenpost zijn voor bedrijven. Reden: na de release van een product of dienst blijkt het niet aan privacywetgeving te voldoen en moeten organisaties grote sommen geld uittrekken om dit te repareren. Onnodig, meent Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens. ‘Een privacy officer had dit kunnen voorkomen.’
Het College bescherming persoonsgegevens (CBP) is de autoriteit die waakt over de privacy van burgers en consumenten. Dinsdag 10 februari 2015 stemde de Tweede kamer ermee in om deze waakhond van de Nederlandse overheid serieuze tanden te geven om privacyschenders aan te pakken. Waar het voorheen alleen een last onder dwangsom kon opleggen, als het ware een gele kaart, wordt het CBP nu boetebevoegd en kan het direct overgaan tot het geven van een rode kaart. Deze boetes kunnen oplopen tot 810.000 euro. Wel moet de Eerste Kamer nog zijn goedkeuring geven aan de uitgebreide bevoegdheden van het CBP.
Duimschroeven aandraaien
Het CBP is blij met deze maatregel. Voorzitter Jacob Kohnstamm geeft tegelijk aan dat de Europese wetgeving die in de maak is boetebedragen bevat waar grote bedrijven nog meer van zullen schrikken. ‘Op dit moment is er Europese wetgeving in de maak die het voor ons mogelijk maakt om boetes te gaan opleggen die kunnen oplopen tot 2 tot 5 procent van de wereldwijde jaaromzet van een organisatie. Dan spreken we al snel over bedragen van vijfhonderd miljoen tot zeshonderd miljoen euro. Dan kunnen we, als bedrijven ernstig verwijtbaar de Wet bescherming persoonsgegevens aan hun laars lappen, echt de duimschroeven gaan aandraaien.’
Naast de boetebevoegdheid heeft de Tweede Kamer ook ingestemd met regelgeving die organisaties verplicht om datalekken aan het CBP te melden. Daarnaast moeten zij rechtstreeks burgers of consumenten inlichten als die datalekken voor hen direct gevaarwekkend zijn. Doen zij dat niet, dan kan het CBP een forse boete opleggen. ‘Ict is prachtig’, zegt Kohnstamm, ‘ik maak er zelf met veel plezier gebruik van. Maar ict is op zichzelf ook ‘waardenloos’. Ja, met een n ertussen. Met ict kan je een samenleving totaal verknallen. Bescherming van persoonsgegevens is een grondrecht. Daar moet vanaf het begin af aan rekening mee worden gehouden.’
Wbp-proof
Volgens Kohnstamm moet de bescherming van de persoonsgegevens al gewaarborgd worden als een product of dienst nog moet worden ontwikkeld en de techneut plaatsneemt aan de tekentafel. ‘Aan de tekentafel ontstaan de mooiste en leukste ideeën, maar na een release kan er een rel ontstaan, omdat het product of de dienst niet in overeenstemming met de Wet bescherming gegevens is, niet‘Wbp-proof’ is. Dan moeten er veel kosten worden gemaakt om uiteindelijk wel dit ‘predicaat’ te krijgen. En dat is zonde, want het is eenvoudig te voorkomen.’
Kohnstamm pleit daarom voor ‘privacy by design’, waarbij er iemand kijkt naar de waarde die de oplossing biedt als deze ook nog eens rekening houdt met de grondrechten. Volgens de nieuwe Europese wetgeving die in de maak is, moeten organisaties gebruik moeten maken van een privacy officer. ‘Zo’n persoon kan meedenken met de techneut en bijsturen op privacyvlak, voordat een product of dienst wordt geïntroduceerd. Op dit moment wordt zo’n persoon door ict soms misschien gezien als lastig, maar dit hoeft niet zo te zijn. Het moet natuurlijk niet een azijnpisser zijn die bij alles dwarsligt, maar iemand die er wel voor zorgt dat problemen voorkomen worden. In ons jargon drukken wij onze houding in het Engels uit: ‘We don’t want to spoil the fun, but surprise minimisation is the name of the game. Anders gezegd: verras ons met prachtige technische producten, maar niet met een heimelijke verzameling van hun persoonsgegevens.’
Of de privacy officer door iedere organisatie die zich bezighoudt met het verzamelen en verwerken van persoonsgegevens moet worden ingezet, is nu onderwerp van discussie over de toekomstige Europese privacywetgeving. Kohnstamm benadrukt dat een privacy officer niet de rem op innovatie moet zijn en alleen sturing op privacyvlak moet geven, zodat ict waardevol en ook ‘waardenvol’ wordt. Kohnstamm: ‘Hij zorgt er bij de ontwikkeling al voor dat het grondrecht wordt nageleefd. Wij zien dat nog te weinig terug aan de tekentafel, aandacht voor privacy als een product of dienst ontworpen wordt.’
Consument zelf verantwoordelijk
Kohnstamm geeft aan dat er veel mogelijk is voor organisaties die persoonsgegevens verzamelen en verwerken. Volgens de wet hebben zij hiervoor wel een rechstgrond nodig, bijvoorbeeld toestemming van de burger of consument. ‘Meestal heb je als burger of consument de keuze in hoeverre je instemt met het verwerken van je persoonsgegevens. Kijk bijvoorbeeld naar het Internet of Things, de slimme ijskast om maar iets te noemen. Binnenkort weet de supermarkt misschien wel wanneer jouw melk op is. Als je een koelkast met dit soort mogelijkheden aanschaft, dan moet ‘nul’ de standaardinstelling van het apparaat zijn. Je kan er dan zelf voor kiezen om een ander via een app in de koelkast mee te laten kijken, dat je zelf een seintje krijgt dat de melk bijna op is of dat er rechtstreeks een signaal naar de supermarkt wordt verzonden.’
Een communicerende koelkast is op zich een prachtige ontwikkeling, zegt Kohnstamm. Hij geeft aan dat als er persoonsgegevens verwerkt gaan worden, hierbij ook ‘surprise minimisation’ het uitgangspunt moet zijn. De technische mogelijkheden en functionaliteiten zijn er, maar je bepaalt uiteindelijk zelf waarvoor jouw gegevens worden verwerkt en wie welke inzage krijgt. ‘Als je ervoor kiest dat anderen bij jouw gegevens mogen, dan wil je bovendien dat dit veilig gebeurt. Daarom moeten dit soort systemen wel encrypted zijn of op een andere manier beveiligd. Je wilt niet dat een vreemde die langs je huis loopt mee kan kijken in je koelkast. Daar moet goed naar gekeken worden en als zo’n koelkast dus ontworpen wordt, dan is het fijn als direct iemand input levert om de privacy te waarborgen.’
Gezondheid-apps
Volgens Kohnstamm spelen vergelijkbare zaken in de medische wereld. ‘Neem bijvoorbeeld gezondheid-apps. Medische gegevens worden door de wet betiteld als ‘bijzonder’. Het zijn zeer privacygevoelige gegevens en verdienen extra bescherming. Daar moet je als ict-manager rekening mee houden.’
Ict-managers moeten stil staan bij de context van de verwerking en moeten weten wat voor type gegevens er worden verzameld. Daarnaast wijst hij erop dat voor analyse van databestanden nog steeds de wettelijke bepaling gelden die in 1995 zijn opgesteld. Kohnstamm: ‘1995 was de oertijd als we het over ict hebben. Maar de Wet bescherming persoonsgegevens is techniekneutraal opgesteld. De uitgangspunten dienen een grondrecht en gelden nog steeds: informeer mensen en verwerk alleen gegevens als je een wettelijke grondslag hebt. Bijvoorbeeld toestemming van de mensen wiens gegevens het betreft of als het volgens de wet verplicht is, zoals een werkgever die gegevens van zijn werknemers moet verwerken. Door techniek verandert alles om ons heen en het is onmogelijk om daarop continue de wet- en regelgeving af te stemmen. Ik ben blij dat er een nieuwe Europese verordening komt, die ook technisch-onafhankelijk wordt opgesteld.’
Meldplicht voor datalekken
Recent bleek uit onderzoek van adviesbureau PwC dat Nederlandse bedrijven slecht voorbereid zijn op nieuwe Europese wet- en regelgeving rondom privacy. Zo zouden er geen maatregelen worden getroffen op de aanstaande meldplicht voor datalekken. Bedrijven hebben geen verantwoordelijke voor de privacy van klantdata benoemd en gegevensverwerking is niet ingericht op het recht om vergeten te worden. Een meerderheid vindt zelfs dat ze zelf niet gekwalificeerd genoeg zijn om op een volwassen manier om te gaan met persoonsgegevens. Trainingen ontbreken en er zijn geen procedures opgesteld om te voldoen aan de nieuwe regels.
‘Organisaties lijken dus slecht voorbereid’, licht Kohnstamm toe, ‘maar ik kan ze geruststellen. De verordening wordt op z’n vroegst pas eind 2015 of begin 2016 aanvaard en dan is er nog een overgangstermijn van twee jaar. Organisaties hebben dus de tijd om er naar te gaan handelen. De aanbeveling van PwC om een privacy officer te benoemen, kan ik alleen maar ondersteunen. Op dit moment werken er bij de grote organisaties en Rijksoverheid in Nederland al privacy officers. Zoals gezegd is er op dit moment discussie over het verplicht invoeren van een privacy officer bij iedere organisatie. Het conceptvoorstel voor de Europese regelgeving heeft het nu over een verplichte privacy officer bij organisaties met meer dan 250 voltijdbanen in dienst.. ‘Maar wat mij betreft maakt elke organisatie die persoonsgegevens verzamelt of verwerkt gebruik moet maken van een privacy officer. Het gaat niet om de hoeveelheid medewerkers, maar om de hoeveelheid risicovolle gegevensverwerkingen die een organisatie verricht.’
Kohnstamm vindt niet dat zulke organisaties standaard een privacy officer in dienst moeten hebben, want dat zou veel te duur worden voor kleinere organisaties. Die kennis kan je volgens hem ook extern inhuren als je een nieuw product of dienst gaat ontwikkelen. Daarnaast pleit Kohnstamm ervoor dat techneuten al tijdens hun opleiding onderwezen worden op het gebied van privacybescherming. Zodoende kunnen ze dan later in hun carrière bij het ontwerp al goede vragen gaan stellen met betrekking tot de privacy.
Privacy officer versus ciso
Op de vraag onder wiens verantwoordelijkheid de privacy officer komt te vallen of van welke afdeling hij onderdeel is, is Kohnstamm duidelijk. ‘Hij is onderdeel van de compliance-afdeling en valt onder de verantwoordelijkheid van de ceo. Daarnaast zal hij veel te maken hebben met de chief information security officer (ciso). Ik vind niet dat die twee functies met elkaar concurreren of dat in hun verantwoordelijkheden teveel overlap zit. Een ciso zal zich vooral richten op Artikel 13 van de Wet bescherming persoonsgegevens dat gaat over beveiliging. Het is bijna onmogelijk dat een systeem 100 procent veilig is. Een organisatie moet er bij het ontwerp van een systeem voor zorgen dat bij wijze van spreken alleen doorgewinterde hackers zich toegang zouden kunnen verschaffen tot het systeem. Bovendien moet de organisatie er ook voor zorgen dat er met encryptie wordt gewerkt. Daarnaast moeten alleen daarvoor bevoegde en geautoriseerde mensen toegang hebben tot gegevens. En dit moet ook worden gelogd.’
De privacy officer zal vanuit zijn rolbreder naar de bescherming van persoonsgegevens kijken. ‘Bijvoorbeeld of ze niet met veel minder data toe kunnen, of betrokkenen juist en helder worden geïnformeerd en of er een rechtsgrond is. Ook geeft hij advies over een systeem ter voorkoming van datalekken.’
Wat te doen als de ciso en de privacy officer botsen? Kohnstamm wijst erop dat het goed zou zijn als beiden onder verantwoordelijkheid van de ceo. ‘De top zou moeten beseffen dat als de privacy niet goed gewaarborgd wordt, er grote claims of boetes dreigen. Zulke zaken horen op het bordje van de ceo thuis. Overigens denk ik dat de ciso en de privacy officer weinig zullen botsen, want ze hebben hetzelfde belang. Beiden willen de klant zo goed mogelijk bedienen, het vertrouwen van klanten behouden en beiden zitten niet te wachten op torenhoge boetes.’
Rol ict-manager
En wat is dan de rol van de ict-manager in het geheel? Die moest al samenwerken met de ciso en daar komt nu ook nog eens een privacy officer bij. Kohnstamm weet het wel. ‘De ict-manager moet zorgen dat er voldoende technische middelen zijn en moet goed luisteren naar de privacy officer. Hij moet hem niet als lastpak zien, want de privacy officer is er niet ‘to spoil the fun’. Humor is daarom ook een belangrijke eigenschap van de privacy officer, naast het feit dat hij een meedenker moet zijn. Hij moet geen nee-zegger zijn en kijkt vooral wat de mogelijkheden voor de organisatie zijn. Organisaties moeten nadenken voordat ze doen en moeten ook nadenken als ze doende zijn.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 3 van maart 2015.
Biografie
Jacob Kohnstamm is sinds 2004 voorzitter van het College bescherming persoonsgegevens. Van 2010 tot en met 2014 zat hij ook de zogeheten Artikel 29-werkgroep waarin alle Europese privacytoezichthouders zijn vertegenwoordigd, voor. Van 1981 tot en met 2004 was Kohnstamm actief in de landelijke politiek. Dit was als lid van D66 in de Eerste en Tweede Kamer, als partijvoorzitter van deze partij en als Staatssecretaris van Binnenlandse Zaken. Daarvoor was Kohnstamm advocaat.
Naamswijziging CBP
Er is een voorstel in de Tweede Kamer aangenomen om de naam van de organisatie te veranderen. Binnenkort wordt de naam College bescherming persoonsgegeven omgedoopt in Autoriteit persoonsgegevens. Deze nieuwe naam sluit beter aan bij de taken van het CBP, te weten het onderzoeken en handhaven van de privacywetgeving, zo nodig door middel van boetes.
Privacy officer
Volgens adviesbureau PwC heeft 17 procent van de Nederlandse organisaties op dit moment een privacy officer benoemd. Ruim 25 procent is zich niet bewust dat deze ‘functionaris gegevensbescherming’ verplicht wordt.
Meldplicht datalekken
De ‘Meldplicht datalekken’ is al aangenomen door de Tweede Kamer. Nederlandse bedrijven moeten vanaf volgend jaar datalekken melden bij het College bescherming persoonsgegevens. Adviesbureau PwC stelt dat slechts 12 procent goed tot zeer goed is voorbereid om aan deze verplichting te voldoen.
CBP vs. NCSC
Het College bescherming persoonsgegevens kan op nationaal niveau gezien worden als een soort privacy officer. Het Nationaal Cyber Security Centrum (NCSC) kan worden gezien als de chief information security offcier (ciso). Het NCSC ziet zichzelf misschien niet per seals privacybeschermer, maar het CBP ziet dat wel zo. Het CBP heeft een handhavende en het NCSC een adviserende rol.
IAPP
De International Association of Privacy Professionals (IAPP) is een Amerikaans platform waarop professionals zich inspannen om organisaties te helpen met het beheersen van hun risico’s en het beschermen van hun data. Het platform claimt de grootste privacycommunity in de wereld te zijn. Volgens CBP-voorzitter Kohnstamm heeft de community 15.000 leden. Kohnstamm ging begin maart 2015 naar de Verenigde Staten om vertegenwoordigers van deze community te ontmoeten en om ervaringen uit te wisselen hoe beter het privacyvak kan worden uitgeoefend.
