Het once-onlyprincipe – het 'slechts eenmaal'-beginsel waarbij de overheid burgers maar één keer om informatie vraagt – staat op gespannen voet met de Algemene Verordening Gegevensbescherming (AVG; ook GDPR genoemd). Binnen de Europese Unie (EU) vinden sommige chief information officers (cio's) op rijksniveau het principe zelfs onverenigbaar met de nieuwe Europese privacyregelgeving. Dat zegt de Nederlandse cio Rijk Hans Wanders.
De Europese verordening GDPR (General Data Protection Regulation), is aangenomen op 14 april 2016. Partijen die persoonsgegevens verwerken krijgen twee jaar om aan de regels uit de GDPR (in Nederland AVG, als vervanging van de Wet Bescherming Persoonsgegevens) te voldoen. Op 25 mei volgend jaar dient elke organisatie GDPR-bestendig te zijn.
De Nederlandse overheid is bezig met het ontwikkelen van een nieuwe Baseline Informatiebeveiliging Rijksdienst (BIR) en het implementeren binnen de Rijksdienst van nieuwe Europese privacywetgeving, gebaseerd op de GDPR. Deze is deels voortgekomen uit het eGovernment Action Plan 2016-2020 dat als doel heeft digitale barrières tussen EU-landen weg te nemen.
‘In Europa hebben we met elkaar het once-onlyprincipe vastgesteld: wij willen als overheid maar één keer burgers om informatie vragen. Maar we hebben ook de AVG vastgesteld, die ons verbiedt om zonder toestemming die informatie met elkaar te delen. Dat is best lastig en kun je alleen maar oplossen in een systeem waarbij de burger volledig aan de knoppen zit’, constateert Rijks-cio Hans Wanders in een interview met GOV, het huisorgaan van ict-dienstverlener Atos over de digitale overheid.
Aan de knoppen
Zo’n systeem is technisch ingewikkeld en iets waar alle landen problemen mee hebben, stelt Wanders vast. ‘Sommigen van mijn Europese collega’s zijn zelfs van mening dat de AVG en het once-onlyprincipe onverenigbaar zijn. Ik denk dat er zaken mogelijk zijn, maar er zit wel degelijk spanning in. Binnen de wet moeten we proberen de burger het zo gemakkelijk mogelijk te maken.’
Hoe Wanders dit spanningsveld denkt op te lossen, is nog niet duidelijk maar komt hoogstwaarschijnlijk aan de orde bij de herziening van de Strategische I-agenda Rijksdienst die sinds 2016 wordt aangehouden. ‘We gaan hem jaarlijks herzien. We zullen in het CIO-beraad van juni een nieuwe vaststellen. Er lopen op dit moment allerlei discussies met departementen over de agenda van driekwart jaar geleden, wat ze daar nu van vinden en wat ze zouden willen actualiseren’, aldus Wanders.
Hans Wanders is sinds 1 maart 2015 cio Rijk en verantwoordelijk voor de samenstelling van de nieuwe Strategische I-agenda Rijksdienst, die samen met leden van het CIO-beraad en de CTO-raad tot stand is gekomen. Het is een overkoepelende agenda met als doel rijksbreed meer samenhang te brengen in de departementale-plannen op ict-gebied en te komen tot het meer delen van kennis en ervaringen.
Lees verder het interview ‘Strategische I-agenda Rijksdienst: aandacht voor ‘I’ in primaire proces’: in GOV. Magazine over de digitale overheid.
Het betekent vooral dat de toestemming die je vraagt en het aantal partijen waarmee je deelt veel groter worden. Er is geen fundamenteel probleem en het gaat ook vooral om de geest achter de verordening.
Ondanks de complexiteit, is hier echt wel een mouw aan te passen, dat er spanning bestaat lijkt me wel evident…. zonder wrijving geen energie 🙂