CIO Platform Nederland heeft een brandbrief gestuurd aan Autoriteit Persoonsgegevens (AP). Daarin roept de vereniging de AP op om samen met Europese collega-toezichthouders een programma op te zetten dat helpt om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG/GDPR).
CIO Platform Nederland vertegenwoordigt grote bedrijven en gebruikers van digitale technologie in Nederland, verdeeld over een groot aantal sectoren. De vereniging telt inmiddels 125 leden, waaronder de politie, ABN Amro, KLM, de NS en ministeries en gemeenten.
Aanleiding voor de brief is de casus van de zogenaamde Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk), waarover de minister van Justitie en Veiligheid al enkele malen heeft gecommuniceerd. Volgens het platform laat deze kwestie zien dat de tijd en kosten die gemoeid zijn met het op orde krijgen van programmatuur en overeenkomsten van alleen al de handvol betrokken producten en diensten van deze ene leverancier, enorm zijn. Als die ervaring wordt doorgetrokken naar alle leveranciers, hun producten, diensten en voorwaarden en naar alle klanten – die volgens de AVG/GDPR veelal verantwoordelijk zijn – dan is het onbetaalbaar en onbegonnen werk om aan de AVG/GDPR te voldoen, luidt een conclusie in de brandbrief. In de brief stelt CIO Platform Nederland nu voor om een programma op te zetten dat moet leiden tot het beter voldoen aan de AVG/GDPR van veelgebruikte softwareproducten en -diensten en de daarbij behorende voorwaarden.
‘In het belang van gebruikers, leveranciers, toezichthouders én de personen waarvan data worden verwerkt, is het wenselijk dat het toetsen en aanpassen van programmatuur en voorwaarden in één keer goed gaat voor alle gebruikers in Europa. Dat vergt gezamenlijke actie door de Europese toezichthouders verenigd in de European Data Protection Board’, schrijft CIO Platform Nederland.
Het lijkt erop dat de meeste bedrijven veel te laat zijn begonnen met het serieus namen van AVG/GDPR. De maatregel was al heel lang voor de inwerkingstreding aangekondigd. CIOs die hun werk serieus nemen hadden toen al maatregelen kunnen definieren en er geld voor reserveren.
Nu kennelijk de eerste boetes dreigen binnen te vallen beginnen de CIOs het probleem serieus te nemen maar komen erachter dat ze veel en veel te laat zijn. Nu opeens hebben ze een probleem die ze kwijt moeten. De standaard manier van managers is: delegeren, “ik maak van mijn probleem jouw probleem”, afschuiven.
Te laat, pech, CIO trek je conclusie, de rest van de board en de raad van bestuur moet ook de knopen tellen (want hadden de CIO moeten bevragen). Leuk dat jullie de hoge beloningen rechtpraten met “oh, wat hebben we veel verantwoordelijkheden”, maar zodra je ter verantwoording worden geroepen moet je erkennen dat je de verantwoordelijkheid kennelijk niet serieus genomen hebt. Wie de billen brandt….
Als ze dat vinden hadden ze allicht 7 jaar geleden al moeten starten met het voorbereiden. Natuurlijk zullen sommige eisen onoverkomelijk zijn maar dit hadden ze echt wel wat eerder kunnen zien aankomen.
Deze specifieke casus laat ook zien hoe diep grote techbedrijven in hun haast ongebreidelde honger naar onze gegevens de laatste decennia doorgedrongen zijn in ons dagelijkse doen en laten. Misschien was het gewoon tijd voor een correctie op die schier eindeloze en vanzelfsprekende verzameldrift.
En blijkt de GDPR daar een heel effectief instrument voor te zijn! En ja, dan is de eerste keer dat dat instrument succesvol wordt ingezet vast even wennen voor de beroepsgroep. Ik zou zeggen, get over it en pas je aan aan de nieuwe realiteit.
Na eerst MKB Nederland komt nu CIO Platform Nederland opnieuw met een ridicule en genante afschuifactie.
Blijven roepen “onbetaalbaar en onbegonnen werk om aan de AVG/GDPR te voldoen” is alleen maar een bevestiging dat deze CIOs jarenlang hebben zitten snurken en niet op hun taak berekend zijn, en dús betaald worden voor iets dat ze niet leveren.
De AVG is alleen maar een verscherping van hetgeen onder WPR/WPG reeds jaren verplicht was. En dat heeft verder niets te maken met het gedrocht Microsoft.
Voor compliant bedrijven een fluitje van een cent.
Meest merkwaardige is nog dat het de CIOs zijn die hier klagen, in plaats van de betrokken FGs.
Het is dat de AP beweert onderbezet te zijn, anders zou het een simpele exercitie zijn om dit stelletje incompetente ‘bestuurders’ even de maat te nemen.
Op de lagere school leerde je al dat je, als je je huiswerk niet had gedaan, je vooral niet je vinger op moest steken. Slimme onderwijzers gaven je juist dán een beurt.
Je huiswerk niet doen hoort consequenties te hebben.
Voorlopig komen deze losers er nog steeds mee weg, hetgeen ze alleen maar sterkt in hun houding.
Tja. Ik begrijp de reactie.
Als je een probleem hebt, dan zoek je naar de kortste weg. In dit geval: Zeggen dat de regelgeving niet voldoet. Dat het allemaal te duur wordt.
De complexiteit zit hem in de details.
1. De grote techbedrijven hebben gegevenshonger. En die is uit de hand gelopen. De gegevenshonger is nu in de applicaties geprogrammeerd. Niet (hoogstens soms) ten dienste van de afnemer. Vooral om het verdienvermogen van de techbedrijven te vergroten. Het verzamelen van al die (persoons)gegevens is echt een keuze van de grote techbedrijven geweest. En ook die hebben de AVG zien aankomen.
2. De Nederlandse overheid (en veel bedrijfsleven) wil graag bij de bekende software blijven. Dat betekent dat men de Microsoft producten wenst te gebruiken. Ook ik ben erg gecharmeerd van de producten van Microsoft (en die van Apple, Google, etc). Die zijn uitermate goed in hun eigen ecosysteem geintergreerd. daar heb ook ik echt veel bewondering en waardering voor. Nadelen hiervan zijn een vendor-lock-in en inmiddels ook de gegevenshonger van die bedrijven.
3. Maar/En. Juist bullit 1 is aanleiding om de persoonsgegevens te beschermen. Die techbedrijven gebruiken de gegevens niet alleen voor verbetering diensten, niet alleen om hun klanten beter te leren kennen, niet alleen om hun eigen reclame te kunnen adresseren. Men gebruikt de gegevens ook om advertenties door derden te laten verzorgen. De grootste betaler krijgt de eerste kans. Ook de prijsstelling van een product is afhankelijk van de profiling van de gebruiker. Heb je een Iphone, dan is de verzekering, de reis, de… duurder. Woon je in een bepaald gebied dan ……
4. Tav bullit 2. Europese leveranciers (softwaremakers) lopen achter op de Amerikaanse markt omdat het taalgebied veel complexer is, de juridische voorwaarden per land anders zijn, etc. etc. Europese leveranciers krijgen hierdoor hoegenaamd geen kans (tenzij een niche markt). Dit wordt versterkt doordat techneuten van Nederlandse organisaties met cursussen, opgedane kennis, gemak, etc steeds opnieuw wordt verleid om steeds opnieuw voor de grote techreuzen te kiezen (dit is een cultuur-element geworden).
Beste CIO’s. Ik ken een nog kortere oplossing.
1. Ga over op Open Source producten. Er zijn voldoende volwassen producten op de markt. Soms zelfs beter dan de gesloten pakketten. En mestal kan je eigen functionaliteit laten toevoegen (die ook weer ten goede komt aan alle gebruikers). De Open Source wereld heeft veel minder last van lange termijn eigen-gerichte strategieen dan de gesloten wereld. Daarmee krijgen Europese bedrijven een betere kans. Daarmee wordt de marktmacht van de techreuzen gebroken. Als je de Microsoften van deze wereld vertel dat je voorneemt om over te stappen, dan gaan ze niet meer bij je klagen dat het allemaal duur wordt. Dan zorgen ze dat het gewoon ook voldoet aan de Europese wetgeving en normen.
2. Ga over op Open Source producten. Regel het implementeren en onderhoud in met contracten waarvoor je het aantal gebruikers niet hoeft te tellen (bijv op basis van het aantal service vragen). Als je het niet meer hoeft te tellen voor licenties of onderhoudscontracten, dan wordt ineens het administratieve beheer veel gemakkelijker (beperking management/beheerkosten). Dan kan de techneut de verschillende applicaties klaar zetten voor de gebruiker (self-service). Dan zijn er geen wachttijden meer (wachtkosten). En de gebruikerstevredenheid gaat ineens met sprongen vooruit. Uiteindelijk (als je alles meerekent) zal Open Source voor de maatschappij (en dus voor u) goedkoper zijn dan closed source.
3. Ga over op Open Source en organiseer daarvoor dat de eigen techneuten (en beslissers) daarvoor zijn opgeleid en draag daartoe zelf ook de lange termijn visie uit. Dit heeft bij eerdere initiatieven ontbroken.
Beste CIO. Ik daag u uit voor een paradigma verandering. Zelf ben ik een verwend en vervend Microsoft gebruiker. Ik ben te lui om over te stappen, maar ik doe dat onmiddelijk als u de andere keuze maakt. En dus durf ik dit best te zeggen.
Beste CIO. Stop met janken en neem de consequentie voor het gedrag van uw closed source leverancier. Als een techreus een beslissing neemt, dan mag u best uw keuzes aanpassen aan dat gedrag. Doet de techreus niet (en dat is bewust) wat nodig is voor uw belang (in dit geval de AVG), dan mag u best naar een ander.
Veel eenvoudiger kan ik het niet zeggen.
De betreffende brief is blijkbaar alleen te lezen door leden en het is opmerkelijk dat een vereniging – met als doel een belangbehartiging van de leden – het lijdend onderwerp van gesprek vergeet. De AVG/GDPR is er niet voor gebruikers, leveranciers en toezichthouders maar om – zie grondwet – de persoonlijke levenssfeer te eerbiedigen van burgers:
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op een eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Bovenstaande is allesbehalve nieuw en ik sluit me daarom aan bij de algemene teneur van reacties want naar alle redelijkheid en billijkheid kan er niet verwacht worden dat de burger zich lijdzaam schikt naar de grillen van bestuurders die roepen dat het respecteren van de grondwet onbetaalbaar en onbegonnen werk is. De burger slaat momenteel dan ook terug en deze klappen gaan aankomen als ik kijk naar de dwangsommen – geen boetes – die reeds door Autoriteit Persoonsgegevens zijn opgelegd aan alle organisaties die weigeren aan (grond)wettelijk rechten te voldoen.
Gisteren al een scherpe reactie gestuurd.
Teneur is: als Microsoft dit niet kan, dan maar naar een ander.
Open Source Linux/ Libre Office (en anderen) kunnen dit wel.
AVG problemen oplossen met open source … een rare combi in mijn optiek. AVG gaat om welke gegevens je verzamelt, wat je bewaart en wat je ermee doet. Dat heeft niets met open- of closed source te maken maar met manieren van werken en mensen die zich aan afspraken houden.
Pak het elders genoemde AVG-schending voorbeeld met een medewerker die gevoelige gegevens in een winkelwagentje achterliet. Dat ga je met open source niet vookomen (ook niet met closed source uiteraard)
Overigens is er volgens mij nog een hele grote groep die niet blij is/was met het hele AVG gebeuren: het verenigingsleven.
Voor veel sportclubs (die doorgaans draaien op vrijwilligers) heeft de AVG het nodige extra werk opgeleverd, waarbij de uitvoerbaarheid een veel grotere uitdaging is dan in het bedrijfsleven (hoe controleer je bijv. of alle vrijwilligers die iets in een bestuur doen/deden geen gegevens op hun eigen pc hebben staan, en dat die pc niet ook gebruikt wordt door mede-gezinsleden)
PaVaKe,
De leden van verenigingen worden willens en wetens door het bestuur van verenigingen onwetend gelaten over het feit dat het winkelen in persoonsgegvens via de achterdeur geld oplevert. Gemiddelde vrijwilliger zal niet de moeite nemen om te rechercheren in open bronnen om zo te achterhalen welke poppetjes beroepsmatig vrijwilliger zijn maar belangenverstrengelingen van een (bonds)bestuurder die verenigingen bindt aan een langlopend contract met één van zijn BV’s maakt duidelijk dat de amateurverenigingen het nieuwe verdienmodel zijn. En een database met de gegevens van meer dan 3,4 miljoen Nederlanders – waarvan een groot deel om kinderen gaat – zou dan ook de serieuze aandacht van de Autoriteit Persoonsgegevens moeten hebben:
https://nos.nl/artikel/2264083-knvb-verkoopt-gegevens-miljoenen-leden-privacywaakhond-laakt-methode.html
Om een lang verhaal kort te maken, juist de leden van meer dan 8.000 amateurverenigingen hebben belang bij de AVG om zodoende de macht van de sportbonden te breken. Geld is voor deze organisaties belangrijker dan privacy, de casus van KNLTB en 40Beats – voorheen CallforClients B.V – staat weliswaar lijnrecht tegenover de AVG maar niet op zichzelf. Want een database waarin niet alleen de persoonsgegeven van 3,4 miljoen Nederlanders staat maar ook informatie over hun interesses kan vanuit allerlei politieke motivaties gebruikt worden.
Want als er maar vaak geroepen wordt dat de kosten voor privacy onbetaalbaar zijn voor verenigingen en dat het eerbiedigen ervan onbegonnen werk is dan accepteren we maatschappelijk uiteindelijk ook de consequenties ervan. De casus van de geroyeerde voetballertjes van Bladella maakt duidelijk dat de leden straks ook geroyeerd zullen worden als ze op hun rechten van eerbiediging van de persoonlijke levenssfeer gaan staan omdat de club daardoor minder geld krijgt van sponsors.