Privacy in de praktijk 1: Privacy op de werkvloer het beste: met de wortel of de stok?

DANCEMUZIEK

MAGDALENA: Privacy op de werkvloer: liever de wortel of de stok?
ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.
In deze podcast van Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met Functionarissen Gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag zitten er weer twee toppers aan tafel, zo leuk.
Functionaris Gegevensbescherming Magdalena Magala
bij de gemeente Zaanstad, welkom.
-Dank.
ROBIN: En inmiddels een goede vriend, want je treedt in meerdere podcasts op
Bart Schermer, partner en oprichter bij Considerati.
Wat was dat ook alweer?
-Een juridisch adviesbureau
en public affairs-kantoor voor de digitale wereld
en wij focussen ons op privacy en gegevensbescherming.
ROBIN: Oké, nou, ben benieuwd.
Magdalena, collega's belonen of bestraffen?
MAGDALENA LACHT ROBIN: Dat is een lekker dilemma, dit.
Is dat een herkenbaar dilemma voor jou?
-MAGDALENA: Ja, zeker.
MAGDALENA: Ik ga liever voor belonen dan voor bestraffen.
ROBIN: Dat willen we natuurlijk allemaal.
-LACHEND: Ja, nee, ik ehm...
Ja, waar je tegenaan loopt in de praktijk is dat...
Je wil natuurlijk als FG gewoon vooraf betrokken worden bij dilemma's
en niet achteraf gaan slaan met die stok.
ROBIN: Oké, en als je het hebt over jouw specifieke rol als FG bij Zaanstad
wie zijn dan eigenlijk jouw... wie zitten er op jouw werkvloer?
MAGDALENA: Ja, de ambtenaren natuurlijk, de burgemeester
en de raad en het college, dat zijn de eindverantwoordelijken
de directie die ik toch wel elk kwartaal spreek
maar ja, we doen het allemaal natuurlijk voor de inwoners van de stad.
ROBIN: Ja, uiteraard, je doet het voor de gemeente Zaanstad uiteindelijk.
Maar ik kan me voorstellen dat je op verschillende borden schaakt.
Heb jij... Voor wie moet je het strengst zijn af en toe?
MAGDALENA: Ehm... Ja, dat ligt er een beetje aan per casus, hè.
Ik bedoel, als je vooraf al betrokken bent
dan ben je minder streng omdat er van tevoren over is nagedacht, over privacy.
ROBIN: Dus ze hebben het zelf in de hand.
Als ze een boze Magdalena willen, moeten ze je niet erbij betrekken.
MAGDALENA: Nee, exact. Nee, we hebben gelukkig heel veel fijne collega's
en privacy-ambassadeurs op de werkvloer
die precies weten wat er speelt en aan de bel trekken
als er issues zijn waar toch persoonsgegevens bij betrokken zijn.
ROBIN: Herkenbaar dilemma, Bart?
Moet je nou streng zijn, moet je aanpakken of moet je eigenlijk lief zijn?
BART: Dat hangt heel erg af van met wie je te maken hebt.
Je kan het heel grof onderverdelen in de onwetenden en de onwilligen.
Bij de onwetenden, met name, is het een kwestie van bijbrengen
waarom is privacy en gegevens- bescherming belangrijk, wat zijn de regels
en ze helpen om hun werk goed te kunnen doen.
En bij onwilligen moet je misschien meer streng zijn
omdat die bewust om je heen werken
of om vijf voor twaalf zich een keer melden met een DPIA
en maandag moet het echt live want er staat druk achter.
Daar zul je meer op je strepen moeten staan
en duidelijker afbakenen 'zo gaan we niet met elkaar om.'
ROBIN: O, dus je moet ook een soort...
Als FG moet je ook een soort characters gaan judgen.
Je moet echt gaan inschatten van 'ben je nou onwillig of onwetend?'
BART: Ja, en wat ik ook wel doe, ik geef ook cursussen voor FG's
is met de kleuren van mensen: heb ik te maken met een blauw persoon...
ROBIN: Ook dat nog? MAGDALENA LACHT
BART: Ja, je moet ook gewoon een judge of character zijn.
ROBIN: Magdalena, heb jij liever een onwillige of een onwetende burgemeester?
Bijna weer een ander dilemma. GELACH
MAGDALENA: Nou ja, ik sluit me hierbij aan.
Je bent als FG een soort kameleon in de organisatie.
Je moet je steeds aanpassen aan de mensen die je voor je hebt.
Je zal iemand die aan de balie staat
die gaan met praktische zaken om, die moet je anders benaderen.
ROBIN: Kun jij een casus schetsen uit jouw praktijk
waarbij je echt even lastig vond van 'welke toon moet ik hier nou aanslaan?'
MAGDALENA: Nou, ja, ik denk met cameratoezicht.
Heel veel gemeenten hebben cameratoezicht
maar dat betekent niet dat er een DPIA op is gedaan, in Zaanstad overigens wel.
ROBIN: Uiteraard.
-LACHEND: Maar eh, ja...
MAGDALENA: Op zich is daar een grondslag voor, we mogen het doen
maar je moet er wel goed over nadenken en die risico's in kaart brengen.
En dat wordt nog te weinig gedaan.
Het begint nu langzaam te komen, hè, dat ehm...
ROBIN: En wat maakt het dan lastig welke toon je moet aanslaan?
Want het gaat er volgens mij om
als het gaat over zaken waarbij niet helemaal duidelijk is
of waarbij je nog een beetje aan het pionieren bent
dat je als FG misschien niet zo heel goed weet 'hoe ga ik dit nou spelen?'
Waar zit 'm dan de crux dat het ingewikkeld wordt welke toon je moet aanslaan?
MAGDALENA: Nou, ik denk dat mensen wel weten...
Cameratoezicht, dan ga je natuurlijk mensen opnemen en beelden zien
maar hoe dan, dat is wat je zegt, die onwetendheid
van 'hoe ga je dat dan doen' daar moeten we nog stappen in zetten.
Daar hebben we de privacy-ambassadeurs voor
die mensen kunnen helpen om een checklist in te vullen.
Eigenlijk, als er mensen bij mij komen, dan vragen ze:
Mag ik dit wel of niet verwerken?
Dan vraag ik ze een checklist in te vullen. Ga maar nadenken.
Wat is het doel, wat is de grondslag, wat heb je nodig, heb je dit écht nodig?
En vergeet ook niet de ethische vragen: willen we dit eigenlijk wel?
Want dat wordt wel vaak vergeten.
ROBIN: Maar die liggen natuurlijk meer bij de burgemeester en bij de raad.
MAGDALENA: We hebben feitelijk verantwoordelijkheid bij de directie
en als het heel spannend wordt dan betrek ik de burgemeester en college erbij
en het fijne is wel dat ik me vrij voel om te schakelen.
Ik ben ook assertief, dus ik vind het ook niet zo erg...
ROBIN: Ik heb het in de gaten, ja. GELACH
MAGDALENA: Ja, nou ja, goed en dat betekent dus ook
je moet weten wat voor kleuren je in de organisatie hebt
maar je moet ook op je strepen kunnen staan en waar nodig escaleren.
ROBIN: Is dit herkenbaar, cameratoezicht en dat het dan spannend wordt
en dat je dan moet gaan kiezen: wanneer sta ik op m'n strepen...
Is dat het soort dilemma dat jij herkenbaar vindt, Bart?
BART: Zie ik inderdaad bij bijna alle organisaties waar ik kom.
Ik denk wat Magdalena aangeeft, dat is een hele belangrijke, van 'willen we dit?'
En als we dit willen, wat willen we dan precies?
Dan is je rol als FG om te zorgen dat de organisatie het doel kan bereiken
maar wel met respect voor privacy en gegevensbescherming.
Dus het is... Je hebt ook in die zin een gidsrol en die kan heel positief zijn.
Dat is echt de wortel, jij helpt de organisatie het zo goed mogelijk te doen.
Want aan het eind van de dag, die ambtenaar of die medewerker
die gaat het op z'n bord krijgen als het fout gaat, niet de FG.
ROBIN: Dus als het spannend dreigt te worden moet je echt erbij blijven
van 'willen we werkelijk...' Dan moet je scherp in de wedstrijd zitten.
Heb jij nog een casus, Bart, waarvan je denkt 'hier is het echt ingewikkeld'?
Moet je nou met de stok erin of met de wortel?
Moet je nou streng zijn of moet je een beetje lief zijn? Heb jij een casus...
BART: Ja, er zijn er talloze.
Eén waar ik toevallig recentelijk bij betrokken was ging over dronetoezicht.
En wat het spannende eraan is: het gaat om belangrijke dingen.
Het gaat om veiligheid, het gaat om het naleven van wet- en regelgeving
en jij staat daar als FG, als je het niet goed doet, misschien tegenover.
Het kan heel snel zijn dat de verkeerde perceptie binnen de organisatie komt:
jij probeert ons doel van de organisatie moeilijker te maken.
'Jij wil niet innoveren, jij wil niet het toezicht verbeteren.'
En dat moet je denk ik echt voorkomen.
Dat is een soort van spel tussen 'ik moet goed meewerken met de organisatie
ik moet de organisatie helpen haar doelen bereiken'
maar tegelijkertijd zie ik ook bij organisaties, wat ook heel goed werkt
je moet ook de eindbaas van het computerspel zijn.
Mensen moeten wel respect hebben voor jou als FG
dat ze niet met onzin naar je toe komen
maar dat ze, als het ware, een beetje bang voor je zijn
want dan gaan ze beter nadenken.
Dus: 'als we naar de FG gaan dan moet het wel goed zijn.'
ROBIN: Ben jij de eindbaas? MAGDALENA LACHT
MAGDALENA: Ik ben het met je eens, want de randvoorwaarden, die privacy
je wil gewoon zorgen dat het verbeterd wordt.
Dat je uiteindelijk, bij gemeenten, een betrouwbare overheid bent
en dit is een randvoorwaarde, dus je moet hier rekening mee houden.
En de eindbaas, nee, ik ben niet de eindbaas.
De eindbaas is de eindverantwoordelijke, want die krijgt de boete, niet ik
dus eh, als het mis gaat.
-ROBIN: Ik denk dat Bart vooral bedoelt
eindbaas als het gaat over privacy en de bescherming van privacy.
Want dat is natuurlijk jouw rol als sheriff van de privacybescherming.
En dat gaat over die burgers, dat gaat helemaal niet over de raad.
Het gaat over de mensen over wie het gaat, toch?
Daar sta jij voor.
Kun je dan schetsen in welke situaties ben je dan echt streng
en wanneer is het toch de wortel?
MAGDALENA: Nou, kijk, ik denk dat in het verleden
in 2018, toen die AVG in werking trad, we hadden al de Wbp, daar niet van
maar in 2018 gingen de gemeenten echt aan de slag.
Nou, ik heb wel meegemaakt...
In het begin ben je een FG, kwartiermaker, Privacy Officer
alles in één, dus je was echt met alles bezig.
Maar op een gegeven moment zei ik wel tegen de organisatie:
Ja, ik heb nu een soort voortgangsrapportage
maar m'n volgende rapportage is een toezichtsrapportage.
Succes ermee. Wat gaan jullie doen? Laat maar zien.
En daar ben ik wel echt op m'n strepen gaan staan.
Dus ik ben geen taken meer gaan doen van de Privacy Officer of adviseur.
Ik ben echt veel meer in de toezichthoudende rol gaan zitten.
En je moet dan de organisatie laten voelen. Is niet leuk.
Ik bedoel, uiteindelijk ga je een andere baan zoeken misschien.
ROBIN: Maar dan zeg je eigenlijk: een van de oplossingen voor dit dilemma...
Werk een beetje aan je zelfbewustzijn.
Wat is m'n rol binnen de organisatie en welke rol wil ik oppakken?
En die ga ik dan ook uitdragen. Dat maakt het al makkelijker om keuzes te maken.
Is dat een begin van een oplossing van dit dilemma?
MAGDALENA: Ja, zeker. Ja.
ROBIN: Bart, mee eens?
-BART: Ja, eens.
BART: De AVG heeft eigenlijk een rare hybride gemaakt van de FG
van een adviseur en een toezichthouder.
Als je dat niet goed inricht en ook niet goed je eigen rol snapt
kan het heel snel zijn dat je als slager je eigen vlees gaat keuren.
ROBIN: Overigens hebben we hier ook een leuke podcast over:
moet je als FG ook CISO zijn?
Dat is een ander dilemma, gaan we het een andere keer over hebben.
BART: Je moet dus snappen wat je rol is
en die rol gaat op een gegeven moment ook veranderen
naarmate de organisatie volwassener wordt, zoals Magdalena aangeeft.
In het begin was de AVG helemaal nieuw, dan zit je meer in die adviesrol.
En op een gegeven moment wordt jouw rol als FG veel meer een toezichtsrol
en zijn er anderen binnen de organisatie, de verwerkingsverantwoordelijken
dus de Privacy Officers, de ondersteunde mensen qua privacy in de organisatie
die gaan die adviezen geven en jij hebt als FG dan meer die toetsende rol
als laatste stok achter de deur, om het zo te zeggen.
ROBIN: Maar die toetsende rol, dat nodigt ook uit tot een kritischere rol.
Dat je gewoon de uiteindelijke sheriff bent die gewoon ja of nee zegt, toch?
Dat riekt naar strengigheid.
-BART: Het is niet zozeer ja of nee zeggen
het is jouw advies of jouw interpretatie als FG
over datgene wat de verwerkingsverantwoordelijke wil doen.
En dat advies geef je aan de verwerkingsverantwoordelijke.
Die mag dat ook in de wind slaan, dat is het goed recht van diegene.
Als die een andere risico-afweging maakt dan jij als FG, dan kan dat.
ROBIN: Dit voelt voor mij toch lastig, want dat is toch onacceptabel eigenlijk?
Als zij een andere afweging maken...
-BART: Dat is wat de AVG zegt.
BART: De AVG zegt: Je bent een adviseur en toezichthouder
maar je moet je niet in de rol van de verwerkingsverantwoordelijke begeven.
Dus op het moment dat jij oordelen gaat maken over 'dit mag wel' of 'dit mag niet'
dan ga je beslissingen nemen over de verwerking van persoonsgegevens
en neem je dus de rol van de verwerkingsverantwoordelijke aan.
En dat moet je denk ik te allen koste voorkomen als FG.
Jij geeft het beste advies en dat advies moet zeer serieus worden gewogen.
De AP zegt ook: Als een organisatie moedwillig dat advies in de wind slaat
dan is dat voor ons een reden een hogere boete te geven.
De organisatie moet je heel serieus nemen
maar als ze jouw advies in de wind willen slaan, is dat hun goed recht.
ROBIN: Hoe zie jij de rol van de FG?
-MAGDALENA: Ja, eens.
MAGDALENA: Het is een zwaarwegend advies, het is niet zomaar een advies
dus ze moeten daar wel echt goede redenen hebben om af te wijken.
Dus, ja, nee, daar ben ik het helemaal mee eens, daar zit gewoon de knip.
ROBIN: Oké, resumerend: straffen of belonen op de werkvloer
als het gaat over privacy: hoe pak jij hem op?
Wat is wat jou betreft de oplossing?
-MADGALENA: Het is balanceren.
MAGDALENA: Ik bedoel, je probeert zo veel mogelijk aan de voorkant
betrokken te worden, weten wat er in het werkveld speelt.
Indien nodig opschalen en inderdaad met de stok in de weer
maar uiteraard liever de wortel.
Ik denk dat het heel belangrijk is, wat Bart zei, gidsrol...
Het is een eenzame rol, je bent de enige in de organisatie.
Dus probeer vooral niet het wiel uit te vinden
want echt, een probleem bij de gemeente speelt vast ook bij een andere gemeente.
Dus trek met elkaar op. Wij trekken met de FG's in de regio
maar ook landelijk hebben we intervisies...
Trek met elkaar op en don't take it personal, dat is vooral, denk ik...
Het is soms een lastige rol, maar je doet gewoon je werk, en klaar.
ROBIN: Je roept ook een paar adviezen
die bij meerdere dilemma's van nut kunnen zijn, hè.
Bijvoorbeeld het advies 'zorg dat je aan de voorkant betrokken bent'
dat geldt volgens mij voor een heleboel dilemma's waar we het over hebben.
Wees jezelf bewust van je rol en bemoei je er vroegtijdig mee
en zorg dat ze snappen wie je bent en wat je doet.
Maar dan terugkomend op het dilemma, jij zegt eigenlijk:
Aan de voorkant zolang het kan de wortel.
-MAGDALENA: Ja.
ROBIN: Gewoon meedenken...
-MAGDALENA: Zeker.
ROBIN: En als ze dan niks ermee doen aan het einde van de rit
als ze niet luisteren naar dat advies, dan nog even rammen met die stok.
MAGDALENA: Je geeft dan bijvoorbeeld bij een DPIA een negatief advies
en dan vinden ze dat misschien niet leuk, maar je houdt gewoon voet bij stuk.
ROBIN: Is dat een beetje ook jouw houding, Bart?
BART: Helemaal. De wortel zit hem in dat mensen jou moeten kunnen vinden
en weten van 'dat is een goeie, die kan mij goed adviseren
om deze toepassing zo goed mogelijk te maken.'
'Ik kan m'n doelen bereiken maar ook privacyvriendelijk', dat is wat je wil.
Dan beloon je als het ware de organisatie.
En als ze dat niet willen of ze kunnen dat niet
dan moet je gewoon die stok achter de hand hebben.
En die is denk ik ook belangrijk om serieus genomen te blijven.
Het is niet dat je een soort gratis adviesbaak bent
en als het advies niet aanstaat dat je dan door kan.
Je moet serieus genomen worden, dus stok achter de hand.
ROBIN: Tot slot, wat voor mogelijkheden heb je dan
als het komt tot dat je je knuppel moet trekken?
Wat doe je dan? Hoe doe je dat?
BART: Wat Magdalena aangaf, een negatief advies bijvoorbeeld op zo'n DPIA
of in je rapportage over de compliance binnen de organisatie aangeven
dat de compliance niet oké is.
En dat geef je aan de hoogste leidinggevende binnen de organisatie
en die krijgt daarmee ook het aapje op de schouder
om daarmee wat te gaan doen.
-ROBIN: Oké.
ROBIN: Tot slot aan jou dezelfde vraag eigenlijk: stel dat het zover komt
je hebt adviezen gegeven, oké dan toch die stok erbij...
MAGDALENA: Ja, kijk, één keer per jaar rapporteer je naar het college.
In het jaarverslag komen de aanbevelingen
en het is uiteindelijk aan de organisatie om het wel of niet op te pakken.
Dus kies wel je momenten.
Probeer, als je bij de directie zit, om daar aan te kaarten wat er mis gaat
wat er beter kan, want zij moeten erop sturen.
Dus pak je momenten ook, pak het podium.
ROBIN: Nou, dank je wel, Magdalena Magala en Bart Schermer.
Luister ook de andere afleveringen van Privacy in de praktijk terug.
Het is leuk. Ga hiervoor naar cip-overheid.nl/uitgelicht.