Privacy in de praktijk 4: Privacy en bestuurder, liever de wortel of de stok?

De vierde aflevering is gewijd aan het bereiken van bestuurders over privacyonderwerpen. Hoe doe je dat, met de wortel of met de stok? In gesprek over dit onderwerp zijn Hatiçe Dogan (FG bij de Sociale Verzekeringsbank) en Marjolein Louwerse (senior inspecteur bij de Autoriteit Persoonsgegevens), wederom onder leiding van host Robin Rotman. 

Privacy in de praktijk 4: Privacy en bestuurder, liever de wortel of de stok?

LEVENDIGE MUZIEK

DOGAN: Hoe benader je de bestuurder, met de wortel of de stok?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman
en namens het Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere privacydeskundigen de dilemma's die deze FG's hebben.
Vandaag te gast Hatice Dogan, zij is FG bij de Sociale Verzekeringsbank.
Jij bent de vrouw van het dilemma, leuk dat je er bent.
En Marjolein Louwerse,
senior inspecteur systeemtoezicht bij de Autoriteit Persoonsgegevens.
Zeg ik dat goed? LOUWERSE: Ja, klopt.
ROTMAN: Hatice, dat dilemma, hoe benader je die bestuurder,
met de wortel of de stok? Gaan we streng voor ze zijn,
of gaan we lief voor ze zijn?
Licht even toe waarom dat 'n belangrijk punt is om als FG over na te denken.
DOGAN: Ik zou het eigenlijk niet zo sterk stellen.
Ik zou dan zeggen: ga in gesprek met je bestuurder,
want die heeft een bepaalde visie en die wil iets.
Wat maakt dat ze dat op deze manier, zoals zij dat voor ogen hebben, willen?
En wat kan ik voor hen daarin betekenen?
De belemmeringen die zij dan zien of die ik dan zie.
Hoe kan ik dat bespreekbaar maken om tot een oplossing te komen?
ROTMAN: Maar merk je bij jezelf of bij jouw collega-FG's
dat het af en toe moeilijk is om je positie te bepalen?
Ik kan me namelijk voorstellen dat je als FG misschien de ene keer denkt:
Misschien sta ik wat meer aan de kant van de klant.
De andere keer sta je misschien aan de kant van de werknemer, van de collega's
en soms moet je met het bestuur sparren.
Ik kan me voorstellen dat je je soms gemangeld voelt
tussen de verschillende belangen.
DOGAN: Ja, het is zeker heel moeilijk, dat kan ik wel beamen.
Het is wel een eenzaam bestaan.
ROTMAN: Is het zo'n eenzaam bestaan?
-Het is een eenzaam bestaan.
Enerzijds ben je voor de belangen van de betrokkenen
om wiens gegevens dat gaat.
En anderzijds ben je in dienst van de organisatie, je bent onafhankelijk.
Ik zeg altijd: ik zit met één been bij de AP.
Dus je zit wel een soort van in een spagaat.
Dus je moet wel weten hoe je de verschillende belangen kunt afwegen
en daarover in gesprek kunt gaan.
ROTMAN: Is die spagaat herkenbaar, Marjolein?
Merk jij dat FG's in het veld vaker: 'nu moet ik kijken, waar zit ik eigenlijk?'
LOUWERSE: Ja, absoluut. We krijgen heel veel vragen.
Zo ook deze vraag van Hatice: hoe krijg ik nu eigenlijk m'n bestuurder mee?
Is het nou handiger om te verwijzen naar:
als je het niet doet, dan overtreed je de AVG
en voordat je het weet heb je een boete aan je broek hangen.
Of is het fijner om uit te leggen waarom het belangrijk is
om aan de AVG te voldoen
en op die manier te proberen je bestuurder mee te krijgen?
Ja, ik kan daar natuurlijk niet heel goed op adviseren,
want ik weet niet wat voor welke bestuurder het beste werkt.
Maar ik vind het wel heel leuk om te zien dat FG's gaandeweg
al heel erg hun weg hebben gevonden van wat in hun organisatie
en bij hun bestuurder het beste werkt en daarop aan te sluiten.
ROTMAN: Maar Hatice, is het nou dat de FG zich afvraagt:
hoe krijg ik de bestuurder mee?
Het moet toch zijn dat die bestuurder denkt:
hé man, hoe krijg ik die FG eigenlijk mee?
Dat is belangrijker, dus zullen ze bij alle plannen die ze hebben
die mogelijk iets met privacy te maken hebben, jou mee moeten krijgen, toch?
Jij bent de sheriff, jij bent de privacybewaker toch?
Dat lijkt mij wel lekker, die positie.
HATICE: Ja, het is... Ik werk bij de Sociale Verzekeringsbank.
Het is een grote organisatie en de processen zijn ingericht.
Het is allemaal wel op papier.
Aan de andere kant zijn het mensen die dat moeten doen.
En soms wordt dat door de waan van de dag
en de snelheid en de politieke wil en de wil om te helpen,
vanuit de gedachte van zorgplicht, wordt er wel snel gehandeld.
In dat geval wordt de FG soms weleens over het hoofd gezien.
En dan moet het wel achteraf hersteld worden.
Of dat de FG komt van...
de zienswijze doorgeeft van: ja, het had anders gekund.
Hoe kunnen wij in de toekomst ervoor zorgen dat de FG wordt meegenomen?
ROTMAN: En dan moet je opstaan.
Dan moet jij dus... hoe stel jij je dan op?
Ben jij dan een tijger die zegt: ho ho, jongens, halt?
HATICE: Ja, ik probeer dat toch wel op een diplomatieke manier te doen.
Want om nou te gaan zeggen van: halt, ho ho, je doet het niet goed.
Nee. Wat is er precies fout gegaan?
Ik probeer echt wel in gesprek te gaan.
Soms zelfs stapsgewijs, maar soms direct met de voorzitter.
Door een mail te sturen en aan te geven dat ik het toch anders zie
en om daarover met mij in gesprek te gaan.
En soms via een directeur, omdat vaak een FG gekoppeld is aan de directie.
En ik merk wel dat ze dat wel fijn vinden om op die manier in gesprek te gaan.
ROTMAN: Ja, oké, Marjolein, nu hoor ik Hatice zeggen dat ze diplomatiek is.
Ze maakt op mij een vrij onafhankelijke indruk.
Ze laat zich niet in de luren leggen door mijn grote waffel.
Dus volgens mij kan ze dat hartstikke goed.
Ik hoorde haar ook eerder zeggen: ik sta met één been een beetje bij de AP.
Dus zij leunt ook een beetje op jullie kennelijk.
Ik kan me voorstellen dat AP weleens als een soort vijand wordt gezien.
Wat is jouw ervaring wel? Hoe benaderen ze jullie eigenlijk?
LOUWERSE: Dat is een hartstikke nieuw en leuk thema eigenlijk hè.
Want de FG's zijn een soort van nieuwe beroepsgroep.
Nu drie jaar aan het zoeken naar hun rol.
Van een accountant weet iedereen wat je kunt verwachten.
Als je een rekening hebt die niet klopt, durf je niet te vragen:
nou, wil je 'm toch even tekenen?
Bij FG's is dat nog eventjes afwachten.
En ik hoorde je zeggen, Robin: de FG is een soort sheriff.
ROTMAN: Zo zie ik ze zelf graag, maar misschien zit ik er helemaal naast.
LOUWERSE: Ik vind 't op zich 'n leuke... ROTMAN: Een privacy sheriff.
LOUWERSE: Ja, ja, het klinkt wel stoer, maar wat lastig daarvan is,
is dat als je zorgt dat de sheriff het niet ziet, je dan ook geen probleem hebt.
Ik denk dat dat nou juist datgene is wat we niet moeten hebben met een FG.
Want een FG is de interne toezichthouder
en is er juist voor de bestuurder en voor de organisatie.
Dus je moet juist als bestuurder willen
dat je gewaarschuwd wordt door de FG als er iets aan de hand is.
En ik ben dus ook wel heel benieuwd hoe Hatice ervoor zorgt
dat de bestuurder met haar durft te spreken over alles wat er gebeurt
om ook gebruik te kunnen maken van haar advies.
ROTMAN: We hebben een casus, Hatice.
Neem ons even mee hoe dat in de praktijk gaat.
Wat Marjolein nu net zegt.
Hoe gaat dat? Bijvoorbeeld die casus, we hebben elkaar eerder gesproken,
over de bijstand die je kan ontvangen bij de AOW?
Potentieel een gevalletje dat je als burger een mazzeltje hebt.
Wat was dat? Zet die casus even neer alsjeblieft.
DOGAN: Het is zo dat je voor de Algemene Ouderdomswet, AOW,
verzekerd moet zijn om AOW te kunnen ontvangen
wanneer je de pensioengerechtigde leeftijd bereikt.
De verzekering is gebaseerd op ingezetenschap.
Dus als je in Nederland een x-aantal jaren hebt gewoond
dan heb jij de volledige AOW.
Als je niet gedurende de verzekerings- periode in Nederland hebt gewoond,
dan ontstaat er een gat in je arbeid, dus dan heb je er niet de volledige AOW.
Daarvoor is de aanvullende bijstand in het leven geroepen.
En de SVB voert die aanvullende bijstand uit.
En voor de AIO, kortgezegd, de aanvullende bijstand,
heb je een inkomenstoets. De mensen moeten dat zelf aanvragen.
Vaak komt het voor dat er niet wordt aangevraagd.
En SVB wil het juist stimuleren dat mensen dat aanvragen
en die mensen in beeld krijgen.
Daarvoor hebben ze bedacht: Om de mensen in beeld te krijgen
kunnen we het bestand koppelen met de polisadministratie van het UWV
om te achterhalen welke mensen een inkomenstekort hebben.
ROTMAN: Een linkje leggen tussen de bestanden van de SVB en tussen de...
En daar zit de privacy, iets van: mag dat wel, denk ik?
HATICE: Juist, ja. Want wat er dan speelt...
je krijgt veel meer gegevens van veel meer mensen dan noodzakelijk is.
Daar is geen wettelijke grondslag voor.
Dus de vraag is: hoe kun je ervoor zorgen
dat je alsnog door die bestandskoppeling de juiste mensen in beeld krijgt
om hen te benaderen om een AIO-aanvraag te kunnen doen?
ROTMAN: Dit is mooi, wacht. Ik wil dat beeld schetsen. Nu hebben ze bedacht...
Ze hebben dit bedacht bij de SVB:
'We kunnen mensen helpen, ze kunnen wat extra geld krijgen,
ze vergeten het aan te vragen, ze weten niet eens dat die regeling bestaat.
We gaan die bestanden koppelen.'
Tijdens een vergadering roept iemand dat eens een keertje, zie ik zo voor me.
Wanneer kom jij in beeld? Ben jij daarbij bij zo'n vergadering?
Of word je er later bij geroepen Waar zit jij?
DOGAN: Ik word om advies gevraagd, dus het komt wel langs mij:
'Ja, we hebben het idee om de bestanden te koppelen.
Want wij als SVB vinden dat wij zorgplicht hebben
om mensen het recht te geven waar ze recht op hebben.'
Natuurlijk een hele goeie gedachte. 'En mag dat?'
Het eerste wat bij mij dan opkomt:
het is wel heel goed. Hoe ziet het eruit?
Welke risico's zijn er verbonden aan de bestandskoppeling?
Hebben wij een wettelijke grondslag? Dat zijn allemaal vragen die ik dan stel
en adviseer om een privacy impact assessment uit te voeren.
Dat wordt dan gedaan.
En de uitkomst is dat dat eigenlijk niet kan
op de manier zoals zij voor ogen hebben.
ROTMAN: Wat was dan het belangrijkste bezwaar?
DOGAN: Dat er inderdaad geen wettelijke grondslag is.
En dat je niet voldoet aan de proportionele tijdseis.
ROTMAN: Dus het is disproportioneel en geen wettelijke grondslag.
Dan zeg jij: jongens, leuk, lief bedacht. Maar dit is privacytechnisch niet handig.
Oké, Marjolein, dat is toch een beetje wrang of zo toch?
LOUWERSE: Ja, maar ook wel heel mooi dat de FG hiervoor gebruikt wordt
om precies die afweging te helpen maken.
Het is uiteindelijk aan de organisatie om te beslissen
of ze hier wel of niet mee doorgaan.
Zelfs al zegt Hatice: het mag niet, volgens mij moeten jullie naar links.
Dan mag de baas van de SVB toch nog zeggen:
nou, en toch gaan we naar rechts.
Dat is ook het fijne van FG zijn.
Je bent toezichthouder en adviseur, maar niet eindverantwoordelijke.
Je ziet er wel op toe dat, wat juristen het prop up-verhaal noemen,
wordt gedaan: is het noodzakelijk dat deze verwerking er is?
Kan het niet op een andere manier?
En is er een grondslag voor? Het begint eigenlijk met een grondslag.
Jouw advies ziet erop toe:
organisatie, kijk hiernaar. Volgens mij kan het niet.
Dat was jouw uiteindelijke advies.
ROTMAN: Maar goed, de uitkomst kan natuurlijk niet zijn:
dan krijgen mensen niet het geld waar ze recht op hebben.
Dus ik neem aan dat jullie dan om de tafel gaan en gaan bekijken van:
oké, we hebben een wens om wat dienender te zijn
naar mensen die het geld niet krijgen waar ze recht op hebben.
Er zijn twee blokkades, namelijk ten eerste, het is disproportioneel.
Ten tweede, er is geen wettelijke grondslag. Dat zeg jij.
En in plaats van dat jullie zeggen: dan gaat de regeling van tafel...
Wat gebeurt er dan? Oplossen die hap?
DOGAN: Nou ja, ik probeer toch wel mee te denken met de oplossing,
naar een oplossing te zoeken, want ik vind dat toch wel een heel nobel doel
om juist die mensen te kunnen benaderen.
Maar is dat de juiste manier?
Mijn uiteindelijke advies was toch: ja, technische ontwikkelingen gaan zo snel.
Misschien is er wel een manier om techniek zodanig in te zetten
dat je de gegevens die je niet nodig hebt zodanig anonimiseert
dat je alleen de gegevens krijgt waardoor het minder disproportioneel is.
ROTMAN: Dat is één, de disproportionaliteit.
De wettelijke grondslag betekent dat er in de Tweede Kamer gestemd moet zijn?
DOGAN: Het is richting het ministerie gegaan
om een wettelijke grondslag te creëren.
Er is de politiek gevraagd om hier aandacht voor te geven.
ROTMAN: En dat is gelukt?
Of is dat nog in motion, is dat nog in ontwikkeling?
DOGAN: Dat is nog niet helemaal gelukt, maar ze zijn ermee bezig.
Dus er is wel actie ondernomen.
ROTMAN: Oké, dus straks gaat dit toch lukken kennelijk,
maar dan op een proportionele manier en met een wettelijke grondslag.
DOGAN: Hopelijk.
-Iedereen winner.
Ik snap natuurlijk heus wel waarom dit belangrijk is,
want het gaat om een glijdende schaal.
Nu gaat het om: je wil iets goed doen voor mensen met rechten ergens op.
En dan kan je wel zeggen: ja, dan laten we het los en dan doen we het gewoon.
Maar je moet natuurlijk principieel zijn. Want als je het nu doet...
Je kan niet te pas en te onpas maar gaan shoppen en denken:
nu kunnen we de privacy wel een beetje schenden, want nu is het goed.
Of is dat het dilemma waar je dan mee zit?
DOGAN: Jazeker, want de gedachte is dat je een zorgplicht hebt
om mensen te geven waar ze recht op hebben.
Aan de andere kant heb je natuurlijk ook de zorgplicht
voor de gegevens die je in huis hebt gehaald
en dat je die op de juiste manier gebruikt of verwerkt.
Die zorgplicht, wat vanuit beide kanten is,
moet niet met elkaar in conflict komen.
Dus ik bekijk het zeker vanuit beide kanten. Dat dat ook meegenomen wordt.
ROTMAN: Marjolein, dit is waar het over gaat, de wortel of de stok.
Hoe verhoud je je tot de belanghebbenden?
Je moet je dus kennelijk onafhankelijk opstellen.
En je moet ook een beetje diplomatiek zijn.
En je moet wel het belang van de privacy, dat gaat dan toch wel v...
Je moet wel streng zijn, je moet het wel durven.
Dat is niet makkelijk.
-Nee, dat lijkt me zeker niet makkelijk.
En ik vraag me ook af wat zou jij zelf doen, Hatice,
als doorgewinterde FG op het moment dat een bestuurder
je adviezen in de wind blijft slaan. Wat doe je dan?
DOGAN: Ja, dat is wel een moeilijke.
En ook daarvan heb ik het idee dat het goed is
om met de bestuurder in gesprek te gaan. Dus ik ga wel het gesprek aan.
Dan meer vanuit het opzicht...
Als bestuurder hebben ze natuurlijk een organisatie te runnen
en ze hebben met allerlei dingen rekening te houden.
En het is niet alleen het privacy-onderdeel.
Ik ga het gesprek zodanig aan:
Wat maakt dat nou dat dat aspect niet meegenomen wordt?
En hoe kan ik ervoor zorgen dat dat in de toekomst wel van belang is?
Dat gesprek ga ik wel aan en dat wordt ook wel gewaardeerd.
ROTMAN: Oké, dus als we 'm dus beantwoorden dit dilemma,
de wortel of de stok, is het geen van beide,
gewoon onafhankelijk diplomatiek het gesprek aan blijven gaan
en dat gewoon net zo lang volhouden tot het opgelost is eigenlijk.
DOGAN: Ja, inderdaad. ROTMAN: Dank je wel,
Hatice Dogan, FG bij de Sociale Verzekeringsbank.
Marjolein Louwerse van de Autoriteit Persoonsgegevens.
Luister de afleveringen van Privacy in de Praktijk terug
en ga hiervoor naar cip-overheid.nl/uitgelicht.

LEVENDIGE MUZIEK EINDIGT