Privacy in de praktijk 5: FG verantwoordelijk voor de hele keten. Feit of fictie?

In aflevering 5 van de serie Privacy in de praktijk praten Mabel de Vries (FG bij diverse organisaties) en Bart Schermer (privacydocent en mede-oprichter van Considerati) over de grenzen van een FG in samenwerkende ketens. Wie is nu waarvoor verantwoordelijk? Gesprekleider is Robin Rotman. 

Privacy in de praktijk 5: FG verantwoordelijk voor de hele keten. Feit of fictie?

Ik ben als FG niet verantwoordelijk voor de hele keten.
Feit of fictie?
Welkom bij 'Privacy in de praktijk'. Ik ben Robin Rotman. In deze podcast
van het Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
En vandaag mag ik dat doen met Mabel de Vries,
zij wordt als externe FG ingevlogen bij verschillende organisaties,
en Bart Schermer, partner en oprichter van Considerati.
Considerati, wat is dat?
-Een juridisch adviesbureau
en public affairs-kantoor, gericht op privacy in de digitale wereld.
ROTMAN: Mabel, jij bent FG bij meerdere clubs.
Eerst even, die hele keten...
Kun jij even schetsen waarom het feit dat je als FG
met je organisatie deel uitmaakt van een keten,
dat dat misschien af en toe lastig kan uitpakken?
DE VRIES: Ja, dat kan ik.
Het gaat heel vaak om situaties waarbij je als organisatie gegevens ontvangt
van een andere partij, die je al dan niet verrijkt
en doorgeeft aan de volgende partij.
Daar zijn regels aan gebonden, waar de AVG richtlijnen geeft
en daaraan moet je voldoen.
Dat is blijkbaar niet altijd makkelijk.
ROTMAN: Dus je maakt met jouw organisatie deel uit van een keten.
Aan de ene kant van de keten zit een partij, die levert aan,
daar kan van alles mis gaan, terwijl jij wel je zaakjes wel op orde hebt.
Aan de andere kant stuur jij gegevens eruit
en die ontvanger kan z'n zaken ook niet op orde hebben.
Jij bent dan FG van jouw organisatie, jij hebt je boeltje goed geregeld,
maar je zit wel met partijen aan allebei de kanten waarvan je denkt:
'Hebben jullie het wel geregeld?' En dan kan potentieel lastig zijn voor jou.
Dat is een beetje het dilemma.
-Ik wil toevoegen
dat het niet zo zeer is dat anderen hun zaken niet op orde hebben,
maar dat ze de AVG anders interpreteren dan hij bedoeld is.
Dat is het voordeel, of nadeel, van een 'open norm',
zoals we dat tegenwoordig noemen,
en dat de ontvanger in dit geval vindt dat hij die informatie niet moet krijgen.
En dan vind ik dat het aan ons is als FG,
voor de versturende organisatie, om te zorgen dat je dat goed onderbouwt.
ROTMAN: Bart, hier wordt ie interessant.
Want je kan inderdaad als FG het gevoel hebben...
dat een van die andere partijen de zaakjes niet op orde heeft.
Dat kan iets zijn.
Maar je kan ook een interpretatieverschil hebben.
Is dit herkenbaar?
-Ja, heel herkenbaar.
Organisaties moeten een grondslag hebben om te verstrekken.
De ene partij zegt 'we hebben die grondslag niet'
en de volgende zegt 'die grondslag hebben we wel'.
Zeker als je onderling afhankelijk bent
of samenwerkt, als je dan een meningsverschil hebt
over het wel of niet mogen krijgen of verstrekken van gegevens,
dan wordt die samenwerking heel lastig.
ROTMAN: Wat is voor een FG potentieel ingewikkelder?
Het interpretatieverschil, of als je het gevoel hebt
'wat zij doen klopt gewoon echt niet'?
Of is het hetzelfde probleem?
SCHERMER: Hetzelfde probleem. Als jij als FG interpreteert:
deze partij heeft geen grondslag om aan ons te verstrekken...
of: wij hebben geen grondslag om bepaalde gegevens te krijgen,
een partij verstrekt misschien te veel gegevens aan je,
dan moet je daar als FG stelling in nemen
en als volgens de wet helder is dat iets niet mag,
moet je dat gewoon mededelen.
Maar als het een verschil van interpretatie is,
kun je heel veel discussie hebben. Ook intern.
Want als jouw organisatie wel heel graag die gegevens wil hebben...
maar jij vindt als FG dat je ze niet mag hebben als organisatie,
heb je ook nog intern een discussie.
ROTMAN: Het lijkt me ook lastig, Mabel, als jij je werk heel serieus neemt
en je hebt te maken met een partij waarvan je het gevoel hebt:
'Die zet gewoon vinkjes'. Dat je denkt: Kom op, jongens. Je bent FG.
Komt dat ook weleens voor?
DE VRIES: Ik heb het zelf nog niet meegemaakt,
maar ik weet dat het voorkomt en de sleutel is altijd dialoog.
Dat betekent: Ga met de mensen in gesprek.
Vraag waarom zij het op die manier zien en waarom het afwijkt.
Probeer te komen tot een goede basis waarvan je de overeenstemming hebt:
'Wij gaan voor de grondslag die het beste past.'
Onderbouwd en wel. Als je mensen daarin helpt
en meeneemt waar je vandaan komt en waarom je vindt dat het zo is.
Ik ben ook wel een paar keer aangenaam verrast,
dat er goed is nagedacht over waarom de grondslagen anders zijn.
En dan kom je er ook altijd wel uit.
Maar dat betekent dat je echt gedegen kennis moet hebben over alle,
niet alle, maar de verschillende interpretatiefacetten.
ROTMAN: We praten later over de oplossingen.
Praten is vaak de oplossing, maar hoe dan en met wie dan?
Hebben we het zo over. Eerst: kun jij een casus schetsen
waaruit blijkt dat het inderdaad ingewikkeld kan zijn?
Dat je als FG in een keten zit en denkt: Dit is onhandig allemaal.
DE VRIES: Ik heb wel een voorbeeld.
We zitten hier bij een station en ik zie om de haverklap treinen voorbijrijden.
En het gaat ook over reisbewegingen.
Aan de ene kant moet er een factuurstroom zijn van, in dit geval
De NS of Connexxion, naar degene die de facturen verzamelt
en die moeten weer door naar degene die de dienst heeft afgenomen.
De casus hier is dat degene die de dienst afneemt,
de gebruiker of een bedrijf die dat doorbelast voor haar medewerkers,
op een gegeven moment zei:
'Mijn medewerkers klagen dat er een tijdstip is van reizen, tanken.
Dat vinden ze persoonsgegevens en dat vinden ze niet nodig.'
Ik begrijp dat wel, maar ik ben niet zo van 'niks mag'.
Alles mag, als je het maar goed kunt uitleggen.
En toen zijn we in dialoog gegaan. Ik zei: Je mag het zelf zeggen.
ROTMAN: Dit is een interpretatieverschil.
DE VRIES: Dit is meer dat ze niet heel goed gedegen kennis hadden
van wat je allemaal mag en echt nodig hebt. Doelbinding en grondslag.
In dit geval doelbinding, waarom heb je die gegevens nodig?
Waarom als werkgever, in dit geval, want daar ging het over...
Waarom mag je als werkgever echt wel weten
dat ik om kwart over elf in de trein heb gezeten op kosten van de zaak?
Want daar is een medewerker over gevallen.
En we begrijpen dat zo'n medewerker dat zegt,
maar die roepen heel snel 'privacy'. Ik zeg: Ik wil het wel weghalen.
'Ik wil het er best uithalen. Mijn systemen zijn daar perfect voor in orde,
maar dan krijg jij dus elke maand een factuur voor 84.000 euro
zonder dat je weet wie waar heeft gezeten. Jij mag het zeggen.'
ROTMAN: Oké, en dan zeg je 'praten praten praten'.
DE VRIES: Leg dan uit waarom die gegevens er zijn
en dat het niet is om de medewerker te controleren,
want dat zit er dus achter.
ROTMAN: Hoe loopt dan dat gesprek?
Praat je met jouw directe collega bij die andere partijen
of praat je met de verantwoordelijken binnen jouw organisatie
die het dan vervolgens weer moeten gaan uitzoeken met die anderen?
Hoe lopen dan die lijntjes?
DE VRIES: Mijn voorkeur is dat ik de verantwoordelijke voed.
En ik ben er vaak wel bij,
maar de verantwoordelijke wil heel graag weten:
'Wat moet ik nou zeggen en waarom? Is er geen andere manier om 't te doen?
Kunnen we niet wat sneller bij elkaar komen?'
ROTMAN: Bart, twee vragen. Dit is een herkenbaar dilemma en de juiste route?
SCHERMER: Heel herkenbaar dilemma.
Wat je ziet, en daar zit de route en de sleutel naar de oplossing,
is dat partijen gaan samenwerken. Er zijn professionals die dat gaan doen.
Het zijn niet altijd privacyprofessionals.
Die hebben gewoon een doel te bereiken
en vaak zie je dat ze daarbij helemaal niet nadenken
over privacy- en gegevensbescherming.
Dus je moet eerst goed met elkaar gaan zitten:
'Hoe gaan we ons doel bereiken? Wat is het proces
dat we daarvoor moeten doorlopen? En welke gegevens hebben we nodig?
En dan helpt het heel vaak als je
met de daadwerkelijke procesverantwoordelijke zit,
de verantwoordelijke ambtenaren of managers of mensen uit de business...
en de privacyjuristen/FG, om gezamenlijk tot een oplossing te komen.
Want er is geen onwil bij mensen om privacyvriendelijk te werken.
Er is een gebrek aan bewustzijn en ook snappen:
wat hebben we van elkaar nodig?
ROTMAN: Heb je nog een casus?
-Nou, wat je heel vaak ziet...
Ik werk al vele jaren voor diverse gemeenten
en daar heb je het fenomeen van de zorg- en veiligheidshuizen.
Daar werken partijen uit zorg en strafrecht samen
om bijvoorbeeld probleemgezinnen te helpen
en huiselijk geweld en kindermishandeling te bestrijden.
En het dilemma is altijd dat de politie en OM
bijvoorbeeld gegevens willen krijgen van GGD of GGZ,
alleen die zijn gebonden aan medisch beroepsgeheim.
En daar is nog steeds, ook al zijn er duidelijke kaders,
toch altijd frictie in interpretatie.
'Wanneer mag je medisch beroepsgeheim doorbreken?
We hebben die gegevens nodig. Waarom geef je ze niet?'
Dat soort discussies heb je dan. ROTMAN: En welke FG...
in welke organisatie heeft het dan het zwaarst als dit zich voordoet?
Is dat de FG die de bij de politie werkt? SCHERMER: Maakt niet zo heel veel uit.
Alle FG's zijn er in beginsel voor hun eigen organisatie
en adviseren de eigen organisatie, beschermen de organisatie,
dus ze hebben het allemaal zwaar of minder zwaar.
Maar uiteindelijk zit je ergens voor een gezamenlijk doel.
Dat wil je wel bereiken en daar heb je toch iets van communicatie
tussen FG's en de lijn nodig.
ROTMAN: En de communicatielijn die Mabel voorstelt?
Als een van die FG's het gevoel heeft 'dit is niet zo handig':
ga naar jouw verantwoordelijke en zorg dat die op dat niveau
het zaakje gaat oplossen?
SCHERMER: Ja, dat is sowieso de eerste stap als FG.
Je bent er voor je eigen organisatie,
dus het is jouw verantwoordelijkheid als FG om jouw organisatie,
de verwerkingsverantwoordelijke, goed te adviseren.
Dat is stap 1, wat mij betreft,
en daarnaast is het altijd goed om in een samenwerking
met elkaar te gaan overleggen. Dus pak de telefoon,
bel je collega-FG en zeg:
'Ik kijk er zo tegenaan. Hoe zie jij het?' Dat lijkt me ook heel verstandig.
ROTMAN: Dit is altijd het klassiekertje binnen jullie business, Mabel.
Er is een organisatie binnen de keten.
Die wil met de beste bedoelingen,
of het nou gaat over veiligheid of gezondheid,
of het gaat over een proces waarbij geld moet worden teruggegeven aan burgers...
Met de beste bedoelingen moet hun privacy geschonden worden.
Dat is het een beetje. Dat komt volgens mij heel vaak terug.
DE VRIES: Ik vind het geen schending.
Ik denk dat als je goed uitlegt en je hebt de doelbinding,
dus de noodzaak het nodig hebt, is het geen privacyschending.
Het is gewoon heel goed nadenken.
'Heb ik de gegevens die ik verzamel allemaal nodig?'
En als het antwoord nee is, moet je wat je niet nodig hebt acuut weggooien.
Dat wat je wel nodig hebt, zijn privacygegevens.
Je mag ze best verwerken, het is geen privacyschending,
maar je moet er zorgvuldig mee omgaan.
Het is ook het goed en verantwoord delen van informatie
waar de AVG voor staat. Dus je mag best alles...
Je kan misschien wel 60 velden gaan delen,
als je maar goed kunt uitleggen, langs de wet,
waarom je die gegevens nodig hebt en dat het echt niet anders kan,
niet met minder, omdat dan het doel waar je het voor hebt,
niet gehaald wordt. En daarom ben ik er altijd voor
om de verantwoordelijke aan tafel te zetten, want het is zijn business,
Hij of zij moet gaan bepalen:
'Het kan echt niet anders, want met mijn businessdoel in het vooruitzicht
moet ik dit allemaal hebben.'
Dan kom je als FG: 'Dat vind je wel, maar in sommige gevallen
kan het wel met iets minder, toch?'
En dan moet je bedrijfsvoering kennen
om daarin de sparringpartner van de directeur te zijn.
ROTMAN: Ik wou het zeggen. Je bent sparringpartner
van de verantwoordelijke. Er loopt een communicatielijn
van de FG's naar de verantwoordelijken
en die moeten dan op hun niveau de verantwoordelijkheid nemen
en gebruikmaken van hun bevoegdheden om daadwerkelijk hun shit te regelen.
Maar wat ik Bart hoor zeggen: bel gewoon je collega-FG's binnen die keten
en ga gewoon eens even... Klinkt ook wel pragmatisch voor mij.
Dat je als FG's onder elkaar even kijkt:
'In deze keten loopt het zo. Mijn verantwoordelijke heeft deze plannen,
die van jou die plannen. Wat zijn ze weer lekker bezig. Kan niet, hè.'
Dat jullie als FG's gezamenlijk optrekken en allemaal...
DE VRIES: Dat zou de ideale wereld zijn, maar je voelt hem al:
heel vaak is dat wel de weg, maar ik blijf erbij:
de verantwoordelijke eerst. Het is zijn bedrijf.
Hij of zij moet snappen wat er nodig is.
Dan vraag ik ook wel: laat die FG even opstellen wat hij nodig heeft...
en waarom die denkt dat het anders kan of moet.
Dat kan, hè.
En afhankelijk van de toon van het mailtje besluit ik:
ik ga nu niet met diegene aan tafel zitten.
ROTMAN: Jij vaart redelijk... Ik heb je vaker gesproken in deze serie.
Je bent streng, maar ook pragmatisch
en je vaart ook op je intuïtie. Klopt dat?
-Ja, heel erg.
Iemand die hoog van de toren blaast en dingen in een mail zet, dat ik denk:
je kent me niet.
Geef mij ook eens een kans om te laten zien wat ik voor je kan betekenen.
Soms wil ik nog wel een telefoontje wagen.
Soms word ik ook aangenaam verrast.
Vaak word ik dan onaangenaam verrast,
dat iemand denkt: wie ben jij dan? Ik ben ook een FG.
Dus zit wel een beetje een kink in de kabel
en de ontsporing van zo'n poging is toch wel kennis. Kennis en ervaring.
ROTMAN: Wanneer wordt het spannend, Bart? In de ideale wereld...
praat je als FG's met elkaar en heb je ook nog een mooi lijntje
met de verantwoordelijke binnen je organisatie,
die het op zijn of haar niveau goed gaat regelen.
Maar wat als het echt spannend wordt
en denkt 'er wordt niet geluisterd, het loopt niet lekker',
Wat doe je dan?
-Als er niet geluisterd wordt...
Het enige wat je als FG kan doen, wat ook je rol is vanuit de AVG,
is het de hoogste leidinggevende daarover informeren,
onderbouwen waarom die samenwerking niet goed loopt,
of waarom er een verkeerde interpretatie is,
en dan is het aan de verwerkingsverantwoordelijke,
de organisatie, of dat nou een bedrijf is of een overheid, om die keuze te maken:
'Wij gaan door met deze partner in die samenwerking of niet.'
En op het moment dat je telkens nul op het rekest krijgt van FG,
ook van je eigen organisatie,
dan moet je je ernstig gaan afvragen of jij als FG daar wel wil blijven.
ROTMAN: Gaat het ook niet een beetje om medestanders zoeken,
rugdekking zoeken? Is dat niet een ding? Want ik hoor dit vaker.
Het kan een eenzaam beroep, het kan een spannend beroep zijn.
Mijn rugdekking binnen de organisatie zoeken en vinden?
SCHERMER: Rugdekking heb je nodig.
Een belangrijk ding wat wij altijd implementeren,
is wat we noemen een DPO-charter, of een FG-charter.
Zodat duidelijk is bij de aanvang van een opdracht,
of als je ergens gaat werken als FG,
waar je voor verantwoordelijk bent en wat je nodig hebt.
Daar begint het mee. Dat is die rugdekking.
Maar belangrijker nog is: je moet zorgen dat je als FG gevonden kan worden,
ook door positief bij te dragen aan de oplossing van het bedrijf.
'Wat is ons doel als bedrijf of als overheid?'
Hoe kan jij als FG eraan bijdragen dat
dat op een privacyvriendelijke manier gebeurt.
Want anders gaan mensen gewoon om je heen werken.
Het is rugdekking, 1.
Maar ook gewoon goed je werk doen als FG, goed adviseren.
ROTMAN: Mee eens, Mabel?
-Voor een deel wel
en ik wil nog terugkomen op wat jij zegt: FG's moeten met FG's contact hebben.
Ik heb even opgeschreven wat belangrijk is.
De directie is degene die het doel heeft voor de organisatie.
De procesverantwoordelijke, degene in de organisatie,
die al die gegevens wel of niet wil hebben.
Marketing en sales is er altijd zo eentje die goed kunnen uitleggen
waarom ze al die gegevens nodig hebben.
En dan blijf ik de criticaster: waarom zo en waarom zoveel?
En dat is het begin heel irritant en dat begrijp ik heel goed,
maar als uitlegt wat de risico's zijn als je al die gegevens verwerkt
en je gaat het gezamenlijk doen en je krijgt daarmee de rugdekking,
dat is ook je eigen verantwoordelijkheid. Die moet je verdienen.
Die krijg je er niet standaard bij.
Die moet je verdienen en je moet ook dat gewoon zeggen:
'Ik heb dat nodig, want in mijn eentje kan ik het niet.'
Die rugdekking is essentieel en daar ontbreekt het wel aan.
ROTMAN: Ik heb het gevoel dat jullie niet veel moeite hebben
om credits en rugdekking te verdienen.
Tot slot, Bart, hoe kan je dat doen als je het gevoel hebt:
'Ik zit niet stevig in de wedstrijd.' Wat kan je doen om dat wel te verdienen?
SCHERMER: Ik denk zeker als je een beginnende FG bent...
Het begint met inhoudelijk sterk worden. De wet goed kennen,
jurisprudentie goed kennen, en dan kan je ook gaan adviseren vanuit een positie
van zekerheid, autoriteit, en kracht, omdat je gewoon de materie goed kent.
Dus dat is 1, goed je werk snappen. Dat is vrij vanzelfsprekend.
En daarnaast ook denk ik, een positieve houding ten opzichte van de organisatie.
Mensen binnen een organisatie, sales, marketing, ambtenaren,
mensen zijn door de bank genomen ethisch,
maar hebben misschien geen bewustwording,
weten niet wanneer er te veel gegevens zijn of te weinig,
dus help ze daarbij. En dat is precies wat Mabel zegt:
Dan verdien je rugdekking. Dan denken mensen:
'Dat is prettig. Die helpt me en me behoedt me risico's.'
Dat is het laatste, die duidelijke risicoverdeling.
Jij bent niet eindverantwoordelijk
voor goede verwerking van persoonsgegevens.
Dat is de organisatie zelf.
ROTMAN: Mabel, het laatste woord? We hebben nu een paar leuke tips
die je kan gebruiken als je in een situatie komt
dat je binnen zo'n keten het gevoel hebt: het loopt niet helemaal lekker.
Hoe zorg je ervoor dat je net zo stevig in de positie zit,
zelfbewust als FG aan het werk gaat, zoals jij dat doet?
DE VRIES: Ik sluit dan toch eerst aan wat bij Bart net zegt.
Je moet kennis van de AVG hebben.
En hij zei ook: Je moet je bedrijf kennen.
Je moet weten waar het bedrijf voor staat.
En dan zou ik toch zeggen: Ga met de AVG in de hand
het risicomanagement van het bedrijf en de bedrijfsvoering analyseren
en niet met het wijzende vingertje vanuit AVG alleen maar nee roepen.
Je moet weten wat de risico's van de bedrijfsvoering zijn
en wat de eigenaar of ondernemer of verantwoordelijke
dagelijks voor risico's het hoofd dient te bieden.
Als je vanuit die kant probeert om gesprekspartner te worden,
krijg je veel sneller rugdekking en veel sneller dialoog
dan dat je alleen maar uit een hoekje roept 'het mag niet van de AVG'.
ROTMAN: Hatsa. Staat genoteerd.
Mabel de Vries, Bart Schermer, dank jullie wel.
Luister ook de andere aflevering van 'Privacy in de praktijk' terug.
Ga hiervoor cip-overheid.nl/uitgelicht.