Privacy in de praktijk 6: Wat weegt zwaarder, de werkgever of de burger?
Deze zesde aflevering gaat over loyaliteit. Wat weegt voor een FG zwaarder, de werkgever of de burger? In gesprek hierover zijn Aramis Jean Pierre (FG bij DUO en bestuurslid NGFG) een Sergej Katus (vanuit Privacy Management Partners FG bij diverse organisaties). Het gesprek wordt geleid door Robin Rotman.
Privacy in de praktijk 6: Wat weegt zwaarder, de werkgever of de burger?
JEAN PIERRE: Wat weegt zwaarder, het belang van de opdrachtgever of burger?
ROTMAN: Welkom bij 'Privacy in de praktijk'.
Ik ben Robin Rotman. In deze podcast
van het Centrum Informatiebeveiliging en Privacybescherming
bespreek ik met functionarissen gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast, twee kanonnen, kan ik wel zeggen.
Aramis Jean Pierre, FG bij de Dienst Uitvoering Onderwijs
en bestuurslid bij de NGFG. Welkom.
-Dank u wel.
En Sergej Katus, FG bij verschillende gemeentes,
schreef het boek 'Hoe ben je FG?'
en hij is partner bij Privacy Management Partners.
Dat is nogal wat. Een kenner.
Aramis, DUO, daar ben ik al jarenlang bevriend mee,
omdat ze elke maand geld van mijn rekening af halen.
Op welke manieren heb jij als FG bij DUO nou met privacy te maken?
JEAN PIERRE: Op alle mogelijke manieren. Dat is nou eenmaal zo.
DUO is niet alleen geldverstrekker aan studenten,
maar wij verwerken voor zoveel partijen gegevens.
We hebben meer opdrachtgevers, niet alleen het ministerie van Onderwijs,
maar ook Justitie, Sociale Zaken... Ga zo maar door.
ROTMAN: Even kwantificeren, over hoeveel mensen gaat het hier
die op welke manier dan ook met gegevens aan jullie verbonden zijn?
JEAN PIERRE: We hebben voor 13,6 miljoen individuele klanten
in onze bestanden staan. Dus bijna heel Nederland.
ROTMAN: En om de zoveel tijd willen managers of betrokkenen
iets met gegevens en dan staat Aramis Jean Pierre erbij:
'Jongens, we moeten even kijken of dat wel kan.'
JEAN PIERRE: Dat valt mee, want we hebben een goede privacyorganisatie.
Wij werken volgens het principe van 'three lines of defense'.
We hebben adviseurs, compliancy-adviseurs
en de FG die als toezichthouder in de organisatie dient.
Voordat een vraag bij mij terechtkomt, moet het wel erg ingewikkeld zijn.
ROTMAN: Dat dilemma, wat weegt zwaarder:
het belang van de opdrachtgever of het belang van de burger
of de student, de andere kant.
Is dat een ding waar jij dagelijks mee te maken hebt?
Kom je die weleens tegen?
JEAN PIERRE: Ik denk dat ik er minder mee te maken heb dan de private sector,
want in de publieke sector krijgen we die gegevens voor taken
die we op basis van wetgeving moeten uitvoeren.
Als we ons daar niet aan houden zijn we onrechtmatig bezig.
ROTMAN: En in de commerciële sector zijn de belangen misschien ook groter.
Bij overheidsorganisaties heb je wat meer ruimte om wat meer te leunen
naar de burger, denk ik. Hoop ik, eigenlijk.
JEAN PIERRE: Het idee van het belangen behartigen
van de burger, de eigenaar van de gegevens, staat voorop. Dat klopt.
ROTMAN: Sergej, is dat voor jou bekend terrein?
KATUS: Je gaf net aan dat ik het boek schreef 'Hoe ben je FG?'
en daarin schets ik dat probleem ook letterlijk met een tekeningetje.
Stel je een lijn voor. Aan de ene kant het belang van de opdrachtgever,
aan de andere kant het belang van de burger.
Maar Aramis zegt ook net:
'Wij verwerken gegevens van heel veel studenten.'
En waarom? Ik hou het gemakshalve even bij studenten...
Die willen geld en die hebben een lening en dat soort dingen.
Daar speelt DUO een belangrijke rol in.
Dus is het nou een tegengesteld belang
of, en dat gebeurt letterlijk in dat schetsje,
moet je het zodanig kantelen dat het niet een conflictmodel is
van het ene belang en het andere, maar je hebt gezamenlijk belang.
Dus zie een hoek, als het ware,
waarbij je aan de verticale kant het belang van de DUO in dit geval hebt,
of een gemeente, maakt niet uit,
en op de horizontale as heb je het belang van de persoon in kwestie.
Want die wil geholpen worden. Die wil een salaris of lening hebben.
Die wil geserviced worden, en op die manier denk ik dat het eerder
een paradox is, een schijnbare tegenstelling,
dan dat je praat over een echt belangenconflict.
ROTMAN: Dit is deel van de oplossing. Gaan we zo over praten.
Want ik neem aan dat dit klopt, Aramis. Je zou kunnen zeggen:
Wij als DUO trekken gezamenlijk op met de student of met de klant.
We hebben allebei belang bij privacyregels,
maar ook dat het geld van a naar b gaat.
Studenten moeten soms betalen, of ontvangen.
Hangt ervan af op welk punt van je studentencarrière je zit.
Is dat ook een manier om te framen voor jezelf:
'We are in this together', eigenlijk?
JEAN PIERRE: Als we het er zo over hebben, denk ik dat we
het privacybelang misschien wel een te groot belang toewijzen.
Het is namelijk zo dat wij op een normale manier
met onze gegevens om willen gaan
en dat betekent dat we op een nette manier
op alle mogelijke wijzen met elkaar omgaan.
Het is een heel pakket aan regeltjes waar we ons aan dienen te houden
en daarvan is privacy een onderdeel.
Maar dat betekent wel dat je een goede afweging maakt
waarom je een bepaalde zaak gaat doen.
Die privacywetgeving is zodanig opgesteld
dat je gedwongen wordt na te denken: Waarom doe je iets?
Voor welk doel doe je iets? En met welke middelen kun je tot dat doel komen?
Dat betekent dat je uit een heel pakket van regels...
een samenstelling moet gaan maken waarbij je zegt: Dit is acceptabel.
Dit vinden wij acceptabel.
ROTMAN: Kun je een voorbeeld geven uit jouw eigen praktijk
waarbij je hiertegenaan liep? Je hebt dus...
Laten we voor the sake of the argument
niet Sergejs model aanhouden waarbij ze naast elkaar staan,
maar dat ze tegenover elkaar staan, burger en opdrachtgever, dat je dacht:
Ik moet een beetje gaan zoeken nu, wat is nu de toverformule?
JEAN PIERRE: Wat je veel ziet
is dat er een soort ontwikkeling is ontstaan dat vanuit de overheid
gedacht wordt dat wij voor de burger moeten denken.
Dat betekent dus dat wij daar zelf een invulling aan geven
wat de wensen van de burger zijn
en hoe we die op de beste manier bedienen.
Maar dat wil dus niet zeggen dat we daarin ook meteen
feedback van de burger hebben gekregen
of dat inderdaad ook de juiste wijze en hetzelfde doel is.
Dus we hebben een hele denktank bij de overheid die zegt:
oké, wij vinden dat we onze gegevens nu,
voor het algemeen belang, moeten gaan inzetten...
'Algemeen belang' is een term die je mag hanteren binnen die privacywetgeving.
Dat betekent dat je dat voor andere doeleinden gebruikt,
waarbij je wel het belang van de burger gaat dienen.
Dat is een lastige als je gaat kijken naar...
Bijvoorbeeld zouden we in kaart willen brengen
welke burgers in Nederland een aantal vormen van toeslagen
aan zich voorbij laten gaan.
Dan ga je dus inderdaad met een paar andere partijen
gegevens aan elkaar koppelen
om te zorgen dat je daar een beeld van krijgt en kunt zeggen:
'Meneer A, weet u wel dat u nog twee of drie regelingen laat vallen,
terwijl u wel geld kunt krijgen?'
ROTMAN: Sergej, dit is wat jij schetst. Er is het gezamenlijke belang, namelijk:
er ligt geld op de plank.
Het gaat hier over geld bij een overheidsclub
en er is een burger die daar recht op heeft
en om welke reden dan ook daar geen aanspraak op maakt
omdat hij misschien niet weet dat het bestaat.
Of wil hij onder de radar blijven. Maakt niet uit.
Met de beste bedoelingen moet er wel gegraven worden in die bestanden.
Er moeten misschien wat databases aan elkaar gekoppeld worden.
En dan is er dat gezamenlijke belang van dat geld,
maar er is ook dat ene belang van die privacy.
We hebben in dit programma weleens aan tafel gezeten met mensen:
'Daar ga ik als FG voor liggen. Het is niet dat het geld daar niet heen mag.
Het gaat erom dat we een model bedenken
waarin die privacy geregeld wordt.'
KATUS: Ik snap de vraag, maar dan heb je de AVG niet begrepen.
En dat is wel waar je als FG voor staat.
Je taak als FG, je primaire verantwoordelijkheid als FG
is om toe te zien op de naleving van de AVG.
Het staat er letterlijk. Gerelateerde wet- en regelgeving.
Denk aan de Wet Politiegegevens die kan spelen,
en het beleid van de organisatie.
En ik vind heel grappig dat de toeslagen worden genoemd,
want nu brandt de toeslagenaffaire op mijn lippen.
Ik moet misschien beginnen met de vaststelling
dat het woord 'privacy' nergens voorkomt in de AVG.
Als je goed zoekt,
zie je twee voetnoten waarin naar iets anders wordt verwezen
en dat zijn de enige twee plekjes waar het woord 'privacy' valt.
Pak je artikel 1, ik wil het niet technisch maken...
ROTMAN: Je maakt het wel leuk nu. Bring it on.
KATUS: Als je kijkt naar de hele titel van de AVG
en je kijkt naar artikel 1, staat er gewoon letterlijk
dat het gaat om bescherming van personen,
niet om bescherming van gegevens,
bij de verwerking van gegevens, niet hun gegevens,
ze zijn niet de dataeigenaar, en het vrije verkeer van gegevens.
Er staat ook dat je het moet zien in relatie tot alle grondrechten.
Het recht op onderwijs, het recht op veiligheid,
het recht op onaantastbaarheid van je lichaam.
Er zijn allerlei grondrechten, dus het moet met elkaar in balans staan.
Inderdaad, het moet ook in balans staan
met het recht op bescherming van de privéleven, het gezinsleven.
Dus dat is dan wat we de privacy noemen.
Een ander artikel dan het recht
op bescherming van persoonsgegevens als je dat in de grondwet bekijkt.
ROTMAN: Dit vind ik een mooi analytisch verhaal,
maar nu nog steeds de vraag:
er is dus een zakje met geld
dat een overheidsclub van a naar b wil schuiven en de FG vindt:
het doel rechtvaardigt niet dat we... KATUS: Is dat zo?
Want dan moet je eigenlijk zeggen, overweging 4 AVG:
'Gegevensverwerking moet ten dienste van de mens staan.'
En daar wordt mee bedoeld dat als iemand regelingen laat lopen
en daardoor geld misloopt, dan help je die persoon,
staat de gegevensverwerking ten dienste van de mens
op het ogenblik dat je wel iets gaat doen waardoor hij wordt geholpen.
'De ICT helpt mij.'
Natuurlijk moet je dat wel goed doen,
want het kan ook erg fout gaan, over toeslagen gesproken,
en dan zitten we in de toeslagenaffaire.
Ik heb een blog geschreven, dat kun je gewoon downloaden, en dat gaat over:
wat gek dat in de toeslagenaffaire niemand het heeft over de AVG,
terwijl zo'n beetje alles in de AVG is geschonden.
Want wat gebeurde er in de toeslagenaffaire?
Er werd data-analyse gepleegd.
Op basis daarvan werd de conclusie getrokken
dat ouders kennelijk fraudeerden
en de vervolgstap was direct dat je ging terugvorderen.
We hebben de ellende daarvan gezien.
ROTMAN: Computer says no, en je bent de sjaak.
JEAN PIERRE: Ik wil even hierop reageren.
Ik ben met je eens, Sergej.
Maar het gaat er ook even om dat in zijn algemeenheid
de tendens juist ontstaat bij overheidspartijen om te gaan kijken
wat de meerwaarde zou kunnen zijn van de gegevens die ze in huis hebben.
Dat is een hele logische die je kunt benaderen,
maar waar je vanuit toezichtperspectief zegt:
wacht, we hebben een aantal eisen...
ROTMAN: We hebben gegevens, we gaan er doelen bij bedenken.
JEAN PIERRE: Dat doet uiteindelijk de overheid heel vaak.
En dat is ingegeven doordat ze de maatschappelijke waarde zien
van die gegevens voor het gebruik voor die nevendoelen. Een meerwaarde.
Maar nogmaals, ik ben het helemaal eens dat het gebonden is
aan een aantal strikte voorwaarden. Maak die afweging heel goed.
Maar het belangrijkste is dat we moeten bedenken
dat we altijd die principiële waarde van de burger
op de juiste manier moeten communiceren.
ROTMAN: Dan is de uitkomst van die casus die jij nu noemt
misschien niet dat je gaat zitten bedenken of beargumenteren
dat je allemaal stukken erbij gaat pakken waarom wel of niet.
Dan zeg je toch: we hebben hier wat geld
dat de burgers ten goede kan komen.
We schrijven ze een briefje
en vragen of wij hun gegevens mogen gebruiken,
omdat ze misschien recht hebben op geld.
Dan leg je het toch gewoon bij de burger neer?
JEAN PIERRE: Dat zou logisch zijn, maar vaak wordt dat niet gebruikt,
omdat er dan een administratieve last aan verbonden wordt.
Maar het gaat erom dat je van tevoren zegt...
Want wij gebruiken dat vaak als een soort bypass
als we iets willen bereiken binnen de overheid.
Dan gaan we de hele goegemeente benaderen
en dan laat je de keuze aan de goegemeente of ze wel of niet...
ROTMAN: Ik zie Sergej in m'n ooghoek, die is ook heel gretig. Kom op.
JEAN PIERRE: Die gaat het nu hebben over de toestemmingsvereisten.
KATUS: Ik dacht, laat ik dat niet doen.
Waar het mij om gaat:
Eigenlijk is de vraag: waarvoor ben je op aarde, beste organisatie?
DUO doet DUO-dingen, de Belastingdienst belastingdingen,
en gemeenten gemeentedingen.
Dat hebben we op zich heel netjes vastgelegd. Dat is ook heel belangrijk.
Wat ik een hele mooie casus vind: het leger dat in coronatijd bedenkt
om een database aan te leggen van iedereen die coronabesmet is.
Ik heb het niet van nabij gevolgd, maar volgens mij is dat gebeurd.
Daar hebben we het leger niet voor.
Dan kom je bij het woord 'legitiem'.
Dat heet in AVG-termen: Heb je een grondslag?
Maar een overheidsorganisatie die op aarde is voor financiën en burgers,
de mens centraal en hoe kunnen we het mensen...
'leuker kunnen we het niet maken, wel makkelijker', en dat soort dingen
is ook om veel meer dienstverlenend, mens centraal te opereren
en dat je in die zin wil innoveren en dat je zegt:
Wacht even, de tijden veranderen.
We zijn geen overheidsorganisatie anno 1850 meer.
Dus kunnen wij met die nieuwe technologie
mooiere dingen doen en de burger meer ten dienste staan?
ROTMAN: Maar dan je toch nog steeds zeggen:
dit is het plannetje. We nemen het mee naar de minister
en die neemt het mee naar de Kamer en als die zegt
'dat vinden wij een zinvolle manier'
dan heb je een wettelijke basis afgekaderd.
Het gaat er niet per se om dat je het wel of niet mag doen,
maar dat je het regelt,
bijna op een democratische manier afspraken maakt.
JEAN PIERRE: Het moet 'n weloverwogen keuze zijn.
Het betekent op basis van een aantal regeltjes toetsen
en dan vanuit een democratisch besluit tot de conclusie komen
dat 't wel of niet acceptabel is.
Maar zelfs dan nog hebben we te maken met bepaalde zaken
die niet op de juiste manier hun uitdrukking vinden.
ROTMAN: Maar dan is de uitkomst, want we gaan een beetje afronden,
dan zegt mijn gut feeling: uiteindelijk ben je als FG
meer in dienst van de kant van de burger dan de opdrachtgever.
Want jij zegt dan tegen je baas:
leuk bedacht, maar er is nog niet genoeg basis om dit zo te doen...
dus zorg maar dat de minister het in de Kamer het regelt.
En dan verdedig je altijd nog die burger die zichzelf niet kan verdedigen.
KATUS: Dat zonder meer. Je bent er voor de burger,
maar je bent er ook voor de organisatie.
Eigenlijk ben je degene die dit dilemma aankaart en zegt:
Dit moeten we oplossen.
Ik wil eraan toevoegen: ik ben FG van gemeenten.
Gemeenten hebben zelf ook veel ruimte.
Gemeentewet, Jongerenwet,
Wet Jeugdhulpverlening, Maatschappelijke Ondersteuning.
Het is er allemaal,
maar uiteindelijk mag 'n gemeenteraad zelf democratisch besluiten:
Dat is hun wetgeving om dat democratische besluit te nemen.
Dan heb je zelf beantwoord waarom je ook geen toestemming moet vragen.
Dat mag niet eens van de AVG, want je hebt al een goede basis.
Dat is het democratisch genomen besluit.
ROTMAN: Bij mij kraakt het nu een beetje,
dus ik vraag jullie tot slot in dit dilemma:
ga je voor het belang van de opdrachtgever of burger?
Wat is je houding als FG?
JEAN PIERRE: Als FG ga ik altijd uit van het belang van de burger.
ROTMAN: En hoe uit die houding zich?
JEAN PIERRE: Een realistische benadering van het vraagstuk.
Een goede weging van alle voor- en nadelen voor alle partijen.
Maar daarbij altijd kijken wat de effecten zijn
op die persoonlijke levenssfeer van de burger.
KATUS: Zeer mee eens, en dan ga ik altijd voor de balans.
Ik snap het belang van de opdrachtgever en burger,
en wat is dan die balans?
JEAN PIERRE: Wat ik daaraan toe wil voegen...
Juist in die weging kan het zijn
dat je op basis van een risicoafweging kan zeggen:
Zelfs het belang van één kan zwaarder wegen dan dat van een grote groep.
Dat is een lastige in deze benadering.
Want als je iets gaat besluiten,
zoals toch weer de toeslagenaffaire, echt zodanig ingrijpt
in het persoonlijke leven van een burger
dan ga ik als FG tot de hoogste regionen om dat tegen te houden.
ROTMAN: Eens? KATUS: Ja.
Onder de aanname dat je snapt dat de aanpak krakkemikkig is.
Want de AVG is geen krakkemikkige aanpak.
Dus hoe kun je die balans bereiken?
De AVG is geschonden, en daar let je op als FG,
doordat de aanpak niet de kwaliteit heeft waarmee je de burger helpt.
ROTMAN: Dank jullie wel, Aramis Jean Pierre en Sergej Katus.
Luister ook naar de andere aflevering van 'Privacy in de praktijk'.
En je hoort het, dit is smullen geblazen.
Ga hiervoor naar cip-overheid/uitgelicht.