Privacy in de praktijk 8: Better safe than sorry?

In de laatste en achtste aflevering in deze podcastserie is het onderwerp de ruimte binnen de AVG. Better safe than sorry? Dient er vooral te worden gekeken naar de letter of naar de geest van de wet? Hierover praten Arjen Deenen (FG bij de RijksUniversiteit Groningen) en Sergef Katus, (Privacy Management Partners, onder leiding van Robin Rotman.

Privacy in de praktijk 8: Better safe than sorry?

Better safe than sorry.
Welkom bij 'Privacy in de praktijk.' Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
Privacybescherming bespreek ik met functionarissen gegevensbescherming
en deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast Arjen Deenen, FG bij de Rijksuniversiteit Groningen
en Sergej Katus, FG bij verschillende gemeentes.
Je schreef ook nog een boek, 'Hoe ben ik FG?'
en je bent partner bij Privacy Management Partners. Zeg ik dat goed?
Privacy Management Partners, wat is dat?
KATUS: We zijn een bureau van mensen uit de praktijk
die dachten: dat kunnen wij ook aan anderen vertellen.
Hoe kunnen wij organisaties helpen het goede te doen
en het goede goed te doen.
-Arjen, better safe than sorry.
Ik denk dat heel veel FG's zich hier wel mee kunnen identificeren.
Het is een beetje een spreuk. Hoe uit zich dit in de praktijk
als een soort dilemma? Dus wat is de safe-kant en wat is de sorry-kant?
DEENEN: Dat is een goeie.
Als je begint als FG heb je die AVG, je hebt die letterlijke tekst,
en als je begint, is dat natuurlijk wel een beetje spannend.
Je bent als FG toezichthouder, je bent degene die verstand heeft van zaken.
Elke FG begint ergens, dus het is een kwestie van groen en rijp.
Dus je houdt in eerste instantie krampachtig vast aan die tekst.
En de vraag is of je daarmee ook het doel van de AVG behaalt.
ROTMAN: Want je denkt: ik verschuil me achter de regels.
'Als ik mijn bestuur aan de regels hou, zit ik veilig.'
Sergej, jij loopt al een tijdje mee, zou je kunnen zeggen.
Je bent bij verschillende gemeenten actief, je schrijft boeken.
Proef jij, als je al langer bezig bent in dit vak, dat er eigenlijk ruimte is,
dat er helemaal niet zoiets is als de letter van de wet,
als het gaat over de AVG?
KATUS: Nou, de AVG staat vol met lettertjes, laten we daar wel over wezen.
Maar tegelijkertijd is het wetgeverstaal.
En die wetgeverstaal is geen managementhandboek
of praktijkhandleiding. Dus er staan ook een heleboel dingen
tussen de regels, of het staat er niet of je moet het in de overwegingen zoeken.
Dus als je even de AVG openslaat en je zegt 'hoe zit het?',
dan kan het zo zijn dat je de wet veel te oppervlakkig leest
en daarnaast zijn er ook allerlei modellen, formats
die worden gepubliceerd door de een en de ander.
Dus er ontstaat ook een hele wereld die jou gaat vertellen
dat je de AVG moet lezen, want als je dat format gebruikt
en die modelovereenkomst, dan doe je het goed. Maar is dat zo?
ROTMAN: Wat merk jij bij FG's?
Ik kan me voorstellen dat jij voor veel FG's een vraagbaak bent.
Of dat je mailtjes krijgt van FG's.
'Sergej, hoe moet ik dit probleem aanvliegen?'
Merk je dat dit inderdaad een ding is uit de praktijk?
Sommige mensen denken: Ik wil me aan de regels houden.
Merk je dat? Is dit een ding?
-Uiteraard. Dat kom je vaak tegen.
Bijvoorbeeld: moet ik dit datalek melden aan de Autoriteit Persoonsgegevens?
Wanneer moet je wel melden, wanneer niet?
Better safe is dat je alles meldt.
Als ik de AP ben, zou ik niet blij zijn met alles wat gemeld wordt,
want het is een lawine aan kleine dingetjes en is dat nou erg?
ROTMAN: Hoe functioneel is het? Wat ben je aan het doen? Arjen,
jij werkt op een universiteit. Dat vind ik leuk.
Die hebben we nog niet gehad in deze serie.
Op welke manier krijg jij te maken met privacyvraagstukken?
DEENEN: Dat is wel divers.
Het mooie van een universiteit is dat je meerdere domeinen hebt.
Je hebt onderzoek, onderwijs en bedrijfsvoering.
Dus je maakt het hele spectrum mee. Dat is heel erg leuk.
Bedrijfsvoering in onderwijs komt wat vaker voor.
Onderzoeken is veel meer onontgonnen gebied.
In die zin dat daar nog veel meer ontwikkeld wordt.
ROTMAN: Dus als een wetenschapper bezig wil met data
en daar onderzoek naar wil doen of mee wil doen,
valt dat ook onder jouw FG-domein. Dan moet je er ook wat van vinden.
DEENEN: Ja, mits wij het over persoonsgegevens hebben.
Want bij veel onderzoek komen er geen persoonsgegevens aan te pas.
ROTMAN: Ik proef aan mijn water dat dit dilemma gaat over
als je net begint, zit je aan de kant better safe
en als je wat langer actief bent zit je aan de kant van:
'Ik voel ruimte, ik zit eigenlijk...'
Die safezone is misschien groter als je er meer verstand van hebt.
Waar plaats jezelf een beetje in dit spectrum?
DEENEN: Ik moet eerlijk zeggen dat ik mezelf nog niet altijd als dé expert zie.
Het voordeel daarvan is dat je jezelf ook de mogelijkheid geeft
om nog veel te leren.
Onzeker zijn hoeft niet erg te zijn, want het stimuleert om verder te zoeken.
Dat geldt ook voor mij. Als ik iets spannend vind,
ga je juist meer die materie in, ga je onderzoeken,
ook proberen niet direct antwoord te geven,
want ook van onderzoekers krijg je de vraag 'mag dit?'.
Niet alleen voor onderzoek, dat geldt ook voor bedrijfsvoering en onderwijs.
Maar naarmate je wat verder komt, durf je in die zin ook wat meer te doen.
Durf je wat meer los te raken, en als jij in die zin genoeg ballen hebt,
dan durf je ook weleens in te gaan tegen wat bijvoorbeeld een AP zegt
of wat in een sector gebruikelijk is.
ROTMAN: En dan voel je ook dat die ruimte er daadwerkelijk is.
DEENE: Nee, nog niet altijd, want je bent een beetje aan het pionieren.
En dat kan best wel spannend zijn.
Dus dat is wat ik ervan mee krijg.
Dus in dat geval laat je de letterlijke... of naar wat er lijkt te staan in de wet,
laat je wat meer los en je pakt wat meer de ruimte.
Bij de universiteit hanteren wij algemeen belang,
maar algemeen belang is soms wel lastig,
want wij mogen in het kader van de wet voeren wij onderwijs en onderzoek uit,
maar dat is natuurlijk heel breed.
Waar begint en waar stopt dat onderzoek dan?
En wat mag je in het kader van het onderzoek doen?
ROTMAN: Ik vraag nu om even alvast na te denken over een casus
uit jouw praktijk, waaruit blijkt dat het inderdaad niet zo makkelijk is
waar nou die grens zit. Safe or sorry.
Maar Sergej, het is ook een beetje waar wat hij zei.
Het is ook pionieren, toch? Het is ook een nieuw terrein,
die AVG is ook relatief nieuw.
De AP is ook niet altijd...
Het is ook een kwestie van jurisprudentie opbouwen.
Zo werkt het op dit moment. Daar staan we toch gewoon?
KATUS: En kennis en ervaring uitwisselen, wat we nu doen.
Vaak met elkaar in gesprek zijn, ook veel in gesprek zijn met je doelgroep.
Studenten, patiënten, inwoners.
Dus ik zeg altijd: privacy is eigenlijk meer een vorm van dialoog
die met elkaar voert, waar vind je nou dat de grenzen liggen,
dan dat het hele strikte grenzen zijn.
En het grappige is dat als je het hebt over de letter van de AVG
je merkt dat die letters zo zijn opgesteld dat het juist ook de bedoeling is
dat je met elkaar daar inkleuring aan geeft.
Ik zeg ook altijd: ieder mens heeft als het goed is
een soort kan-niet-waar-zijn-meter in zijn lijf
en als die meter helemaal in het rood doorslaat:
'Het kan niet waar zijn dat dit niet mag van de privacywetgeving',
zit je waarschijnlijk fout. ROTMAN: Of het kan niet waar zijn
dat ze iets willen doen: maar we hebben toch ook...
KATUS: Exact, het gaat allebei de kanten op.
ROTMAN: Arjen, heb je een casus uit jouw praktijk?
DEENEN: Ja, die heb ik wel.
Wat op zich interessant is wat betreft onderzoek
is onderzoek onder de eigen studentengemeenschap.
Wat de universiteit ook doet is onderzoek doen met de eigen studenten.
En wat daar lastig aan is, is dat in de sector, maar ook AVG, UAVG
om toestemming vraagt op het moment dat wij onderzoek doen
en dan het liefst met bijzondere persoonsgegevens.
ROTMAN: Dus dat is de letter van de wet.
DEENEN: Kort door de bocht zou ik zeggen: ja.
Maar de maar zit hem in het stukje algemeen belang.
Een universiteit heeft algemeen belang, dus onderzoek en onderwijs,
en binnen dat kader, algemeen belang, kun je volgens mij ook een hoop doen.
Dat staat er niet letterlijk in en hier in Nederland
en in onze sector zijn we heel terughoudend.
Maar ik denk dan: daar kun je inderdaad wat meer loslaten in die zin
dat je de letterlijke tekst loslaat en daar gewoon gebruik van gaat maken.
ROTMAN: Er zit gewoon ruimte.
-Ja.
ROTMAN: Sergej, akkoord?
-Ja, ik zie veel parallellen
met het gemeentewerk met algemeen belang.
ROTMAN: Bij gemeentewerk denk ik aan vuilnisbakken ophalen.
Gemeentewerk en gegevensverwerking?
KATUS: Het algemeen belang.
De AP heeft bijvoorbeeld een mooi rapport geschreven
over de rol van toestemming in het sociaal domein.
Waar het dan om gaat, is dat ook bij gemeenten
veel met toestemming wordt gewerkt.
En ik ga een beetje kort door de bocht,
maar in feite zegt de AP: stop nou eens met toestemming.
Want gemeenten hebben een taak in het algemeen belang.
We hebben het algemeen belang en dat staat ook zo in de AVG.
En om die taak uit te oefenen moet je natuurlijk wel je ding kunnen doen
zonder dat je afhankelijk bent van toestemming.
En ik denk dat Arjen dat bedoelt.
ROTMAN: Soms is de afwezigheid van toestemming
een soort voorwaarde voor succes.
Is dat wat je zegt? Is dat wat er in jouw onderzoek speelde?
In principe hoor je toestemming te vragen,
maar je weet ook als je toestemming gaat vragen,
dan gaat het misschien ten koste van de kwaliteit van het onderzoek?
DEENEN: Nee, eerder ten koste van de zogenaamde rechten en vrijheden
van de betrokkenen.
Je geeft ze zogenaamd een stukje vrijheid door toestemming te vragen.
Eigenlijk kun je geen toestemming vragen,
want het is een hoogleraar, of een andere medewerker bij de universiteit,
die jou die toestemming vraagt.
In hoeverre is die dan nog vrijelijk gegeven?
Het zit niet zo zeer op de inhoud en kwaliteit van het onderzoek.
ROTMAN: En als zo'n casus op je pad komt,
voel je dan gelijk intuïtief 'dit wordt spannend'?
'Ik zit een beetje de randjes op te zoeken.' En hoe ga je daar dan mee om?
DEENEN: Ja en nee. In die zin vind ik het spannend,
omdat het niet gebruikelijk is binnen ons sector
om gebruik te maken van algemeen belang.
Ik weet wel dat de AP binnenkort met een stuk advies komt.
Daar ben ik wel heel benieuwd naar.
Maar nee, ik vind het in die zin niet spannend,
want ik denk dat je die ruimte gewoon moet pakken. Die is er.
De autoriteiten in het buitenland zijn er al wat verder in.
De ICO is nu niet heel relevant niet meer, maar die was daar heel duidelijk in.
Je kunt dat gewoon pakken en doe dat dan ook.
ROTMAN: Sergej, als ik jou aanspreek
op je nestorschap binnen de wereld van de FG's,
wat zou jij dan FG's willen adviseren, als je denkt:
'Nu zit ik een beetje in een grijs gebied. Er komt een casus op me af
waarbij ik de regeltjes een beetje moet of kan loslaten'...
Jij hebt vaak met dat bijltje gehakt.
Hoe doe je dat zodat je ook nog het gevoel houdt
'ik doe het nog steeds goed als FG'?
KATUS: Dat heeft heel erg te maken met snappen wat werkelijk het probleem is.
De lettertjes kunnen soms meer een probleem maken dan oplossen,
als je daar te oppervlakkig mee omgaat.
Ik moet even denken aan de meldplicht datalekken.
Moet ik nou wel of niet melden? Eigenlijk zegt de AVG:
'Je hoeft niet te melden als er eigenlijk niet zoveel aan de hand is.'
Daar heb je het weer. Hoe groot is het probleem?
Je hebt zelfs een plicht om niet te melden als het probleem er eigenlijk niet is.
Dus waar hebben we het over?
ROTMAN: En bij datalekken geldt dat een heleboel FG is het gevoel hebben,
elk datalek, groot en klein: Ik moet meteen gaan melden. Dat zijn de regels.
Dat gevoel heerst.
-En toestemming is er ook zo een.
Zeker als ik een juridische opleiding heb gehad,
snap ik heel goed wat toestemming is,
en wilsovereenstemming, en alles wat erbij hoort.
Dus dat is koren op mijn molen. Ik sla de AVG open
en het eerste wat ik tegenkom is het woord 'toestemming' in artikel 6.1.
Dan zeg ik altijd: Realiseer je, dat is de vluchtstrook.
Je hebt nog vijf andere rijbanen waar je mag rijden
en dat gerechtvaardigd belang, en openbaar gezag staat er bij,
geeft nou eenmaal de universiteiten, in dit geval,
de taak om universiteit zijn en onderzoek te doen.
Je vroeg net 'wat waar zit het 'm nou in?'
en toen had Arjen het over die die gezagsrelatie en dat soort dingen,
afhankelijkheidsrelatie, maar wat hier ook speelt,
of je nou gemeente bent of DOU of universiteit:
je kunt geen universiteit zijn als je voor ieder wissewasje
iedere keer toestemming moet vragen.
Dat is zand in de raderen van de samenleving.
ROTMAN: Dan staat onderzoek en innovatie stil.
Voel je dat ook zo, Arjen?
-Jazeker.
Wil je de grens opzoeken, ook van wetenschap,
dan moet je onderzoek gaan doen.
ROTMAN: Ik hoor nu, en dan gaan we afronden...
Er zijn een hoop situaties denkbaar waarbij...
Jij noemde net de gemeentes en onderzoek en Sergej noemde weer
het wel of niet melden van datalekken.
Jij zei: de eerste stap is zorgen dat je snapt waar deze casus over gaat
en probeer echt inzichtelijk te krijgen, wat al moeilijk genoeg is,
waar nu de kneep zit, word wijzer in deze zaak.
Wat zijn nog meer handige, concrete stappen
die je als FG kan doen als je je voelt:
'Ik zit nu in dat heerlijke grijze gebied waar we kunnen gaan spelen.'
Arjen, heb je nog tips voor FG's?
-Ik adviseer om een DPIA te doen,
data protection impact assessment.
Daar volgen al een hele hoop kleine risico assessments uit
en dat geeft ook veel meer duidelijkheid.
Wat je daarmee ook geeft, in mijn geval met onderzoek,
zijn wat handvatten. Waar gaat het nou om?
Want we hebben het dan altijd over privacy,
maar het gaat om gegevens beschermen en het beschermen
van de natuurlijke personen,
maar wel het onderzoek nog kunnen doen.
Ik geef je daar ook handvatten mee en een stukje awareness.
ROTMAN: Lees je in en word wijzer, DPIA's.
Sergej, nog meer tips en tricks om jezelf meer te wapenen als hierin terechtkomt?
Het is iets waarin je je moet trainen, dus dat moet je heel veel doen,
maar dat is: lees overweging 76 AVG. Daarin staat... ik zeg dit...
ROTMAN: Ik moet een beetje lachen. Je kent ze allemaal uit je hoofd.
KATUS: Ik zeg dit, omdat we dit doen voor FG's en die pakken de wet erbij:
'Waar staat dat dan?' ROTMAN: Wat is die overweging?
Dat je niet van risico kunt spreken zonder een objectieve beoordeling
van het risico, waarbij je ernst en waarschijnlijkheid
tegen elkaar afweegt. Dus wat we niet moeten doen is theoretisch zeggen:
'Dat is erg, want dan kan over 30 jaar dit en dat misgaan met mensen.'
Nee. Hoe waarschijnlijk is het dat het scenario in je hoofd
zich werkelijk zal voltrekken en wat is dan het causaal verband?
Hoe kun je dat terugleiden naar de AVG?
Denk bijvoorbeeld aan de toeslagenaffaire:
de AVG zegt: je mag alleen acteren op gegevens die juist zijn.
Als je kijkt wat er in de toeslagen gebeurde en je ziet dat scenario van
'o jee, we gaan terugvorderen',
dan had je kunnen voorspellen aan de voorkant, met het AVG-risicobegrip,
hoe erg het is dat je zomaar gaat terugvorderen bij mensen,
want de gegevens die je hebt zijn niet juist.
ROTMAN: Welke was dit, voor de fijnproever?
KATUS: Overweging 76. En kijk ook eens op 75.
ROTMAN: Uiteraard. Tot slot: Arjen, laatste tip.
We hebben nu drie bruikbare tips die je als FG kan toepassen
als je in een situatie waarin je het grijze gebied gaat betreden.
DEENEN: Probeer je in te leven in de betrokkenen.
ROTMAN: Probeer je in te leven, gewoon easy as that.
De belangen van de betrokkenen goed in kaart krijgen.
DEENEN: Probeer je in te leven, want het gaat om verwachtingsmanagement.
KATUS: Wat dat betreft zeg ik weleens: de AVG gaat niet over privacy,
maar precies het omgekeerde. Know your customer.
ROTMAN: Het gaat over mensen.
Blij dat jullie er zo over denken, het gaat ook over mij.
Dank jullie wel, Arjen Deenen en Sergej Katus.
Luister ook de andere afleveringen van 'Privacy in de praktijk' terug.
Ga hierdoor cip-overheid.nl/uitgelicht.