Hoe komt het recht op privacy terug in het dagelijks werk
Mr. Dr. Tijmen Wisman, universitair docent VU Amsterdam en mr. Rani Wierda, juridisch adviseur ICTU.
Tijmen vraagt aan Rani hoe privacy terugkomt in haar dagelijkse werk. Op de universiteit is het heel theoretisch. Rani vertelt dat collega’s en opdrachtgevers vragen wat mag er van de AVG en komt met een aantal voorbeelden uit de praktijk. Bij niet-juristen bestaat soms koudwatervrees bij het toepassen van de privacywetgeving. De boodschap is om goed na te denken. Hoe sluiten techniek en theorie op elkaar aan? De wet geeft daar ruimte voor.
TIJMEN EN RANI_1
(Intro met abstracte beelden met daaronder een korte begintune.)
(In beeld verschijnt de tekst:
microlearnings
Privacy)
(Twee mensen zitten tegenover elkaar in een verder lege kantoorruimte en starten het gesprek:
de heer Tijmen Wisman begint en mevrouw Rani Wierda reageert.)
(In beeld verschijnt de tekst:
Tijmen Wisman
universitair docent, Vrije Universiteit Amsterdam)
TIJMEN WISMAN: Rani, hoe komt het recht op privacy terug in jouw dagelijkse werk? Ik werk zelf aan de universiteit en dat is allemaal heel erg theorie en in verschillende mate interessant. Maar als je het handen en voeten moet geven in de praktijk, hoe gaat dat eraan toe?
(In beeld verschijnt de tekst:
mr. Rani Wierda
juridisch adviseur, ICTU)
RANI WIERDA: Eigenlijk stellen mensen mij gewoon vragen. Mijn collega's en de opdrachtgevers waarvoor we werken, hebben vragen en die stellen ze vaak aan mij. Dat kunnen vragen zijn als: Rani, mag ik dit van de AVG? Dat is de meest brede... Dan moet ik altijd even wat lachen: Wat mag er dan precies? Dan zeg ik ook: Er mag heel veel. Dat zeg ik ook vaak. Natuurlijk ga ik dan gewoon het gesprek aan. Wat wil je dan bereiken, wat wil je dan doen? Wat voor techniek gebruik je en is het allemaal wel nodig wat je wilt?
TIJMEN: Hebben ze daar dan zelf al over nagedacht?
RANI: Verschillend. We maken mensen mee die, collega's die zeggen: Privacy vind ik heel moeilijk,
dus ik loop erbij weg. Dat zijn de collega's die je dan een beetje extra in de gaten houdt en extra helpt, zeg ik dan altijd. En je hebt collega's die zeggen: Wij denken er zo en zo over, maar kan het wel, mag het wel? We denken dat het zo is, maar wil je even meekijken? Dat was echt net deze week ook... Dat zijn wel de leukste. Dan wordt het voor mij ook ingewikkeld. Dan hebben ze al nagedacht en moet ik een redenering of argumentatie gaan beoordelen. Er wordt ook wel heel expliciet gevraagd: We gaan een wet invoeren. Een van onze opdrachtgevers wil een wet invoeren of maken en die zegt: Ik moet hier iets met privacy. Help. En dan is het... Dan gaan we gewoon de wet bekijken
en de memorie van toelichting vaak. Dat is de toelichting op de wet. Hoe kan ik het nou, bijvoorbeeld voor passend onderwijs. Wat voor gegevens moeten wij daar gebruiken om het mogelijk te maken? Bij passend onderwijs is het dan nog dat je kinderen die om wat voor reden ook niet het regulier onderwijs in kunnen, maar die je met een aantal aanpassingen, fysiek dan wel mentaal, wel het regulier onderwijs in kan krijgen. Daar heb je wel gegevens voor nodig om de juiste plek te vinden.
Mag je die gegevens dan gebruiken, mag je die van de ene school naar de andere of van een zorgverlener naar een school, mag je die dan zomaar gebruiken? Dat was het eigenlijke doel van de wet, om kinderen beter in het onderwijs te kunnen hebben. Daar heb ik op een gegeven moment wel gezegd: Oké, dat mag, als je het maar netjes regelt in de wet. Als je in de wet de bevoegdheid geeft
dat die gegevens uitgewisseld mogen worden.
TIJMEN: Als ik dat hoor, kan ik me ook voorstellen, het is best complex wat je allemaal zegt, dan kan ik me voorstellen dat bij mensen, bij niet-juristen een soort koudwatervrees bestaat. Merk jij misschien dat als jij mensen helpt om daar overheen te komen, dat de houding verandert bij mensen? Dat ze denken: Ik dacht dat het heel moeilijk was, maar eigenlijk valt het wel mee.
(In beeld verschijnt de tekst: Data Protection Impact Assessment (DPIA))
RANI: Ja. We merken dat bijvoorbeeld bij de Data Protection Impact Assessments. De DPIA's, voor iedereen die een beetje in die wereld zit. Zeg maar, het document of de aanleiding om erover na te denken. Dan merk ik van: O, maar ze denkt wel mee. O, maar ik dacht dat het gewoon niet mocht.
Nou, het mag, maar je moet er wel goed over nadenken. Mensen vanuit de techniek, ingenieurs, softwareontwikkelaars, zijn heel goed in het bedenken van technische oplossingen. Die vinden wet- en regelgeving, en dat begrijp ik ook heel goed, vaak lastig - en dat is ook voor juristen heel moeilijk vaak. Hoewel het eigenlijk hun gereedschap is, kan het nog heel erg lastig zijn. Als je het hebt over de AVG, dan is het best wel een ingewikkelde wet, die veel ruimte laat en waarvan mijn collega's van de techniek dan zeggen: Ja, maar die wet is zo vaag. Dan is mijn antwoord vaak: Die wet is vaag, zodat jij de ruimte hebt om die wet in te vullen. Want het is heel lastig als er in de wet staat: Je mag een persoonsgegeven tien jaar bewaren. Dan mag je het dus ook niet langer dan tien jaar bewaren.
Eventjes ervan uitgaand dat iedereen de wet netjes naleeft. Maar als je zegt: Je mag persoonsgegevens niet langer bewaren, dan het doel waarvoor je het nodig hebt, dan kan het in één keer misschien wel twintig jaar zijn bij de wet op de geneeskundige behandelovereenkomst. Je dokter moet je medische gegevens twintig jaar bewaren. Je kunt dan ook zeggen: Als je gezichtsherkenning hebt, als toegang bijvoorbeeld bij een kerncentrale. Dat is hét voorbeeld waar dat gerechtvaardigd zou zijn. Dan is het misschien alleen maar nodig dat een camera je dan moet herkennen, maar daarna niet meer. Dan is je bewaartermijn misschien een dag.
(In beeld verschijnt de tekst: Die ruimte heb je wel)
Maar die ruimte geef je wel en die ruimte moet je invullen. En die ruimte moet je kunnen verantwoorden.
TIJMEN: Je zegt eigenlijk: Een wet heeft heel veel open normen, maar die open normen zijn er ook, zodat je een flexibel instrumentarium hebt als uitvoerende macht op basis waarvan je verschillende
verwerkingsoperaties kan invullen. Maar per verwerkingsoperatie moet je kijken hoe je die normen invult.
(Outro met abstracte beelden en korte eindtune.)
(In beeld verschijnt de tekst:
microlearnings
Privacy)
(Het laatste beeld bevat het logo van de Rijksoverheid met daaronder de tekst:
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO))