CONCEPT van 3 april 2014
Privacy in 3D
regisseur’.2 In de startnotitie zijn zowel privacybescherming als het bereiken van de beleidsdoelen uitgangspunten. Dat leidt tot de conclusie dat er voor multiproblematiek meer informatieverwerking nodig is, terwijl de overige situaties juist om terughoudendheid op dat vlak vragen. Vervolgens worden aan de hand van een aantal scenario’s de juridische mogelijkheden verkend voor het “regelen” van de noodzakelijke gegevensuitwisselingen.
Een verfrissende kijk op informatievoorziening in het sociaal domein Gemeenten zien zich momenteel geplaatst voor een stevige uitdaging. Zij moeten een aantal taken op het gebied van zorg, jeugd, werk en inkomen overnemen van het Rijk en met elkaar integreren – en dat met een forse korting op de beschikbare budgetten.
In de startnotitie worden zowel de gemeentelijke als de persoonlijke belangen dus onderkend, en er wordt gezocht naar een goede balans. Dat is een belangrijke eerste stap. Tegelijkertijd is het jammer dat de opstellers van de startnotitie het thema privacy juridisch benaderen en het idee versterken dat privacywetgeving een struikelblok zou zijn. De belangrijkste privacywet, de Wet Bescherming Persoonsgegevens (WBP), is er óók om kernprocessen mogelijk te maken en innovatie te bevorderen. De wet helpt om zowel het primaire proces als vernieuwingen in goede banen te leiden. De Commissie Brouwer-Korf kwam al in 2009 tot de slotsom dat juridische oplossingen contraproductief zijn. Privacy is een kwestie van ‘Gewoon Doen’, zoals de titel luidde van het evaluatierapport dat tot stand kwam in opdracht van de ministeries van VenJ en BZK.
Het idee achter de drie decentralisaties is dat van de participatiesamenleving: burgers zullen meer voor en met elkaar moeten zorgen, zodat de overheid een stap terug kan doen. Tegelijkertijd moeten gemeenten juist meer regie gaan voeren (of organiseren) waar dat de burger zelf niet lukt, met name het geval in multiprobleemgezinnen: 1-gezin, 1plan, 1-regisseur. Informatievoorzieningen en privacy Deze nieuwe manier van werken vraagt om een herijking van de informatievoorzieningen. De implicaties zijn daarom in kaart gebracht in de “Verkenning Informatievoorziening Sociaal Domein” (VISD).1 De hoofdconclusie is dat ICT en informatievoorziening weliswaar niet alles oplossen, maar wel onmisbaar zijn voor succes. Stevige regievoering en goede informatievoorzieningen zijn randvoorwaardelijk. En het moet allemaal niet te bureaucratisch worden.
Gebalanceerde aanpak De WBP is bedoeld om praktisch te blijven. Deze wet stelt bestuurders tot taak om actief te sturen op het thema privacy en goed in verbinding te blijven met uitvoerders – om vervolgens verantwoording te kunnen afleggen over beleid en maatregelen. Bij ketensamenwerking zullen eindverantwoordelijke bestuurders
Herijking van de informatievoorziening roept privacyvragen op. De problematiek is verkend in het VISD-deelrapport ‘Startnotitie gegevensuitwisseling & privacybescherming 1-gezin, 1-plan, 1-
1 http://www.kinggemeenten.nl/media/570573/
2 www.vng.nl/files/vng/nieuws_attachments/2013/20130
eindadvies_visd_totaal_versie_1 0_29-07-2013n.pdf
729-bijlage-9-4-startnotitie-privacybescherming.pdf
© Privacy Management Partners 2014
1
CONCEPT van 3 april 2014
afspraken moeten maken over gezamenlijke regievoering.
Win-win Bij de decentralisaties is het de kunst om dat optimum te bereiken en vast te houden.
Bij de landelijke decentralisaties is het zaak om het voorgaande scherp in de gaten te houden. Op gebrekkig privacy management worden momenteel boetes gesteld tot €810.000 per overtreding. Dat bedrag staat nog los van overige afbreuk- en aansprakelijkheidsrisico’s bij incidenten of discussie. Zo heeft iedere burger bij fouten recht op schadevergoeding. Hou ook in de gaten dat EU vergevorderd is met een nieuwe superwet, de Algemene Verordening Gegevensbescherming (AVG). Vanaf 2018 kunnen de bestuurlijke boetes voor gebrekkig privacy management verder oplopen tot 100 miljoen Euro, afgaand op de aanpassingen die het Europees Parlement in oktober 2013 voorstelde aan de Raad en de Europese Commissie.
Bij passende privacywaarborgen profiteren burgers van gemeentelijke dienstverlening in de zekerheid dat gemeenten hen beschermen tegen de risico’s van onbehoorlijke of onzorgvuldige informatieverwerking. En dat levert gemeenten belangrijke voordelen op (win-win), want ook een gemeente wil niet onbehoorlijk of onzorgvuldig opereren. Hieronder bespreken we acht zulke voordelen. 1. Legitimiteit Ook al worden taken bij wet aan gemeenten opgedragen, de uitvoering ervan is nooit legitiem zolang niet wordt voldaan aan de WBP en straks de AVG. Dat heeft alles te maken met de bijzondere positie van privacywetgeving ten opzichte van de Grondwet en internationale verdragen. Met praktisch privacy management zetten gemeenten echter de schakelaar om van rood naar groen licht, en geven de WBP en AVG ruim baan voor innovatie – wat weer alles te maken heeft met de digitale ambities van de Europese Unie.
Zowel de WBP als de AVG beschrijft verplichte aandachtspunten zoals legitimiteitchecks, kwaliteitszorg, informatiebeveiliging en toezicht. ‘Doelbinding’ is één van die aandachtspunten, maar wordt vaak verkeerd begrepen. Het is meer een ijkpunt dan een knelpunt. Privacywetgeving biedt juist flexibiliteit voor hergebruik van informatie, mits met waarborgen omkleed. Juridische oplossingen kunnen onderdeel zijn van de aanpak, maar zijn een middel in plaats van een doel.
2. Rekenschap De ‘license to operate’ die gemeenten verdienen met praktisch privacy management moet vrij letterlijk worden
Goed privacy management is in de WBP gekoppeld aan de beginselen van behoorlijk bestuur. Wanneer oplossingen goed op elkaar zijn afgestemd, ontstaat een situatie waarin de gedecentraliseerde aanpak en de privacybelangen van burgers met elkaar in evenwicht zijn gebracht. Er is dan geen sprake meer van een inbreuk maar juist van een privacyvriendelijke aanpak – in de woorden van de wetgever: behoorlijk, zorgvuldig en in overeenstemming met de wet.
© Privacy Management Partners 2014
Privacy management matrix Privacywetgeving verplicht tot een praktische aanpak en passende waarborgen. Andere benaderingen zijn suboptimaal en onnodig nadelig voor gemeenten en/of burgers.
2
CONCEPT van 3 april 2014
genomen: de aantoonbaarheid (bewijs) van passend beleid en maatregelen is als het ware de vergunning voor uitvoering van taken. Eindverantwoordelijken (burgemeesters, directeuren van uitvoeringsinstellingen en de minister van SZW) zijn gehouden om dat bewijs onmiddellijk te kunnen produceren. Wie dat niet kan, loopt maatschappelijke, politieke en juridische afbreukrisico’s. Want overzicht is de lakmoesproef voor deugdelijk privacy management. Omgekeerd geldt daarmee ook dat wie dat wél kan, meteen op voorsprong staat – zéker wanneer de aanpak wordt onderschreven door een deskundige onafhankelijke kwaliteitsbewaker, de privacy officer.
herkennen en begeleiden van multiprobleemgezinnen door gemeentelijke regisseurs. Aan de hand van ‘doelbinding’ en ‘noodzaak’ wordt aangegeven dat ‘uitwisseling van persoonsgegevens’ niet zou zijn toegestaan. Iets verderop vragen de opstellers: ‘Ziet u een uitweg uit het informatiedilemma’? Wie de praktische aanpak hanteert, zit echter niet in een dilemma omdat met aspecten als doelbinding en noodzaak in de opzet van de informatievoorzieningen al lang rekening is gehouden. Dan is het herkennen van multiprobleemsituaties met waarborgen omkleed, kan de regisseur prima functioneren en is er adequate hulp in multiprobleemsituaties. De praktische aanpak wordt op dit meer operationele niveau in de WBP/AVG erkend onder het label ‘Privacy by Design’.
3. Geen kramp rond privacy Wie op een praktische manier omgaat met privacy ontstijgt de ingewikkelde discussies van een meer formalistische aanpak. Privacyrechtelijk is dat alleen maar goed, omdat een praktische aanpak betekent dat eindverantwoordelijken hun verantwoordelijkheid nemen, en dat is de essentie. Privacy is geen juridisch mijnenveld meer waarin organisaties afhankelijk zijn van regels, procedures en autoriteiten en door de bomen het bos niet meer zien. Ook bij de decentralisaties kan verkramping een faalfactor blijken. Privacy praktisch benaderen is daarentegen een succesfactor.
5. Klantgerichtheid Het voorbeeld van de multiprobleemgezinnen illustreert dat privacy geen obstakel hoeft te zijn voor gemeentelijke dienstverlening. Sterker nog: privacy bevordert de kwaliteit van gemeentelijke dienstverlening, doordat wordt voorzien in waarborgen voor de continuïteit, kwaliteit en veiligheid van informatievoorzieningen. Op deze manier worden omissies en fouten tegengegaan, zodat burgers beter behandeld worden, ofwel: de overheid klantgerichter werkt.
4. Minder complexiteit
De WBP zegt niet dat een gemeente zo weinig mogelijk van een burger mag weten. Wel dat de informatie toereikend, terzake dienend en tegelijkertijd ook weer niet overdadig moet zijn. In een praktisch aanpak is ook hierin de juiste balans gevonden. Waarbij ambtenaren en beleidsmakers mogen vertrouwen op de juistheid en de nauwkeurigheid van bestuurlijke informatie.
Praktisch privacy management is gericht op het bereiken van effectieve en efficiënte oplossingen. Zaken die de aanpak ingewikkeld maken (en daarmee vaak onnodig kostbaar of tijdrovend) horen daar niet in thuis of kunnen op een andere manier worden opgelost. Zo is het probleem op pagina 13 van de VISD-startnotitie over privacy – de opstellers hebben het over een ‘informatiedilemma’, bij een praktische aanpak een non-issue. Het probleem wordt opgeworpen in verband met het © Privacy Management Partners 2014
Dat wil niet zeggen dat informatie altijd 100% correct is. Maar tot de klantgerichtheid van een praktische aanpak behoort ook de service om 3
CONCEPT van 3 april 2014
inzage- en correctiemogelijkheden te faciliteren (eveneens een wettelijke plicht), zodat burgers kunnen meehelpen bij de kwaliteitsbewaking.
privacywetgeving, dus ook de huidige WBP, altijd bedoeld is geweest zoals in deze white paper beschreven. Het ligt dan ook voor de hand om van het begin af aan voor de praktische aanpak te kiezen, aangezien die over een paar jaar sowieso verplicht wordt gesteld.
6. Kostenbeheersing Praktisch privacy management is nadenken over effectieve en efficiënte oplossingen. Een bestaande aanpak kan prima blijken. Maar ook kan blijken waar informatievoorzieningen risico’s met zich meebrengen vanuit bestuurlijk en/of persoonlijk perspectief. Vaak heeft dat te maken met inefficiënties zoals verouderde voorzieningen en wildgroei, en blijken er kosten te kunnen worden bespaard door modernisering en stroomlijning. Een praktische aanpak betekent daarnaast ook dat kosten door fouten en het herstel daarvan worden tegengegaan, net zoals de kosten die worden veroorzaakt door onnodige regeldruk en andere formaliteiten. Last but not least bespaart een praktische aanpak op negatieve energie, eindeloze discussies, onzekerheid, onduidelijkheid, reputatieschade, eventuele verplichtingen tot het betalen van schadevergoeding aan burgers, bestuurlijke afbreukrisico’s en bestuurlijke boetes.
8. Relatiemanagement CBP Het College Bescherming Persoonsgegevens is de toezichthouder die van staatswege toezicht houdt op de naleving van de WBP/AVG. Het is belangrijk om het CBP goed mee te nemen in de verdere vormgeving van de decentralisaties zónder in de valkuil te stappen van formalisme. Met de publicatie Richtsnoeren Beveiliging Persoonsgegevens in 2013, heeft het CBP laten zien evenzeer belang te hechten aan praktisch privacy management. Met de AVG op komst kan dat ook niet anders. Het is niet de rol of de taak van het CBP om keuzes te maken voor gebalanceerde oplossingen. Die verantwoordelijkheid ligt uiteindelijk bij de eindverantwoordelijke bestuurders. Het vertrouwen van het CBP wordt gewonnen door beleidstransparantie en consultatie – waarbij het met name belangrijk is om te laten zien dat bij de vormgeving eigen privacytoezichthouders betrokken zijn, die hiervoor al even aan bod kwamen: de privacy officers (of de wettelijke term: ‘functionarissen voor de gegevensbescherming’).
7. Bestendigheid Een praktische aanpak is een transparante aanpak, waarbij de dialoog met de burger wordt gezocht. Niet alleen waar het gaat om kwaliteitsbewaking (zie boven) maar ook bij het maken van keuzes. Dat is bevorderlijk voor begrip en draagvlak. Tegelijkertijd resulteert praktisch privacy management in evenwichtige kwaliteitsoplossingen die meebewegen met technische, maatschappelijke en wettelijke ontwikkelingen omdat de aanpak steeds wordt bijgesteld wanneer dat, om welke reden dan ook, nodig blijkt – dat maakt de aanpak toekomstbestendig.
Het voert te ver om hier uit te wijden over een slimme privacy officer-aanpak, maar ook daarbij moet de privacy management matrix goed in de gaten worden gehouden. Goede privacy officers zijn een belangrijke ingrediënt bij het tegengaan van privacydebacles zoals het elektronisch patiëntendossier en het rekeningrijden.
Praktisch privacy management is daarnaast ook toekomstbestendig omdat de Europese AVG, die al een aantal keren aan bod kwam, verduidelijkt dat © Privacy Management Partners 2014
4
CONCEPT van 3 april 2014
Besluit
Hun kennisprofiel is wettelijk vastgelegd.
In deze white paper hebben wij laten zien dat de rijksoverheid en gemeenten het zelf in de hand hebben om van de decentralisaties een succes te maken. Dat succes begint bij het scheppen van de randvoorwaarden voor een behoorlijke en zorgvuldige aanpak volgens de wet. Dat is een bestuurlijk vraagstuk. Van daaruit kan worden toegewerkt naar een duurzame aanpak op uitvoeringsniveau, zodat privacy integraal ge(waar)borgd wordt.
Ook bij de overige uitgangspunten in de VISD-notitie kunnen kanttekeningen worden geplaatst. Om er enkele te noemen: het is privacyrechtelijk onjuist dat een burger mede-eigenaar zou zijn van zijn gegevens. Hooguit komen hem medebeheerrechten toe. Ook over de rol van toestemming moet beter worden nagedacht. Wettelijk is er juist géén noodzaak om toestemming te vragen, al kan toestemming in bepaalde gevallen wellicht bevorderlijk zijn voor succes. Probleem is wel dat bij toestemming continuïteitsvragen gaan spelen. En een recht om vergeten te worden, bestaat vooralsnog niet.3 Wel dient er beleid ontwikkeld te worden voor de verwijdering / archivering van informatie – wat overigens een mooi voorbeeld is van gemeenschappelijk te ontwikkelen beleid.
Niet voor niets spreekt de wetgever in de WBP de bestuurlijk eindverantwoordelijken aan. En niet voor niets wordt in de AVG een heel hoofdstuk aan die bestuurlijke eindverantwoordelijkheid gewijd. Privacywetgeving is wetgeving over behoorlijk bestuur en goede besturing. Vanaf 2014 riskeren bestuurders bijzonder hoge boetes bij verzuim in het scheppen van praktische waarborgen. Terugkerend naar de VISD-notities – met name de startnotitie over privacy, zijn wij er dan ook hogelijk over verbaasd dat in de slotparagraaf (‘Uitgangspunten om de privacy te borgen’) die borging volledig is weggelaten.
Over Privacy Management Partners Met Privacy Management Partners staat u sterker. Wij zijn Data Protection Officers met een bewezen staat van dienst.
! Het belangrijkste uitgangspunt, dat nu ontbreekt, is de bestuurlijke eindverantwoordelijkheid en het vermogen om steeds rekenschap af te kunnen leggen over privacybeleid en maatregelen.
Onze betrokkenheid kan u wettelijke erkenning opleveren. Wij helpen bij het realiseren van privacybestendige oplossingen: behoorlijk, zorgvuldig en in overeenstemming met de wet, en tegelijkertijd praktisch en pragmatisch.
! Een ander uitgangspunt zou moeten zijn dat gemeenten geholpen worden bij het vinden van gezamenlijke oplossingen – organisatorisch, technisch en juridisch. Voor het ministerie van SZW, VNG en KING is hier een belangrijke rol weggelegd.
T 085 4013 866 M
[email protected] I www.pmpartners.nl
! Ook is van groot belang om bij de verdere vormgeving steeds goed privacy officers te betrekken – zowel bij de landelijke als de gemeentelijke aanpak.
© Privacy Management Partners 2014
3 Ook bij de behandeling van de AVG stuit een ‘recht
op vergetelheid’ nog steeds op grote praktische bezwaren.
5