Informatie-ecosysteem, het nieuwe groen drs. A.J. Biesheuvel RA RE
Inleiding In dit artikel ga ik in op een nieuwe fase in de ontwikkeling van informatiesystemen zoals die steeds meer zichtbaar wordt. Het gaat daarbij niet zozeer om de ontwikkelingen wat betreft de technische aspecten van informatiesystemen maar om een kanteling waarbij de dienstbaarheid van informatiesystemen aan algemene maatschappelijke uitgangspunten wordt vergroot. Informatiesystemen worden in die ontwikkeling meer in balans gebracht met uitgangspunten zoals privacy, beveiliging en eigen verantwoordelijkheid. Met de term informatieecosysteem wordt die kanteling kernachtig samengevat.
Informatiesystemen zullen steeds meer zodanig moeten worden ontworpen dat de harmonie met algemeen maatschappelijke uitgangspunten wordt “ingebakken”. Dat vraagstuk is niet nieuw. De opmerking in de titel van dit artikel “het nieuwe groen” is daarom een – prikkelende - verwijzing naar de harmonievragen die spelen bij het zorgvuldig omgaan met onze leefomgeving.
De behoefte aan informatie-ecosystemen hangt samen met en is afhankelijk van de omstandigheden waarin informatiesystemen functioneren. Een belangrijke omstandigheid is de mate waarin betrokkenen bij informatiesystemen kennis dragen van de verschillende aspecten van informatiesystemen. Zo is essentieel voor de ontwikkeling van informatie-ecosystemen dat betrokkenen een zodanig opleidingsniveau hebben dat de voorwaarden vervuld zijn een transitie te maken van een verzorgingsmaatschappij naar een participatiemaatschappij. Deze transitiebeweging is wel al geruime tijd ingezet maar nog (lang) niet geïnstitutionaliseerd. Dat institutionaliseren kan door de betrokkenen “in control” te brengen over hun eigen persoonsgegevens. Daarmee kan de keten worden omgekeerd en participatie op grote schaal (massaindividualisatie) worden gerealiseerd. Het omkeren van de keten – in plaats van de verantwoordelijke die aan de touwtjes trekt is het de betrokkene zelf - is voor de betrokkene niet vrijblijvend. Er ontstaat een verantwoordelijkheid voor de betrouwbaarheid voor de eigen informatie. Ook de rol van de verantwoordelijke wijzigt. Voor de verwerking van de persoonsgegevens heeft de verantwoordelijke bij een dergelijke omkering van de keten een aangepaste grondslag nodig. Met het omkeren van de keten en het verschuiven van de taken,
1/13
bevoegdheden en verantwoordelijkheden ontstaat voorts een meer perfecte markt die effectiever en efficiënter bediend kan worden. Het ligt daarom in de verwachting dat markten productiever worden.
Het artikel behandelt naast het hiervoor geschetste kader meer in het bijzonder het ontstaan en de achterliggende concepten en technieken van informatie-ecosystemen. Vervolgens worden trends besproken waarbinnen dergelijke ecosystemen passen. Uit deze trends worden te verwachten ontwikkelingen gedistilleerd en worden de gevolgen voor bestaande business cases voor bedrijven en instellingen die de transitie nog moeten ondergaan, besproken.
Wat zijn informatie-ecosystemen en waarom ontstaan ze? Een informatie-ecosysteem is een systeem waarin de verschillende informatie-elementen en –krachten elkaar in balans houden en daardoor zorgen voor een duurzame en harmonieuze relatie. Informatie-ecosystemen kunnen worden gezien als het logisch vervolg van de ontwikkelingen in de jaren negentig van de vorige eeuw waarbij de dominantie van producenten van informatiesystemen afbrokkelde. Thema’s als inspelen op individuele klantwensen, maatwerk zonder meerkosten, initiatief bij de afnemer, ketenomkering, samenwerking en netwerkvorming kregen meer aandacht. In potentie ging iedere afnemer van producten en/of diensten zijn eigen markt bepalen. Alleen in Nederland gaat het dan al om zo’n 16 miljoen markten. Zo gezien betekent ketenomkering een forse omschakeling in de bedrijfsvoering. Uitgangspunt destijds was vooral ketenomkering van productieprocessen die geautomatiseerd kunnen worden en daardoor de grootste dominantie van producenten kenden. Mondiaal werden deze gedachten over verbetering van de balans tussen producent en afnemer overtuigend in de praktijk gebracht. Een overtuigend voorbeeld is de markt van geluidsen beelddragers. Veel consumenten “gebruiken” muziek en films inmiddels via een dienst op maat in plaats van via een levering door het kopen van CD’s of DVD’s. Met name Steve Jobs heeft met het “empoweren” van de consument deze en ook andere marken structureel en blijvend veranderd. Maar ook ‘surfend en google-end’ boeken van hotels en zelf samenstellen van reizen zijn voorbeelden van het ontstaan van individuele markten. Niettemin zijn er ook nog veel sectoren waar niet veel is veranderd. Denk aan de financiële markten, informatiemarkten en niet te vergeten de overheden. Dat is wel bijzonder als wordt gelet op het krachtenveld waarin de empowering van de consument zich voltrekt. In dat krachtenveld zijn het niet alleen min of meer organische ontwikkelingen die het zwaartepunt hebben verlegd naar de consument maar ook de gewijzigde juridische kaders die aan de bescherming en de zeggenschap van de consument hebben bijgedragen. De 1
privacybescherming was daarbij een vroege mijlpaal. De Europese privacyrichtlijn stamt immers uit 1995 en de
1
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
2/13
2
implementatie hiervan heeft in Nederlandse wetgeving in 2000 plaatsgevonden. Toen hadden we het ontstaan van informatie-ecosystemen bij wijze van spreken al voor een belangrijk deel kunnen afdwingen. De huidige wetgeving “empowers” nu al het individu, de betrokkene, en verplicht het bedrijf of de instelling (de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens) nu al de rechten van de betrokkene te 3
faciliteren. Een individu gedreven informatie-ecosysteem biedt bovendien naast principiële voordelen de betrokkene en de verantwoordelijke duidelijke economische voordelen. De kosten voor diensten en logistiek zijn substantieel lager. Dit wordt bijvoorbeeld overtuigend aangetoond in de markt van geluids- en beelddragers.
Maar waarom rationaliseren dan niet alle markten? Waarom worden de ketens in de markt niet omgedraaid en blijft de imperfectie in deze markten bestaan? Erger nog, er zijn bedrijven en instellingen gekomen die de vrijheden van betrokkenen verder hebben teruggedrongen. Het individu is helemaal niet “in control” over zijn of haar persoonsgegevens. Denk hierbij aan bedrijven als Facebook, Twitter en Google met nieuwe vormen van dominantie. Wellicht zijn het de imperfecte markten die nog verder imperfect zijn geworden. En de kosten van imperfectie worden bij betrokkenen (en dat zijn niet alleen de individuen maar ook bedrijven zelf) in rekening gebracht en wel onder de noemer van risicokosten. Macro-economisch kenmerkt een perfecte of competitieve markt zich door perfecte informatie. In die situatie is alle informatie die van belang kan zijn voor de beslissing van koper of de verkoper bekend en wordt ook door partijen begrepen. Het gaat er dus om dat ten behoeve van de beoogde transactie de gegevens van het individu en de instelling betrouwbaar zijn en aansluiten bij de belevingswereld van partijen. Echter, in de “echte wereld” is er vaak sprake van incorrecte en onvolledige informatie. Om hier meer duidelijkheid in aan te brengen is de betrokkenheid van de betrokkene noodzakelijk. Marktdominantie leidt immers tot verstoringen in het marktmechanisme en dat manifesteert zich in belemmeringen in de toegang tot de markt en het veroorzaken en in stand houden van irrationele prijsopslagen (voor bijvoorbeeld opslagen voor risicokosten voor het ontoereikend kennen van de klant). Het is het Europees parlement duidelijk dat markten een “duwtje” nodig kunnen hebben om de imperfectie weg 4
te nemen. Hierbij kunnen de uitgangspunten van de Europese privacyrichtlijnen alsmede de implementaties
2
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), http://wetten.overheid.nl/BWBR0011468/. 3 De keerzijde voor de betrokkene is wel dat de betrokkene meer verantwoordelijk draagt voor de kwaliteit van zijn of haar persoonsgegevens. 4 Het EU-rechtskader voor persoonsgegevensbescherming wordt voorgesteld in Mededeling COM(2012) 9 definitief, Privacywaarborging in het online tijdperk, Een Europees gegevensbeschermingskader voor de 21e eeuw (http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0009:FIN:NL:PDF) . Het voorgestelde rechtskader omvat twee wetgevingsvoorstellen: -
een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens; en een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens.
3/13
hiervan in nationale wetgeving gehandhaafd blijven. De toezichtarrangementen zijn wel toe aan een grondige revisie. Een en ander heeft zijn beslag gekregen in de verordening die 25 januari 2012 door de Europese 5
commissie is voorgesteld. Het in het Europees parlement in stemming krijgen van de verordening is geen eenvoudige weg. Met veel stuurmanskunst proberen de eurocommissaris en de rapporteur van de vaste commissie LIBE het parlement en de Raad van Ministers op één lijn te krijgen. Voor alle partijen staan de 6
voordelen voor de betrokkene en de verantwoordelijke niet ter discussie.
Informatie-ecosystemen ontstaan veelal spontaan. De aanleiding zijn de marktomstandigheden die alle stakeholders voordelen bieden. Daarvoor moet de informatie in het ecosysteem transparant en perfect zijn. De informatie-ecosystemen worden gekenmerkt door algemeen geaccepteerde mores waarbij de volgende kenmerken kunnen worden genoemd:
-
Eén taal, een eenduidige semantiek en voorspelbare processen voor samenwerken. Het streven naar meer zekerheid omtrent de betrouwbaarheid van informatie vanuit het perspectief van de stakeholder. Duidelijke structuur van taken, bevoegdheden en verantwoordelijkheden van de verschillende stakeholders. Een “evidence based” compliance structuur waar “show me” centraal staat en in mindere mate “tell me”. Vergaande disintermediatie (verwijderen van tussenschakels). De direct betrokkenen nemen zelf verantwoordelijkheid voor het nakomen van de mores.
Uitgaande van deze kenmerken kan het organiseren van een dergelijk ecosysteem slechts plaats vinden als de taken, bevoegdheden en verantwoordelijkheden worden herschikt. Niet alleen het bedrijf of instelling is “in control” maar ook het individu.
Nu concreet! Hoe ziet een dergelijk informatie-ecosysteem er uit? In de artikelenbundel uitgebracht ter gelegenheid van het Duthler Associates symposium, d.d. 6 juni 2012 is een informatie-ecosysteem uitgewerkt in de vorm van een semantisch Trust Center (sTC). Door de Europese 7
commissie zijn vergelijkbare informatie-ecosystemen uitgewerkt in ABC4Trust en Tas3. Zie ook de initiatieven op verschillende terreinen van Synergetics (http://synergetics.be).
5
Op 25 januari 2012 presenteerde de Europese Commissie (EC) haar voorstel voor een verordening van het Europees parlement en de raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, COM (2012) 11 final. Zie voor een uitgebreide behandeling van dit voorstelde artikelen in de artikelen bundel uitgebracht ter gelegenheid van het Duthler Associates symposium, d.d. 19 juni 2014. Zie http://www.duthler.nl/nl/informatie-ecosysteem-het-nieuwegroen. 6 In de artikelen bundel uitgebracht ter gelegenheid van het Duthler Associates symposium, d.d. 19 juni 2014 heeft H.G. van de Linde RA een overzicht gemaakt van de voordelen voor de verantwoordelijke van het van kracht worden van de Europese privacyverordening. Zie http://www.duthler.nl/nl/informatie-ecosysteem-het-nieuwe-groen. 7 Zie voor meer informatie https://abc4trust.eu en http://vds1628.sivit.org/tas3/.
4/13
Het inherent voldoen aan wet- en regelgeving op het vlak van gegevensbescherming en privacy vormt het startpunt voor een sTC. Hiermee wordt ook voldaan aan de eisen van een perfecte markt. Persoonsgegevens staan onder controle van de betrokkene, worden gecontroleerd en onder een policy verstrekt aan de verantwoordelijke en het verwerken van de persoonsgegevens vindt transparant plaats. Steeds is de verantwoordelijke ter verantwoording te roepen en is de bedrijfsvoering te onderzoeken.
De kwaliteit van de gegevensverwerking in het sTC wordt geborgd door een regelconforme semantische gegevens- en proceslaag. Gegevensdefinities worden met behulp van open standaarden in gegevenswoordenboeken, ook wel taxonomieën, vastgelegd. Hiermee ontstaat een taal binnen het ecosysteem en kan op een eenvoudige wijze interoperabiliteit of dataportabiliteit worden gefaciliteerd. Processen worden taxonomiegedreven vastgelegd in processchema’s en dat geldt ook voor validatieregels. Op deze wijze kan op een gestandaardiseerde wijze een informatie-ecosysteem worden opgebouwd.
Compliance is naast een zuivere semantiek afhankelijk van de materiële volledigheid en juistheid. Het sTC, als trusted third party, kan hierin voorzien met arrangementen op het vlak van doorlopende audits. Uitgaande van een basis- of nullijn wordt het sTC gemonitord. Incidenten en ook “evidence” dat het systeem goed heeft gefunctioneerd worden vastgelegd en geborgd door het sTC.
In de uitwerking van het sTC ten behoeve van bedrijven en instellingen of voor een sector wordt overzicht en inzicht gecreëerd in het verantwoordelijkheids- en aansprakelijkheidsgebied met behulp van de legal entity 8
framework taxonomie. Vervolgens worden verwerkingen geïnventariseerd en gedocumenteerd met privacy taxonomieën. Dit geldt ook voor het door de verantwoordelijke faciliteren van de actieve en passieve rechten van de betrokkenen, voldoen aan de meldplicht datalekken en faciliteren van de informatie-policies waarmee betrokkene informatie deelt met verantwoordelijken.
8
Zie de bijdrage van Mr. J. Vieberienk in de bundel uitgebracht ter gelegenheid van het Duthler Associates symposium, d.d. 19 juni 2014 voor een nadere toelichting op de legal entity framework taxonomie en hoe deze taxonomie gebruikt wordt binnen een sTC. Zie http://www.duthler.nl/nl/informatie-ecosysteem-het-nieuwe-groen.
5/13
Ontwikkelingen en trends, de bestaande (eco)systemen zijn domweg te duur! Cloud computing en big data zijn de buzzwoorden van vormen van dienstverlening die meer en meer worden toegepast. Als deze vormen van dienstverlening recht doen aan een perfecte of competitieve markt dan worden mogelijke (technische) verhinderingen van het tot stand brengen van een informatie-ecosystemen weggenomen. Wordt de imperfectie verder aangejaagd dan zullen de initiatieven op dat vlak leiden tot kostenverhogingen voor de slecht geïnformeerde stakeholders.
Om inzichtelijk te maken wat er (macro) economisch gebeurt kan een trend worden geschetst in de relatie tussen bedrijven op het moment dat er sprake is van een transactie in algemene zin.
Als bedrijven en of instellingen transacties verrichten met individuen of andere bedrijven en of instellingen wordt er gewerkt aan een vertrouwensrelatie. Deze relatie kan incidenteel zijn maar ook een reguliere basis hebben. Denk aan een klant-/leveranciersrelatie of een kredietrelatie. Om een transactie tot een succes te maken moet er een wederzijds belang bestaan om zaken te doen en er moet vertrouwen zijn dat de relatie uiteindelijk oplevert wat beoogd wordt. Essentieel voor een relatie vormt de informatie die partijen uitwisselen. Het geeft overzicht en inzicht in de bedreigingen en afhankelijkheden en vormt de basis voor het afwegen van mogelijke risico’s. Voor een effectieve en efficiënte relatie moet er sprake zijn van transparantie en evenwicht in de informatie-uitwisseling. Op macro-economisch niveau spreken wij over perfecte marktverhoudingen.
Gaandeweg en onder druk van efficiënt zakendoen zijn er intermediairs ontstaan, zoals notarissen, accountants, handelsinformatiebureaus, verzeringsagenten etc. In het model van zakendoen zijn intermediairs gaan zorgen voor de informatie. Men zou kunnen zeggen dat de intermediairs hiermee ook verantwoordelijk zijn geworden voor de kwaliteit en het evenwicht in de informatie-uitwisseling. Niets is minder waar. Bij het aangaan van een transactie is de verkopende partij steeds vaker informatie over zijn (potentiële) klant bij kredietbeoordelaars, accountants, juristen en/of interne houders van registers gaan vragen. Steeds minder bij zijn klant. De intermediairs rapporteren elk op hun eigen wijze, vanuit hun eigen perspectief en veelal zonder het vermelden van bronnen. Afstemming tussen de informatie van de intermediairs vindt veelal niet plaats. De imperfectie van de informatie van intermediairs wordt vervolgens vertaald in een kostenopslag voor het niet (voldoende) kennen van de klant. Deze gang van zaken heeft in de tachtiger jaren met de ontwikkeling van computerkracht en opslagcapaciteit van gegevens een vlucht genomen. Zonder dat er sprake is van een duidelijke vraag voegen intermediairs hun informatie toe aan databases. De verkopende partijen kennen hun klanten als “entries” in
6/13
verschillende databases en baseren hun transactie op deze informatie. Het foutlopen van transacties wordt omgeslagen over de populatie als een kostenopslag voor het risico van het niet kennen van klanten.
9
De maatschappij staat aan de vooravond van algemeen gebruik van cloud computing en big data. Als deze technieken ervoor zorgen dat de informatie-asymmetrie (de macro-economische informatie- imperfectie) verder toeneemt dan zullen als gevolg van het niet kennen van de klant de banken de bedrijfskredieten en de leveranciers de leverancierskredieten beperken en de opslagen voor het risico van het niet kennen van de klanten verder opschroeven. Zijn er naast deze technologische ontwikkelingen ook andere ontwikkelingen die in ogenschouw moeten worden genomen? De volgende ontwikkelingen kunnen worden genoemd:
-
Technologie (reeds behandeld). Aanbod van informatie Gedrag en sociale context Wet- en regelgeving
Er bestaat een algemene opvatting dat informatie gratis is, vooral als het elektronisch beschikbaar is (op het internet). Onmiddellijk te gebruiken voor allerlei toepassingen. Dat is echter schijn omdat de semantiek (de betekenis van de gehanteerde begrippen) in “ruwe” informatie onbepaald en onduidelijk is. Er kan slechts in beperkte mate geverifieerd worden welke kwaliteit de “ruwe” informatie heeft. De betekenis van deze informatie in een transactieproces is dan ook moeilijk in te schatten. In het huidige transactiemodel waarbij de informatie van de intermediair een belangrijke rol speelt, wordt het verificatieproces in ieder geval ernstig bemoeilijkt. Het is te verwachten dat de imperfectie in een markt met veel (gratis) “ruwe” informatie verder imperfect wordt.
Het is een algemeen bekend feit dat informatie-ongelijkheden en misplaatste hebzucht de belangrijkste oorzaken zijn geweest voor het ontstaan van de kredietcrisis. Financiële instellingen hebben bewust informatieachterstanden bij consumenten gecreëerd. Op de website van het ministerie van financiën is te lezen 10
dat sinds 2000 banken veel risico’s bij het verstrekken van hypotheken namen. De banken hebben risicovolle hypotheken herverpakt in ondoorzichtige financiële producten en wereldwijd doorverkocht. Toen eigenaren van de huizen de rente (en aflossing) niet meer konden betalen, raakten banken in problemen en dreigde alle betalingsverkeer stil te vallen. Hierdoor verspreidde de kredietcrisis zich als een olievlek.
9
De kosten van deze ontwikkeling zijn te duiden door de LIBOR (dit is het gemiddelde interbancaire rente tarief waartegen een selectie van banken op de Londense geldmarkt elkaar leningen wil verstrekken) vergelijken met rente voor een rekeningcourant bij de ING Bank. De LIBOR – 6 maanden op 25 mei 2014 is 0,36986% en dalende en de debetrente zakelijk krediet bedraagt 7,2%. Een deel van het verschil wordt gebruikt voor het dekken van de operationele kosten en winst van de bank. Het resterende bedrag vormt de opslag voor het risico van het niet kennen van de klant. 10 http://www.rijksoverheid.nl/onderwerpen/hervorming-financiele-sector/documenten-enpublicaties/kamerstukken/2013/08/23/kabinetsvisie-nederlandse-bankensector.html
7/13
Hebzucht is een menselijke eigenschap en niet specifiek te koppelen aan de kredietcrisis. Maar onverschilligheid voor de hebzucht bij instellingen die een maatschappelijke functie hebben (banken, intermediairs waaronder professionals als accountants, advocaten, fiscalisten, notarissen en andere adviseurs) is voor een samenleving ronduit gevaarlijk. Het versterkt logischerwijs de imperfectie in markten. Het gedrag van professionals van “wat kan ik verdienen aan mijn klant” in plaats van “wat kan ik betekenen voor mijn klant” heeft diepe sporen achter gelaten in de opvattingen over integriteit en eerlijk zaken doen. In de sociale context zijn dan ook in de afgelopen jaren duidelijke veranderingen merkbaar.
11
De Europese en nationale wetgevers hebben het belang van informatie-ecosystemen onderkend. Rutte II heeft expliciet het begrip participatie in de samenleving opgenomen in het regeerakkoord VVD – PvdA: ‘Bruggen 12
slaan’. Verder staat het beschermen van persoonsgegevens bij het aanleggen van databestanden centraal. Er 13
wordt invulling gegeven de kamerbrede motie van het lid Recourt d.d. 15 maart 2012. In Europa heeft de Europese commissie onder leiding van Eurocommissaris Viviane Reding op 25 januari 2012 een Europese privacyverordening voorgesteld. In de voorstellen stellen de wetgevers het individu, de betrokkene centraal als het gaat om het “in control” zijn over de eigen persoonsgegevens, moeten bedrijven en instellingen de betrokkene in voldoende mate faciliteren hun rechten uit te oefenen en wordt een stevig toezichtarrangement voorgesteld op non-compliant gedrag.
De geschetste ontwikkelingen en trends in samenhang tonen een beweging naar meer ordening rond massaindividualisatie. Aanstaande wet- en regelgeving en met name de sancties zijn van een dusdanige omvang dat imperfecte markten gedwongen worden over te gaan naar meer transparantie en betere informatie voor alle stakeholders. Er ontstaan nieuwe ecosystemen waar het individu (en ook bedrijven) in een betere situatie terecht komen. Uitoefenen van macht door enkelen kan niet langer meer op basis van het creëren van imperfecties in de markt. Businessmodellen moeten worden heroverwogen en intermediairs moeten mogelijk omzien naar nieuwe dienstverlening die past binnen de “nieuwe” informatie-ecosystemen.
Macro-economisch zijn de voordelen niet moeilijk te bedenken. Perfectere markten zijn effectiever en efficiënter voor de (resterende) stakeholders. Uiteindelijk wordt de transactieketen productiever.
11
14
In dit verband wil ik verwijzen naar de inspanningen van het NBA, Nederlandse beroepsorganisatie van accountants (NBA) die met man en macht de kernwaarden van accountants verdedigen, stimuleren en organiseren. Een illustratief voorbeeld vormt de KPMG-kwestie die uitdrukkelijk in alle openheid wordt besproken. 12 Zie http://www.parlement.com/9291000/d/regeerakkoord2012.pdf waar het woord participatie 19 maal in voorkomt. Bruggen slaan, Regeerakkoord VVD – PvdA, 29 oktober 2012. 13 Kamerstuk 32 761. De motie roept de regering op met enig spoed de boetebevoegdheid voor het College bescherming persoonsgegevens (wettelijk) mogelijk te maken. De motie is uitgewerkt in het wetsvoorstel meldplicht datalekken, kamerstuk 33 662. 14 Zie in dit verband “Law and economics analysis of EU GDPR”, d.d. 21 juni 2013 en Protection of Information and the Right to Privacy: A new equilibrium? van European Centre for International Political Economy (ECIPE). http://www.ecipe.org/media/external_publication_pdfs/EUI_privacy.pdf
8/13
Formeel juridisch kader, een belangrijke motivatie om te veranderen. Er worden geen echt nieuwe formeel juridische kaders in de aanstaande wetten en regels voorgesteld. De doelen en de uitgangspunten van de bestaande wet- en regelgeving blijven immers gehandhaafd. In het Nederlandse Wetsvoorstel meldplicht datalekken gaat het met name om het verhogen van de sanctiebevoegdheid voor de toezichthouder, het College bescherming persoonsgegevens (CBP) en het expliciet maken van het signaleren van incidenten – bij de verantwoordelijke én bij de bewerker – op het vlak van gegevensbescherming en privacy, het documenteren van deze incidenten, afwegen of en in hoeverre incidenten aangemerkt moeten worden als datalekken en eventueel melden van de datalekken bij de toezichthouder en de betrokkenen in de zin van de wet.
De nieuw Europese privacyverordening is te zien als een nadere uitwerking op maatregelen niveau van de Europese privacy richtlijn uit 1995 en de uitwerking hiervan in de nationale wetgeving van de verschillende lidstaten. Het toepassen van het instrument verordening betekent dat er één eenduidige set van regels gaat ontstaan in alle lidstaten van de Europese Unie. De relevante verplichtingen van de voorgestelde verordening kunnen als volgt worden opgesomd:
-
De betrokkene (het individu) is “in control” over zijn of haar persoonsgegevens. Deze verschuiving van het “in control” zijn over de persoonsgegevens van de verantwoordelijke naar de betrokkene schept ook verplichtingen bij de betrokkene de kwaliteit van de persoonsgegevens te borgen. De verantwoordelijke faciliteert in voldoende mate de rechten van de betrokkene. Het aantoonbaar verhogen van de “awareness” omtrent gegevensbescherming en privacy bij alle stakeholders in het informatie-ecosysteem. Speciale aandacht is er voor de Functionaris voor de Gegevensbescherming (FG). Deze functie wordt zwaar opgewaardeerd Om de verantwoordelijkheden en aansprakelijkheden te managen is overzicht en inzicht nodig over het verantwoordelijkheidsgebied, de verwerkingen, passende beveiligingsmaatregelen en voorgedane incidenten Accountability en auditability staan centraal. Hiervoor is een ander compliancebenadering nodig dan die er nu is. Het gaat van “tell me” naar “show me”, oftewel van “risk based compliance” naar “evidence based compliance”. Het organiseren van meldplicht datalekken. En: een varia van specifieke aandachtspunten.
Het verruimen van de bevoegdheid van de toezichthouders om op grond van de nieuwe verordening een sanctie 15
van materieel belang op te leggen creëert een nieuw evenwicht binnen markten. Met name markten waar consumenten nu nog op achterstand staan in informatiesystemen, zullen na het van kracht worden van de bedoelde wet- en regelgeving structureel gerationaliseerd worden. Hierbij ontstaan nieuwe informatie-
Zie ook “The economic importance of getting data protection right”, d.d. 15 april 2013 van U.S. Chamber of Commerce. https://www.uschamber.com/economic-importance-getting-data-protection-right 15
In het kader van het wetsvoorstel meldplicht datalekken spreken wij over sancties tot € 450.000 per voorval (Wbp art. 66). Het Europees parlement heeft ingestemd met sanctie van € 100.000.000 of 5% van de wereldwijde omzet (GDPR art. 78 ev.).
9/13
ecosystemen. De gevolgen voor (markten van) overheidsdiensten zijn moeilijk in te schatten. Uitgaande van het monopolistische karakter van overheden is het redelijk te veronderstellen dat met name in deze segmenten in potentie de meeste voordelen voor verantwoordelijken en betrokken burgers en bedrijven te behalen zijn. Overheidsdiensten kennen echter ook hun eigen “wetmatigheden” die zich kunnen verzetten tegen rationalisering.
Wanneer ontwikkelen zich informatie-ecosystemen en hoe snel kunnen de systemen worden geïmplementeerd? Informatie-ecosystemen kunnen zich in uiteenlopende markten ontwikkelen als gevolg van nieuwe perfectie in informatie. In sommige markten is dit al voor belangrijk deel opgelost en in andere duurt de imperfectie voort. In de markt van geluids- en beelddragers hebben i-Tunes en equivalenten de markt met perfecte informatie blijvend veranderd. Doorbraken op het vlak van het toepassen van open standaarden hebben daarbij ook bijgedragen. Al met al heeft dit geleid tot zware tijden voor ondernemingen als Free Record Shop en vergelijkbare aanbieders 16
van muziek op CD’s en DVD’s. Het voorbeeld geeft aan dat informatie-ecosystemen in andere sectoren zich ook snel kunnen ontwikkelen. Het is redelijk te veronderstellen dat met het van kracht worden van de meldplicht datalekken en vervolgens de Europese privacyverordening het aantal markten dat met evenwichtiger en perfecter informatiesystemen gaat werken, zal toenemen.
De snelheid waarmee informatie-ecosystemen zich ontwikkelen kan hoog zijn. De technische, organisatorische en juridische randvoorwaarden zijn immers voor handen en er is ervaring opgedaan met het opbouwen van dergelijke informatie-ecosystemen. Stakeholders – en dat kunnen zowel burgers als bedrijven zijn – hebben duidelijk iets te winnen: meer toegang tot markten en dit tegen lagere transactiekosten. De keerzijde is wel dat de gevestigde orde inclusief een omvangrijk aantal intermediairs stappen terug moeten doen. Macro-economisch zal een en ander leiden tot een substantiële verhoging van productiviteit binnen Europa.
Gevolgen voor bestaande business modellen, hoofdlijnen Wat zijn de gevolgen voor de business modellen die thans bestaan binnen imperfecte markten? Belangrijk voor het antwoord is dat het marktaandeel van aanbieders van producten en diensten in deze markten veelal wordt afgeschermd door het cultiveren van informatie-ongelijkheden. Dit maakt het bijvoorbeeld mogelijk dat concurrenten uit de markt worden geweerd en irrationele prijzen gevraagd kunnen worden. Gevolg is dat de economie op macro- en mesoniveau achterblijft. Betrokkenen en ook bedrijven hebben namelijk slechts beperkt
16
Zie de berichten op http://www.retailnews.nl.
10/13
toegang tot op hun situatie gerichte markten en moeten hogere prijzen betalen als gevolg van de imperfecte informatie in de markt waar zij wel terecht kunnen..
Wat kan worden verwacht van het van kracht worden van de aanstaande wet- en regelgeving op het vlak van gegevensbescherming en privacy? Hierna een behandeling per marktsegment.
Financiële instellingen Zoals eerder in dit artikel is aangegeven bestaat er een discrepantie tussen de rentevoet van het aangetrokken en het uitgezette geld. Dit wordt met name veroorzaakt door onzekerheden omtrent het kennen van de klant. Het is opmerkelijk dat de wetgever wel degelijk expliciet aan de instelling vraagt de klant te kennen. En ook dat toezichthouders, zoals de AFM en De Nederlandsche Bank frequent handreikingen publiceren om dat onder de 17
aandacht te brengen. Met het van kracht worden van de meldplicht datalekken en de daar gekoppelde verplichtingen en vooral de Europese privacyverordening zullen financiële instellingen de klanten – particulieren en bedrijven – moeten “empoweren” met de over hen bij de instelling bekende informatie. In vele gevallen zullen financiële instellingen de toestemming van hun klanten nodig hebben om de verzamelde gegevens te verwerken . Het gebruik van persoonsgegevens afkomstig van bewerkers, zoals kredietinformatieleveranciers kan niet (meer) zonder waarborgen plaatsvinden. En het verstrekken van betalingsgedraggegevens aan derden, zoals de ING Bank dat heeft voorgesteld, mag in een informatie-ecosysteem slechts met toestemming van de betrokkene plaatsvinden.
18
Het is goed om vast te stellen dat de huidige en ook de aanstaande wetgeving op het vlak van gegevensbescherming en privacy niet conflicterend is met sectorale wetgeving. De rode draad is het faciliteren van transparantie naar de cliënten en naar de toezichthouders. Het ligt dan ook voor de hand dat ook sectorgewijs wordt gestreefd naar informatie-ecosystemen waarmee transparantie voor cliënten wordt gefaciliteerd. Een perfecte markt waarbij de instellingen inzicht kunnen geven in de creditscore, de verklaring voor de omvang van de kredietlijn of het verzekerde belang alsmede de hoogte van de kosten.
Grootbedrijf (internationaal) Het (internationale) grootbedrijf wordt met de aanstaande wet- en regelgeving stevig aangemoedigd overzicht en inzicht te creëren in de verantwoordelijkheden en aansprakelijkheden die voortvloeien uit gegevensverwerking. Allereerst moet worden vastgesteld wie onder de verantwoordelijkheid van de holding vallen. Het ligt voor de 17
Naast wetgeving op het vlak van het financieel toezicht publiceert de AFM bijvoorbeeld “Dienstverlening op maat”, drie principes om uw dienstverlening beter aan te sluiten op de behoefte en situatie van uw klant”, d.d. juli 2013. 18 Het privacy statement van ING Bank zal sterk uitgebreid moeten worden om aan de aanstaande wet- en regelgeving op het vlak van gegevensbescherming en privacy te voldoen. Zie: https://www.ing.nl/de-ing/privacy-statement/gebruik-van-uwpersoonsgegevens/index.aspx.
11/13
hand dat dit bedrijven zijn waarin de holding een kapitaalbelang heeft van meer dan 50% (ook wel dochterrelaties genoemd). Vervolgens moet worden vastgesteld of de holding en/of de dochtermaatschappijen een overheersende zeggenschap hebben in andere entiteiten of dat er zodanige contractafspraken zijn gemaakt dat door de holding verantwoordelijkheid is genomen. Bij dit alles is het voor de rechtsgevolgen belangrijk te weten of het entiteiten zijn die binnen dan wel buiten de Europese Unie gevestigd zijn en opereren. Het op deze wijze ontstaan van een overzicht met verbonden partijen (hierbij horen ook de klanten, leveranciers, bewerkers, verdere verwerkers en groepen van medewerkers) geeft de grenzen weer van de verantwoordelijkheden en aansprakelijkheden van het grootbedrijf. Vervolgens moeten de verplichtingen uit de relevante wetgeving worden georganiseerd.
Het op dit mesoniveau organiseren van de gegevensbescherming en privacy vormt een informatie-ecosysteem op zich. Dit sluit aan op de maatschappelijke en ook bedrijfsmatige wens klanten en leveranciers te kennen. Het maakt het mogelijk bij het aangaan van transacties een betere inschatting van de risico’s te maken en zo schade voor het bedrijf te beperken. Klanten kunnen voorts door hun eigen inbreng betere informatie aanleveren waardoor een meer passend arrangement voor bijvoorbeeld leverancierskrediet kan worden geboden. De mesomarkt wordt hiermee perfecter en productiever voor alle partijen.
Midden- en kleinbedrijf Vooral het midden- en kleinbedrijf is de dupe van imperfecte markten. Of het nu gaat om leveranciers of financiële instellingen, deze ondernemers conformeren zich aan de eisen die worden voorgelegd.
19
Met de aanstaande wet- en regelgeving kan een belangrijke stap worden gezet naar een meer perfecte markt voor dit segment. Het informatie-ecosysteem biedt de sector meer transparantie. Het grootbedrijf kan voor transacties met het midden- en kleinbedrijf niet meer alleen afgaan op informatie van leveranciers van kredietinformatie of uitkomsten van profiling. De inschattingen van het risicoprofiel van de MKB’er moet expliciet worden gemaakt en als daar onjuistheden in staan kan de betrokkene ingrijpen. Het is te verwachten dat MKB Nederland en/of sectorale equivalenten de aanstaande wet en regelgeving doortastend zullen aangrijpen om informatie-ecosystemen te realiseren.
19
MKB Nederland luidt al geruime tijd de noodklok. Met artikelen zoals “Krediet van de bank? Vergeet het maar“, d.d. 20 augustus 2013, zie http://www.mkb.nl/index.php?pageID=74&ss=195&messageID=9317 , laat de vertegenwoordiger van de sector zien dat het niet uitmaakt of een financiële instelling een goed doortimmerd plan onder ogen krijgt. Het antwoord is nee of er worden onevenredig zware voorwaarden gesteld. Van transparantie omtrent de besluitvorming bij de instelling is geen sprake.
12/13
Overheden De overheid is per definitie monopolistisch. De overheidssector kenmerkt zich dan ook door een volstrekt imperfecte markt. De aanstaande wet- en regelgeving op het vlak van gegevensbescherming en privacy is echter wel van toepassing op deze sector. De burger en de ondernemer moeten gefaciliteerd worden hun rechten uit te oefenen. Dit vraagt om “compliance” van de overheid.
De voordelen voor de overheid zijn te vergelijken met de business cases van financiële instellingen en het (internationaal) grootbedrijf. Standaardisering, transparantie en rationaliseren leiden tot meer effectiviteit en efficiency in de bedrijfsprocessen en uiteindelijk tot meer productiviteit.
Specifieke (semi)overheden zoals gemeenten, ziekenhuizen en scholen zullen meer samen de bedrijfsorganisatie gaan inrichten en meer gebruik maken van bewezen producten en diensten om de betrokkene (burgers en bedrijven) te faciliteren.
Ten slotte Met name de Europese privacyverordening stuurt aan op betere informatie voor markten. Het vermindert de informatie ongelijkheden tussen partijen en komt tegemoet aan de wens meer transparantie tussen partijen te bewerkstellingen. Marco economisch leidt dit tot een gunstige economische ontwikkeling en uiteindelijk meer groei.
Dit proces van rationaliseren van informatie-ecosystemen met eigen inbreng van consumenten of burgers werkt het vervallen van tussenschakels (disintermediatie) in de hand. Het is dan ook niet ondenkbaar dat met name intermediairs zich gaan verzetten tegen de geschetste ontwikkelingen omdat hun bedrijfsmodel voor een deel wordt aangetast.
De grote winnaar van informatie-ecosystemen zijn de betrokkenen. Dit zijn niet noodzakelijkerwijs alleen de individuen. Het zijn ook bedrijven uit met name het MKB. Zij krijgen de instrumenten in handen zich beter en meer betrouwbaar te profileren bij het grootbedrijf, financiële instellingen en overheden. Hiermee kunnen deze betrokkenen meer passende producten- en dienstenarrangementen worden geboden. Voor met name deze groep zijn de informatie-ecosystemen het nieuwe groen!
13/13