AN EVENING WITH ...
magazine JA AR 4 | april 2018 | no.80 | www.avdr.nl
Privacyrecht
Mensen moeten privacy niet alleen als een risico zien maar ook als een kans Rachel Marbus, Privacy Officer van KPN | Rence Damming, Chief Information Security en Privacy Officer van Pon Holdings | Karin de Witt, Compliance Manager en Privacy Officer bij AkzoNobel | Lieke Jetten, Senior Manager Data Privacy Europa bij Stryker | Saskia Sjardin, Corporate Privacy Officer bij Wolters Kluwer | Nico Schutte, Privacy en data protectie officer voor De Nederlandsche Bank | Olaf van Haperen, Managing Partner bij Kneppelhout & Korthals Advocaten | Annechien Sloots, Chief Privacy Officer bij de Volksbank
• LEERGANG ARBEIDSRECHT • START SEPTEMB 2
Magna Charta | april 2018
LEERGANG ARBEIDSRECHT
BER • 62 PO PUNTEN • EURO € 3400,- EXCL. BTW april 2018 | Magna Charta
3
COLOFON Uitgave Magna Charta magazine is een uitgave van Academie voor de Rechtspraktijk
Jaargang 4
Citeerwijze: MagnaCM, 2018-80
Redactie: Etienne van Bladel en Sharon Olivier van Genderen
Ontwerp en realisatie: Mark Pollema, Melanie Hament, Eline van Roosmalen,
Contactgegevens: Academie voor de Rechtspraktijk Interne cursuslocatie Kasteel Waardenburg G.E.H. Tutein Noltheniuslaan 7 (navigatie: nr 1), 4181 AS WAARDENBURG T: 030-220 10 70 Traditionele cursussen T: 030-303 10 70 Webinar cursussen F: 030-220 53 27 E-mail: info@avdr.nl
Advertenties: Etienne van Bladel
ISBN: 9789462286375 Behoudens door de auteurswet gestelde uitzonderingen mag niets uit deze uitgave verveelvoudigd of openbaar gemaakt zonder voorafgaande schriftelijke toestemming van de uitgever.
www.avdr.nl
april 2018 | Magna Charta
5
THE INTERVIEW Magna Charta
6
Magna Charta | april 2018
www.avdr.nl april 2018 | Magna Charta
7
MENSEN MOETEN PRIVACY NIET ALLEEN ALS EEN RISICO ZIEN MAAR OOK ALS EEN KANS
Met ingang van 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) definitief van toepassing. Met als gevolg dat vanaf dat moment in heel de Europese Unie dezelfde privacywetgeving geldt. Wat zijn de gevolgen van deze nieuwe verordening? En wat speelt er allemaal nog meer op het gebied van privacy? Etienne van Bladel van de Academie voor de Rechtspraak in gesprek met acht deskundigen op het gebied van privacy: Rachel Marbus, Privacy Officer van KPN; Rence Damming, Chief Information Security en Privacy Officer van Pon Holdings; Karin de Witt, Compliance Manager en Privacy Officer bij AkzoNobel; Lieke Jetten, Senior Manager Data Privacy Europa bij Stryker; Saskia Sjardin, Corporate Privacy Officer bij Wolters Kluwer; Nico Schutte, Privacy Officer voor De Nederlandsche Bank; Olaf van Haperen, Managing Partner bij Kneppelhout & Korthals Advocaten; Annechien Sloots, Chief Privacy Officer bij de Volksbank.
8
Magna Charta | april 2018
De right to be forgotten? Een absoluut recht of iets om in te perken? Rachel: Eerlijk gezegd hebben wij bij KPN meer discussie over dataportabiliteit. Wij hebben voornamelijk pragmatisch gekeken naar dat right to be forgotten en gemerkt dat klanten en burgers eigenlijk helemaal niet zo betrokken zijn. Dat ze maar slecht de weg weten naar persoonsgegevens. En dat ze maar weinig van hun rechten gebruik maken. Ik verwacht een kleine toeloop maar ook weer niet zo enorm. Dus gaan wij er pragmatisch mee om. Komt er een verzoek binnen, dan gaan we dit handmatig afhandelen. En kan het niet meer handmatig, dan nemen we andere maatregelen. Maar we gaan geen gegevens wissen die we nodig hebben om je factuur op te maken. Maar het zal zich gaandeweg in alle redelijkheid wel regelen. Waar wij bij KPN ook druk mee bezig zijn, is om betrokkenen meer in handen te geven. Door een omgeving te ontwikkelen waar klanten heel veel zelf kunnen. Hun gegevens ophalen, wijzigen, uitbreiden. Het mes snijdt aan twee kanten. Je datakwaliteit gaat enorm omhoog en de klant heeft veel meer controle. Kortom, ik verwacht meer van de zelfredzaamheid van klanten dan dat ik ze opeens hun rechten zie gebruiken. Annechien: Ook bij de Volksbank zijn we druk bezig klanten, naast financieel weerbaar, ook dataweerbaar te
maken zodat ze verstandig en gezond met data om kunnen gaan. Klanten, werknemers en andere betrokkenen weten niet altijd goed wat hun data waard zijn, waar het staat en wat ermee kan gebeuren.
als de overheid daar aandacht aan gaat besteden. Ieder geval zullen we op zich beoordelen. Hoe kunnen we daar het best mee omgaan? Is het terecht dat er gevraagd wordt of er gegevens verwijderd kunnen worden?
Een simpel voorbeeld: de nieuwe wetgeving die er voor ons aankomt in het kader van PSD2. Natuurlijk, een klant kan vragen om zijn data over te dragen aan een andere partij. Maar uit onderzoek blijkt dat je met 90 dagen betaaltransactie een compleet profiel hebt van iemand. Dus dat zelfredzaam maken is echt een hele belangrijke.
Ook interessant is dat als jij toegang geeft tot jouw bankrekeninggegevens en je hebt ooit een transactie naar mij gedaan, mijn gegevens er ook in zitten. En privacy rechten zijn niet absoluut, het recht van de een mag niet zomaar inbreuk doen op het recht van de ander. Maar dat is allemaal nog niet uitgewerkt. Er is nog veel onduidelijkheid.
Dat doe je bijvoorbeeld door zo’n portal zoals KPN al benoemde. Door te laten zien wat je aan data hebt, met wie je het hebt gedeeld en wat ermee wordt gedaan. Daarnaast is het belangrijk je klanten goed te informeren. Juist omdat privacy zo belangrijk voor ons is verkopen wij geen data van onze klanten. Wij willen daarin een betrouwbare partij zijn. De data zijn van de klant. Nico: We hebben veel te maken met bewaartermijnen. Sommige zijn wettelijk, sommige zijn opgelegd of sterk geadviseerd door bijvoorbeeld de ECB (kan ook bijvoorbeeld EBA zijn). We proberen zoveel mogelijk te organiseren. Met goede data retention policies. Dus dat data als je ze niet meer nodig hebt automatisch worden verwijderd. Ook ik zie nog niet veel inzageverzoeken. Dat zal de komende periode wel toenemen,
Olaf: Eind november zei de AP nog over dataportabiliteit dat als je bijvoorbeeld wisselt van Yahoo naar Gmail de hele mailbox over moest, inclusief inhoud en inclusief de persoonsgegevens van derden. Dus dat is echt wel behoorlijk in beweging. Rachel: Dataportabiliteit is eigenlijk een gek recht dat bedacht is om het mensen makkelijker te maken om gegevens van de een naar de ander te brengen. En dat hebben ze dan in de privacywetgeving gefietst. Daarmee is het een wat vreemde eend in de bijt. En een wetgever heeft misschien niet helemaal overzien wat dat in de praktijk betekent. De Artikel 29-werkgroep gebruikt de telecomindustrie als voorbeeld en zegt dan dat alle inkomende en uitgaande gesprekken moeten worden meegeporteerd. Maar heeft een klant daar wel wat aan? Want het gaat vaak om technische gegevens die
april 2018 | Magna Charta
9
RACHEL MARBUS curriculum vitae Rachel Marbus is een burgerrechtenfundamentalist en
verzot op het grondrecht op Privacy. Als iemand tegen
haar roept “Privacy is dood”, ontsteekt ze doorgaans in een vlammend betoog startend met “Ik heb niets te
verbergen, maar dat hoeven ze niet te weten”. Marbus is
Privacy Officer van KPN, heeft wetenschappelijk onderzoek gedaan naar privacy en identiteiten in de online wereld, is bestuurslid van het PvIB, spreekt vaak over privacy &
security en heeft een vaste column in het blad IB Magazine.
bijzonder weinig waarde voor hem hebben. Daarnaast zitten er ook allerlei nummers in die normaal gesproken afgeschermd zijn. Klanten hebben er veel meer aan dat ze bijvoorbeeld zes maanden gespecificeerde facturen kunnen meenemen voor analyses en dergelijke. En dat kan in principe ook al. Dat perspectief ontbreekt soms nog weleens. Olaf: En als daar nou gegevens tussen zitten van een KPN-klant die vergeten wil worden? Dan kan jij die gegevens voor degene die wil porteren niet volledig overzetten. Dus daar is echt nog onvoldoende over nagedacht. Rachel: Ja, je merkt in de praktijk dat die zaken niet goed op elkaar aansluiten. Aan de andere kant is het niet veel anders dan toen we begonnen met de Wet Bescherming Persoonsgegevens. In de eerste jaren na nieuwe privacywetgeving is het best wel
10
Magna Charta | april 2018
erg lastig omdat privacywetgeving vaak moeizaam één op één is toe te passen op de praktijk. Karin: De vraag gaat over ‘the right to be forgotten”, of dat een absoluut recht is en hoe zich dat verhoudt tot het recht op de de vrijheid van meningsuiting. Deze vraag wordt deels in jurisprudentie beantwoord. Bij AkzoNobel krijgen wij tot op heden weinig verzoeken van klanten met de vraag welke data we hebben opgeslagen. Indien wij zulke verzoeken ontvangen hebben wij daar bij AkzoNobel procedures voor. AkzoNobel is een groot bedrijf en bezit veel data, het zal voor alle organisaties van dezelfde omvang een uitdaging worden om aan zulke verzoeken te voldoen. Lieke: In de AVG zijn al een aantal uitzonderingen opgenomen wanneer het niet geldt. Dus is het heel belangrijk om eerst te analyseren wanneer je er iets
mee moet doen en wanneer je het kunt weigeren. Als de verwerking gebaseerd is op toestemming die ingetrokken wordt zul je er meestal aan moeten voldoen. Maar als de gegevensverwerking berust op noodzakelijkheid voor de uitvoering van een overeenkomst en deze verwerking blijft nodig voor de doeleinden en iemand verzoekt om erasure of right to be forgotten, dan zou dat buiten de voorwaarden kunnen vallen binnen de AVG om hieraan tegemoet te moeten komen. Daarnaast zijn er een aantal echte uitzonderingen opgenomen. Bijvoorbeeld als er in wetenschappelijk onderzoek gegevens verwerkt zijn en je die gegevens niet meer uit de onderzoeksdata kunt halen omdat anders het onderzoek niet meer valide is. In zo’n geval mag je ook weigeren. En als je iemand die het verzoek doet niet kan identificeren is dat een andere reden om te weigeren. Rence: Ik werkte destijds voor een mooie telecomprovider die er echt op was voorbereid. We hadden zelfs extra mensen in de callcenters ingezet omdat we bang waren dat er ontzettend veel verzoeken zouden komen op dit recht. Maar dat viel reuze mee. We praten echt over een aantal verzoeken. Mensen die het interessant vonden om het te weten. Waar het straks uiteindelijk naartoe gaat is zelfredzaamheid, dashboarding waarbij je gegevens die mensen daadwerkelijk verder kunnen
"JE MERKT IN DE PRAKTIJK DAT DIE ZAKEN NIET GOED OP ELKAAR AANSLUITEN" helpen inzichtelijk maakt. Zodat ze die gewoon kunnen inzien. Daarmee geef je hen ook een gevoel van controle over die data.
Kun je daar een voorbeeld van geven?
Karin: Albert Heijn is een goed voorbeeld, zij hanteert een online dashboard dat het voor de klanten heel gemakkelijk maakt om te bepalen wat je als klant wel wilt delen en wat niet. Dat is een mooi voorbeeld
van zelfredzaamheid van de klant en de mogelijkheid tot controle over de data. Saskia: Ik zit aan de IT-kant dus ik bekijk het meer vanuit de technologie.
april 2018 | Magna Charta
11
"WE MOETEN ABSOLUUT ZORGEN VOOR EEN ADEQUATE VORM VAN DATAKWALITEIT" 12
Magna Charta | april 2018
Hoe ga ik verwijderen? Hoe ga ik anonimiseren? En wat is mijn toetsingskader? We geven onze werknemers nu mee dat zij de controle hebben. Maar het belangrijkste is die technische kant. Want het verwijderen op zich is een illusie. We kunnen er natuurlijk een toplaag afhalen. Maar de metadata blijven daar wel zitten. En hoe lang? En wat doen we er dan mee? Rence: We moeten absoluut zorgen voor een adequate vorm van datakwaliteit. Dat is superrelevant. Want als we verkeerde data ontsluiten, hebben we nu of straks te maken met een datalek. En bekijk het maar van geval tot geval, want iedereen is op zoek naar iets anders. Komt er een vraag binnen? Oké, dan gaan we verwijderen. Rachel: Het hangt echt af van de om standigheden. Stel dat er ergens een overschrijding is van de bewaartermijn. Dan is dat een trigger voor de organisatie om te kijken of ze het nog wel goed doen. Is het een incident of gaat het vaker fout? Elke privacyzaak brengt weer iets anders naar boven. Soms heb je ook te maken met oude legacysystemen die helemaal niet zijn toegerust op onze modernere privacywetgeving. Daar moeten we nog ingroeien. Nico: Je behandelt het individuele geval. En op het moment dat je constateert dat we inderdaad data hebben die we
RENCE DAMMING curriculum vitae Rence Damming is sinds juli 2016 de Chief Information Security & Privacy Officer van Pon Holdings, hierbij is hij verantwoordelijk voor een wereldwijd opererende
afdeling waarin hij met een professioneel team van z
owel Security -als Privacy Officers alle Pon bedrijven in
32 landen bediend. Rence was tussen 2011 en 2016 de
Privacy Officer van KPN, daarvoor was hij het hoofd van Security van Telfort, Manager van de afdeling “Justitieel Aftappen” en projectleider op diverse
informatiebeveiligingsprojecten. Rence begon zijn carrière 20 jaar geleden in de muziekindustrie.
eigenlijk niet hadden moeten hebben, onderzoeken we of we dat over de hele linie kunnen verwijderen. Je moet het zien als een voortdurend verbeteringsproces. Er zijn overigens belangrijke uitzonderingen op de ´right to be forgotten´ en hier zal naar gekeken worden wanneer wij zo´n verzoek ontvangen. Lieke: Het wordt beschreven als dat het niet toepasselijk is in gevallen van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wanneer door verwijdering de doeleinden niet meer bereikt kunnen worden. Maar er is nog wel onduidelijkheid of dat bijvoorbeeld ook opgaat voor commercieel getinte onderzoeken. Daar zou nog wel wat meer duidelijkheid over mogen komen.
Nog even over dat right to be forgotten gesproken. Wat als je nu niet volledig vergeten wil worden? Karin: Dat is een complex vraagstuk. Zoals eerder is aangekaart tijdens de discussie is het al ingewikkeld om alle data te wissen. Zeker voor grote ondernemingen met veel systemen en datastromen. Karin: Organisaties moeten aan een hoop vereisten voldoen op het gebied van privacy. Er is te weinig duidelijkheid omtrent prioriteiten, ik kan in de privacy wetgeving nog onvoldoende risico beheersende benadering vinden. Ik wacht met smart op meer richtlijnen. Nico: Het is een lastige klus om alle data van een individu te vinden en te verwijderen. Dit
april 2018 | Magna Charta
13
zou eenvoudiger zijn als alle bestanden gekoppeld waren, maar dat zou weer nieuwe privacy problemen met zich meebrengen.
ten alle tijden voorkomen. Zeker als je goed bezig bent om compliant te zijn met de privacywetgeving.
Stel ik doe een deelverzoek. Ik wil alle 0900-nummers eruit hebben. Moet KPN dat voor mij doen?
Olaf: Een ander fenomeen is het uitdijende persoons gegevensbegrip. Wij zijn heel nauw betrokken geweest bij allerlei discussies over anonimiseren, pseusonimiseren, dubbele pseudonimisatie, eenwegpseudonimisatie enzovoort. Eerst ligt er een oude WP 29-opinie die richtlijnen geeft voor pseudonimiseren. Dan ligt er weer een meer recente die zegt dat pseudonimiseren alleen maar een beveiligingstool is en nog steeds persoonsgegeven. En nu zitten we in een technische tijd waarin alleen de voorzieningenrechter in Utrecht er een keer over heeft geoordeeld,
Rachel: Dat hangt af van de omstandigheden. Als jij zo’n verzoek doet, dan gaan we dat in behandeling nemen. Maar ik weet nog niet wat daarop mijn definitieve antwoord is nu. Elke case, elke klantvraag is weer anders.
Stel ik ben een vervelende klant en ik wil gewoon nú al mijn nummers weg hebben. Kan ik dan met een boete dreigen? Wat kan ik dan als vervelende klant? Rachel: Klanten kunnen natuurlijk een officieel verzoek doen en dan heeft een organisatie vier weken waarbinnen ze moeten antwoorden. Geeft een bedrijf geen antwoord, dan kun je altijd een signaal afgeven bij een toezichthouder. Maar in principe móeten zij naar jouw verzoek kijken.
Het is niet dat een bedrijf dan direct een boete krijgt opgelegd? Rachel: Niet automatisch. Maar als je compleet nalatig bent, kan het zeker leiden tot een boete. Nou wil je reputatieschade natuurlijk
14
Magna Charta | april 2018
namelijk dat het mogelijk is om te eenwegpseudonimiseren. Dat betekent dat je een persoonsgegeven door een tool trekt waardoor deze een anonieme code krijgt en je niet meer terug kunt. De enige garantie die je hebt, is dat je die persoon er nog een keer bij betrekt, dat je dezelfde identifier krijgt. En zo kun je iemand toch anoniem blijven volgen door je database. Dus zo zorgen allerlei technische ontwikkelingen ervoor dat heel zwart-wit pseudonimiseren niet meer bestaat. En je krijgt uitspraken zoals in die zaak in Ierland waarbij een student vond dat zijn examenuitslag zijn persoonsgegevens waren en dat hij daar allerlei rechten op kon uitoefenen. Wat door het Europese hof gevolgd
KARIN DE WITT curriculum vitae Karin de Witt is Group Compliance Manager & Privacy
Officer at AkzoNobel, HQ Amsterdam. The Compliance
function within AkzoNobel is part of the AkzoNobel Legal
Group. Karin’s role is to ensure compliance with the Code of Conduct, which entails conducting complex internal investigations into alleged Code of Conduct violations, reporting to the Executive Committee for the yearly
compliance self-assessment and being responsible for the creation of a culture of integrity and awareness of rules throughout the organization. As Privacy Officer Karin
advises the businesses globally, ensuring systems and
processes involving personal data are compliant and that employees and business partners working with these systems act in a compliant manner. Karin has a background as a lawyer.
werd en waardoor een deel van de onderwijsbranche nu heel bang is voor dataportabiliteit. Want moeten ze nu ook examenantwoorden gaan overdragen? Dus wanneer is iets nog een persoonsgegeven? En dan zijn wij er nog dag en nacht mee bezig. Laat staan dat iemand die een right to be forgotten wil uitoefenen nog kan begrijpen wat nu allemaal persoonsgegevens zijn. En dan hebben we ook nog die rare praktijk dat als je allerlei anonieme gegevens op elkaar stapelt, je via indirecte herleidbaarheid toch weer kan promoveren tot persoonsgegeven. Dus het is zo complex. Rence: Het proces van anonimiseren is ook een vorm van verwerking. Analyticsspecialisten zeggen: “Nee, ik ga het allemaal anonimiseren. Dan heb ik niet te maken met doelbinding en met persoonsgegevens want het is allemaal geanonimiseerd.“ Overigens ben ik van mening dat als je een pseudoniem door een database kan volgen, je dat niet anoniem mag noemen. Maar je kunt inderdaad ook data met elkaar matchen. Als je verschillende data stapelt of deze verrijkt met externe data, kun je er mogelijk weer persoonsgegevens van maken. Maar anonimiseren is feitelijk al een vorm van verwerking. Waarvoor je dus eigenlijk al aan de voorkant toestemming zou moeten vragen. Nico: Op een voldoende hoog niveau zijn statistische gegevens echt niet meer te herleiden
"IK KAN IN PRIVACYLAND NOG ONVOLDOENDE RISICO BEHEERSENDE BENADERING VINDEN" april 2018 | Magna Charta
15
tot een individu. Maar in andere gevallen is het alleen een mitigerende maatregel en niet een verwijdering van persoonsgegevens.
Is een beveiligingsmaatregel een oplossing? Nico: Ja, daarmee dring je het risico natuurlijk wel terug maar… Saskia: Dat is ook de discussie die je kan voeren over logins. Die zijn ook altijd traceerbaar. Het is een veiligheidsmaatregel. Maar ze zijn wel herleidbaar. Dus moet je die dan weer encripten, wat ook weer een verwerking is? Je kan daarin heel ver gaan, wat steeds meer kosten en maatregelen betekent. Nico: Maar encrypten is natuurlijk niet de enige manier om het te beschermen. Je kunt op veel manieren toegang minimaliseren of gegevens zo snel mogelijk weer weggooien. Rachel: Laatst zijn er experimenten gedaan waarbij men keek in hoeverre metadata iets kunnen onthullen over personen. Heel lang hebben we natuurlijk gedacht dat als er geen persoonsgegevens zijn, je dat niet kunt relateren aan een persoon. Maar een paar jaar geleden hebben ze proeven gedaan. Dan gaven ze 12-jarige kinderen een bak metadata, webservicegegevens van personen en zeiden: “Hier! Je hebt drie uur.
16
Magna Charta | april 2018
Ga maar kijken of je van deze metadata een persoon kunt maken.” Nou, dat lukte die twaalfjarige kinderen echt in no time. Die hadden daar zo een persoon achter ontdekt. Dus beveiligingsmaatregelen, anonimiseringstechniek… Nico: Als jij goed gepseudonimiseerd hebt en er binnen een Chinese Wall mensen op hebt zitten die verder ook geen andere data hebben waarmee ze gegevens kunnen terugherleiden, dan heb je het risico voor een heel groot deel teruggedrongen. Lieke: Er is merkbaar behoefte aan een kader om te schetsen wanneer
iets nou als geanonimiseerd of gepseudonimiseerd aangemerkt moet worden. Natuurlijk heb je de richtlijnen van de Artikel 29-werkgroep. Maar daarin staat niet veel meer dan dat hoe meer technieken je toepast, hoe beter je anonimisatie maatregel is, maar de grens waarbij je gegevens daadwerkelijk als anoniem kunt bestempelen blijft vaag in de praktijk. Dus, of je vermijdt ieder risico en behandelt alsnog alle gegevens waar je de-identificatie maatregelen voor genomen hebt als persoonsgegevens, ook al komt het heel dichtbij anonimisatie, of je neemt meer risico en behandelt de gegevens als anonomien, erkennend dat volledige anonimisatie altijd
LIEKE JETTEN curriculum vitae Lieke Jetten is Senior Manager Data Privacy Europe in
Stryker, a Fortune 500 Medical Technology Multi National Enterprise, based out of the European Regional Head Quarters. Lieke’s role focuses on leading the
implementation of Stryker’s Data Privacy Program in the Europe region and addressing ongoing needs of the European business. Herewith she partners with the
European Legal & Compliance team on a variety of
complex data privacy related initiatives including the
implementation of Europe’s new General Data Protection
Regulation (GDPR). Additionally she serves as a member of Stryker’s Global Privacy Council supporting a broad range of global privacy matters. Her responsibilities include strategic & operational planning and Europe Privacy
Program management, training, communications and risk
management and collaboration on strategic & operational alignment with Global and pan-European departments.
"JE MOET DIT EIGENLIJK INTERDISCIPLINAIR AANPAKKEN"
ter vraag gesteld kan worden. Waar leg je dan de grens tussen gepseudonimiseerd of geanonimiseerd? Dat blijft een moeilijke beslissing. Lieke: Het zou handig kunnen zijn om in je overeenkomst met een andere partij vast te leggen dat je in principe geen persoonsgegevens wilt ontvangen als minimalisatie
maatregel en als er geen doel voor is. Als een waterdichte standaard van anonimisatie niet haalbaar is en gegevensuitwisseling wel nodig is, dan kom je alsnog uit op een verwerkersovereenkomst. Nico: Het begint met een stuk basiskennis voor je hele organisatie. Wat zijn persoonsgegevens? Wanneer
is iets direct of indirect herleidbaar? Hoe ver strekt dat? Laat ook je technici daarover nadenken en met vragen komen. Dus bekijk het niet alleen vanuit de toezichthouder, de regelgever of de compliance-afdeling maar ook vanuit de technische kant. De technologische evolutie gaat vele malen sneller dan de wetgeving kan bijhouden.
april 2018 | Magna Charta
17
Lieke: Je moet dit eigenlijk interdisciplinair aanpakken. Door in het bedrijf samen te werken met engineers en mensen die met R&D bezig zijn. Mensen die een andere kijk hebben en de inventiviteit hebben om nieuwe manieren te bedenken of toe te passen om privacy overwegingen mee te nemen voor specifieke producten of projecten. Vaak zijn de regels vanuit een idealistisch oogpunt bedacht en hebben we juist input vanuit de business en de meer technische kant nodig om creatieve toegepaste oplossingen te vinden.
"HET BELANGRIJKSTE IS DIE TECHNISCHE KANT" 18
Magna Charta | april 2018
Nico: Uiteindelijk is de business eindverantwoordelijk voor de verwerking. Dus is ons doel hen te helpen om risico’s transparant te maken, mee te denken over maatregelen en de risico’s vanuit het perspectief van de betrokkene te beoordelen. De business te helpen om de juiste beslissingen te nemen en te bepalen of de data wel helemaal anoniem zijn. Een zorgvuldige anonimisering of bijvoorbeeld het op voldoende hoog niveau aggregeren van data kan leiden tot een data-set welke geen persoonsgegevens meer bevat, en waarvan het gebruik niet langer gebonden is aan het doel waarvoor de data oorspronkelijk verzameld werd. Karin: Het gaat om de eerste vertaalslag. Welke informatie wil ik hebben om een risico te kunnen analyseren? Begrijpt de business die gebruik maakt van een systeem wat er gebeurt op de achtergrond? Wie zijn er betrokken? Wie zijn de
SASKIA SJARDIN curriculum vitae Saskia Sjardin is Corporate Privacy Officer at Wolters Kluwer.
As Corporate Privacy Officer, Saskia oversees Wolters Kluwer privacy compliance program and counsel all our businesses and functions companywide on privacy compliance. Saskia
has a legal background lawyer and held earlier positions as a Assistant General Counsel and DPO Northern Europe at
Capgemini. Communication and connecting with people are her passions. Data privacy is the profession that brings her expertise and people together. Implementing data privacy
touches all functions in your organization. Saskia views that ‘business ownership’ and in depth understanding of the company principles are needed to make a data privacy
program successful. Her added value is to make data privacy law practical by creating solutions appropriate for the people and in line with the organisation.
achterliggende partijen? Wat gebeurt er met de data? Saskia: Doelbinding. Prachtig. Maar de praktijk is natuurlijk technologie, IT, systemen, services. Het eerste waar we het over hebben is testdata. En dan is de praktijk wel heel erg weerbarstig. Nico: Je moet natuurlijk niet testen met persoonsgegevens. En dan is het inderdaad best lastig om data te hebben die genoeg lijken op echte persoonsgegevens om de test valide te maken maar die toch niet echt zijn. Annechien: Wij hebben op dit moment een heel groot testdatamanagement project.
En dan blijkt het wel degelijk mogelijk - ook met derde partijen, ook interbancair – om te testen met geanonimiseerde of dummydata. Je moet privacy inderdaad niet aanvliegen vanuit een juridisch, een compliance- of een technisch perspectief maar interdisciplinair. En dan zie je direct dat er echt wel dingen mogelijk zijn. Lieke: Als het werkt, is anonimisatie het natuurlijk een supermooie privacy by design maatregel. Want je mitigeert de risico’s vanaf het begin, zelfs als je de gegevens alsnog gaat verwerken als zijnde persoonsgegevens, terwijl je heel dicht tegen anonimisatie aanzit. Ik denk ook dat het mogelijk is om te anonimiseren. Alleen heeft niet elk bedrijf er de middelen, de technische knowhow en het budget voor.
Rence: Uiteindelijk gaat het om interactie. En die interactie gaat twee kanten op. Vanuit de juridische afdeling of de privacyspecialisten en vanuit de techniek. Laatst riepen mensen tegen me: “Als ik het zus en zo doe, dan is het toch echt anoniem.“ Ik zei: “Laten we het eens omdraaien. Ga het maar testen. Dat wat je denkt dat anoniem is in combinatie met je andere gegevens en eventueel de originele database. Ga het maar terug proberen te hacken.” Dat werkt bijzonder effectief. Lieke: Dat is de goede manier. Creëer betrokkenheid bij mensen in de business, vanuit de IT en al die verschillende kanten. Laat het niet langer een moeilijke regel zijn maar ook een uitdaging. Train mensen om iets te leren en interessant te gaan vinden. Daag ze uit om zelf mee te denken. Nico: In sommige gevallen kan je zelfs berekenen of iets anoniem is of niet. Een voormalig collega zei me eens: “Ja, ik heb geanonimiseerd want ik heb alleen maar voornamen, geboortejaar en woonplaats.” Je kan online zoeken hoe vaak een naam is gegeven in een bepaald jaar dus dat heb ik eens bekeken voor mijzelf. En er is een kans van 1 op 4 dat iemand met mijn naam en mijn geboortejaar in mijn woonplaats woonde. Dus aantoonbaar niet geanonimiseerd. Annechien: Het gaat erom dat je de organisatie meekrijgt en niet tegen je krijgt. Want dat
april 2018 | Magna Charta
19
heb je snel, ondanks dat je risicobeheersend werkt en ondanks al je goede bedoelingen, adviezen en input. Sowieso mag privacy wel een iets betere naam krijgen dan nu. Hoe denk je mee? Hoe zorg je dat dingen wél kunnen in plaats van niet? Men moet privacy niet alleen als risico of showstopper zien maar ook als een kans. Naast de Volksbank doen KPN en Albert Heijn dat heel mooi. Dat een bedrijf niet alleen maar denkt: "Help! Een klant kan mij iets vragen" of: "ik kan een boete krijgen." Maar ook zegt: "weet je, wij doen het gewoon goed. Dat betekent inderdaad dat je niet
alles kunt doen met data, maar er kan nog steeds heel veel wel." Daar kan je een businessmodel mee bouwen.
klantgegevens. Dit gaat over goed en zorgvuldig met je klant omgaan, over het opbouwen van een goede klantrelatie. Punt.
Rence Privacy wordt inderdaad vaak alleen maar gerelateerd aan risicomanagement. Maar privacy draait ook om vertrouwen en zorgvuldig omgaan met gegevens. Ga je op een onzorgvuldige wijze met gegevens om, dan kan je het vertrouwen van je relatie schaden en daarmee je business kapot maken.
Hoe gaan kleine bedrijven die geen teams hiervoor hebben hier eigenlijk mee om? Waar lopen die tegenaan?
Annechien: Het gaat niet eens alleen over het goed omgaan met
NICO SCHUTTE curriculum vitae Nico Schutte CIPP/E, CIPP/US (1972) is sinds December 2017 de Privacy Officer van De Nederlandsche Bank. Hiervoor
werkte Nico 11 jaar voor Philips waar hij voorafgaand aan zijn rol als Sr. Privacy Officer werkte als Director Business Improvement en Lean Six-sigma ‘Master BlackBelt’. Nico is tevens lid RvT Wakker Dier.
Philips is een wereldwijde organisatie met sterk data-gedreven business modellen in B2B, B2C en B2G. Nadruk lag op
patiënten- en consumentendata. DNB is op een andere wijze een sterk datagedreven organisatie: persoonsgegevens zijn onmisbaar voor de toezichthoudende rol, in uitvoering van
Deposito Garantie Stelsel, in de bestrijding van witwassen en
terrorisme maar ook voor de bewaking van goud en contanten. Nico is van opleiding Organisatie Psycholoog en heeft een
sterke proces achtergrond. Hij is in staat de juiste balans te vinden tussen ‘compliance’ en ‘risico management’ en is in
staat ‘Privacy’ onderdeel te maken van de normale manier van werken. Nico spreekt regelmatig op privacy congressen en heeft diverse privacy trainingen gegeven.
20
Magna Charta | april 2018
Karin: Juist de grootte van de bedrijven maakt het heel lastig om te inventariseren welke systemen je hebt, wie waar voor verantwoordelijk is en wanneer? Dus zo bezien is een kleiner bedrijf in het voordeel. Olaf: Hoewel de hoeveelheid en de gevoeligheid van data niet altijd afhankelijk zijn van de grootte van een bedrijf. Er zijn hele kleine bedrijven die gigantische hoeveelheden data verwerken. En er zijn heel veel niet zo grote bedrijven die er toch wat makkelijk over denken. Het gaat meer om de volwassenheid bij bedrijven. De mate van realiseren dat die zorgplicht er is en dat er een nieuwe tijd aanbreekt.
Wat is eigenlijk de reden geweest dat men op een gegeven moment heeft bepaald dat we het 25 mei echt vastleggen? Was het vertrouwen tussen partijen weg? Rachel: Technologische ontwikkelingen gaan dermate snel dat de huidige wetgeving hier niet goed meer bij aansluit. Onze WWP is gebaseerd
"UITEINDELIJK IS DE BUSINESS EINDVERANTWOORDELIJK VOOR DE VERWERKING"
april 2018 | Magna Charta
21
op een richtlijn uit 1995. Dan snap je wel dat deze aan een update toe is. Dus eigenlijk is het een hele natuurlijke ontwikkeling. En de eerstkomende jaren gaan we zien wat het precies betekent. Er komen ongetwijfeld evaluaties van deze wet en dan sluit het wel goed aan.
er een enorme noodzaak tot harmonisatie was binnen Europa. We hadden allemaal wel die ouderwetse richtlijnen. Maar de toepassing per land verschilde sterk. Dat gevaar is er nu nog. Maar in ieder geval op basis van dezelfde wetten.
Olaf: De Europese wetgever heeft ook gekozen voor het verregaandste paardenmiddel dat ze hebben: de verordening. Dat komt omdat
Lieke: We hebben steeds meer datastromen en gegevensuitwisselingen tussen landen en partijen. En als je dan
allerlei verschillende interpretaties van een richtlijn hebt, is het heel moeilijk om compliant te zijn. Dus wat dat betreft zit er ook een ideologie achter. We willen het simpeler maken door voor alle landen ĂŠĂŠn regelgeving te hebben. Annechien: Er zijn ongeveer zestig punten waarop je nu nog nationaal kunt afwijken. Nog daargelaten dat je nu al ziet dat verschillende toezichthouders er ook weer
"ER ZIJN HELE KLEINE BEDRIJVEN DIE GIGANTISCHE HOEVEELHEDEN DATA VERWERKEN" 22
Magna Charta | april 2018
verschillend inzitten. Dus ik ben heel benieuwd hoe geharmoniseerd dit in de praktijk zal zijn.
OLAF VAN HAPEREN
Gaat dat gebeuren?
curriculum vitae
Lieke: Met een verordening zal het hopelijk iets simpeler worden binnen Europa. Rence: Deze wet heeft betrekking op de burgers in Europa. Maar als we kijken naar datastromen en hoe deze worden uitgewisseld, dan gebeurt dat op wereldschaal. En dus heb je te maken met heel veel andere landen met andere opvattingen en andere wetten over het onderwerp privacy. Maar het is een stap in de goede richting. Daar zijn we het allemaal wel over eens. Nico: Maar de lat ligt wel hoger. En dat maakt het ook moeilijker om eraan te voldoen. Dus in dat opzicht is het niet simpeler. Aan de andere kant is de zorgplicht er natuurlijk altijd al geweest. Dat er nu meer expliciet rekening gehouden moet worden met het risico voor de betrokkenen is dan een logische stap. Olaf: Eén kanttekening daarbij. We hebben het nu dan geharmoniseerd in Europa en nog beter geregeld dan het al was. Maar we hebben daarmee de afstand tot de landen buiten Europa wel zodanig vergroot dat er heel veel bedrijven zijn die tegen bijna onoplosbare problemen aanlopen.
Olaf van Haperen (1969) is sinds 1995 advocaat en
sinds 2011 advocaat/partner bij Kneppelhout & Korthals Advocaten. Sinds 1 oktober 2015 is hij benoemd tot
Managing Partner van het kantoor. Daarvoor werkte hij
bijna 10 jaar bij Lawton, als medeoprichter/partner en bij
Arthur Andersen in Nederland en in de VS. Al vroeg in zijn
carrière heeft Olaf zich gespecialiseerd in het Intellectuele Eigendomsrecht en Privacy recht. Los van actieve
lidmaatschappen in diverse beroepsverenigingen treedt hij vaak op als gastspreker of gastdocent aan
beroepsopleidingen, universiteiten en hogescholen. Zo doceert hij privacy en security bij de VNAB, is hij
hoofddocent privacy bij de AvdR, vertegenwoordigt hij de advocatuur in de kenniskring acquisitiefraude van het Nationaal Platform Criminaliteitsbestrijding,
vertegenwoordigd hij de BMM (beroepsvereniging van merken advocaten en gemachtigden) bij het EUIPO in Alicante en is hij medeoprichter van het internationale netwerk Privacy Alliance.
En met de huidige regelgeving los je dat niet op. Lieke: Ik las in het IAPP Governance Report dat de AVG voor internationale bedrijven en zelfs in de VS wel terdege een onderwerp is voor privacyprogramma’s. Dus het lijkt alsof er tegelijkertijd ook een beweging aan de gang is waarbij internationale bedrijven wel terdege kijken naar de Europese privacywetgeving. Annechien: En in sommige gevallen krijgen gereguleerde sectoren ook nog eens met conflicterende toezichthouders te maken.
Dan moeten we van de ene toezichthouder bijvoorbeeld allerlei (klant)data aanleveren, soms zonder goede of duidelijke rechtsgrond. En de Autoriteit Persoonsgegevens houdt zich juist redelijk strikt aan de tekst van de verordening. Daar moet je - op een goede manier - heel creatief mee omgaan. Daarbij proberen we er ook voor te zorgen dat deze toezichthouders samen in gesprek gaan.
Hoe belangrijk is zorgplicht? Annechien: Eigenlijk is het inherent aan goed omgaan met je klanten, je werknemers, eigenlijk iedereen
april 2018 | Magna Charta
23
waar je persoonsgegevens van hebt. Dat je hier aandacht aan besteedt, hierover nadenkt, zier zorgvuldig mee omgaat. In die zin verandert er niet eens zo heel veel, anders dan dat er meer aandacht voor is. Dat is op zich wel een hele fijne bijkomstigheid. Olaf: Eigenlijk ben je hier nooit klaar voor en klaar mee. Dit is een doorlopend proces. Het gaat erom dat je processen inricht omdat iedereen die zorgplicht heeft omarmd en belangrijk vindt. Maar het is niet iets wat in mei even klaar is of waar je ooit klaar mee bent. Je moet het in het DNA van het bedrijf gaan bouwen. Daar gaat het om. Rence: Dat gaat ook gebeuren. Als je kijkt naar informatiebeveiliging. Dat onderwerp is zo gedemocratiseerd. Dat gaat nu ook gebeuren met dataprivacy. Zeker met al die technologische ontwikkelingen. Rence: En terecht. Decentrale dataorganisatie wordt aan de orde van de dag straks. En dan hoort dit erbij. Dit is gewoon een hygiënefactor. Rence: De laatste jaren is privacy ook steeds meer onderdeel van de integriteit van je bedrijfsvoering. Het is maatschappelijk verant woord ondernemen. Het wordt steeds meer een ethisch vraagstuk. De regeltjes geloven we wel. Voor een groot deel kun je daar controles voor inzetten en voorwaarden voor schrijven.
24
Magna Charta | april 2018
ANNECHIEN SLOOTS curriculum vitae Annechien Sloots (1979) is sinds 2017 Chief Privacy Officer bij de Volksbank N.V. Daarvoor werkte zij ruim 3 jaar als
Privacy en IT-juriste bij dezelfde bank. Annechien begon
haar carrière in de IT-sector. Zij werkte ruim 11 jaar bij de
branchevereniging Nederland~ICT. Als juridisch adviseur, maar ook als programmamanager, beleidsmedewerker en lobbyist. Annechien voltooide na haar universitaire opleiding onder andere de Grotius-opleiding Informaticarecht en de
Postdoctorale specialisatiecursus Privacy en Persoons gegevens bij Tilburg University. Ook is zij CIPP/E en CIP/M gecertificeerd.
Zij is lid van diverse beroepsverenigingen en de expertpool privacy van de Nederlandse Vereniging van Banken.
Daarnaast geeft zij veelvuldig trainingen op het gebied van met name privacyrecht, o.a. als gastspreker bij het IIR.
Karin: In dat opzicht is er weinig veranderd, behalve het feit dat de drukte is ontstaan door de dreiging van boetes. Dat is onder meer de reden dat alle organisaties nu zo druk zijn met de correcte implementatie van de privacy wetgeving. Het is belangrijk dat organisaties niet in paniek raken, de verantwoordelijkheden en verplichtingen omtrent privacy waren er al. Het is een doorlopend proces, naar verwachting zal niet iedereen klaar zijn voor 25 mei. In ieder geval zal moeten worden aangetoond dat de noodzakelijke processen zijn ingericht en dat we bezig blijven met de ontwikkeling daarvan. Ik heb er vetrouwen in dat er in eerste instantie gelegenheid wordt geboden tot herstel van de inrichting van de privacy processen, indien nodig.
Annechien: Inderdaad. De discussie gaat over ethiek en integriteit. Op directieniveau kun je het dan echt ergens over hebben. Gaat het over vertrouwen? Gaat het over waar we voor staan? Willen we dit wel als bedrijf? Willen we deze boodschap uitzenden? Lieke: Klanten verwachten ook steeds vaker een soort van standaard, een kwaliteitsoogmerk of dat je kan laten zien dat je ermee bezig bent. Als je het goed doet, kan dit een concurrentievoordeel opleveren omdat het je klanten vertrouwen geeft. Het zal ook steeds vaker verwacht worden. We zitten nu nog in een overgangsfase waarin bedrijven ermee worstelen. Maar ik verwacht dat ingebedde privacy heel snel normaal zal worden.
En als je niet kunt voldoen aan dit verwachtingspatroon, val je buiten de boot. Saskia: Je mag hopen dat het de kant opgaat van security. Ik bedoel: tien jaar geleden praatten we met geen enkele klant over security. Nu is dat een hot topic. Olaf: Ook het toenemend aantal hacks heeft natuurlijk enorm geholpen. Enerzijds de regelgeving en die boetedruk, aan de andere kant ook de bijna onmogelijkheid om je nog goed te beschermen. Dat heeft elkaar enorm versterkt. Lieke: Een van de grote voordelen van de AVG is dat er veel nieuwsgierigheid naar is. Laten we dat als privacyprofessionals als een kans zien. Laten we er echt een gespreksonderwerp van maken in plaats van iets dat buiten de business blijft.
"SOWIESO MAG PRIVACY WEL EEN IETS BETERE NAAM KRIJGEN DAN NU"
april 2018 | Magna Charta
25
26
Magna Charta | april 2018
WHO DARES WINS Magna Charta www.avdr.nl
april 2018 | Magna Charta
27
C THIS IS MAGNA CHARTA 28
Magna Charta | april 2018