Ook zijn vak verandert: van contracten schrijven en controleren naar een rol aan de voorkant. Jeroen Naves, Advocaat ICT, data en privacy bij Pels Rijcken & Drooglever Fortuijn pleit voor die volgorde. “Vooral nu in de GDPR een hoofdrol is weggelegd voor privacy en security by design.”
Kijk jij, als jurist, reikhalzend uit naar de GDPR?
“Ik vind het wel een vooruitgang. Op dit moment hebben we de Wbp, de Wet bescherming persoonsgegevens, gebaseerd op een Europese richtlijn. Daaromheen heeft zich in de loop der jaren heel veel regelgeving gevormd door jurisprudentie, besluiten van de Autoriteit Persoonsgegevens en Europese toezichthouders. Het stelsel dat zich in verschillende domeinen gecreëerd heeft, wordt straks in één mooie strakke wet samengevoegd. Een uitgebreid en helder stuk dat voor heel Europa geldt, waardoor de kans op interpretatieverschillen veel kleiner wordt.”
Wat is de impact van de nieuwe privacywetgeving op ICT?
“De uitgangspunten van privacyrecht blijven natuurlijk van kracht, maar op detailniveau wijzigt best veel. Als je persoonsgegevens opslaat bij een externe partij, bijvoorbeeld in de Cloud, moet je een bewerkersovereenkomst sluiten. Onder het nieuwe regime gelden daarvoor andere eisen. Kleinigheden, maar het zorgt er wel voor dat al die overeenkomsten aangepast moeten worden om te voldoen.”
Maar met een geüpdatete bewerkersovereenkomt alleen ben je er niet?
“Als je de opslag van gegevens uitbesteedt aan een derde, moet je altijd een bewerkersovereenkomst met deze partij sluiten. In zo’n overeenkomst spreek je onder meer af dat deze derde bepaalde beveiligingsmaatregelen treft, maar daarmee ben je er inderdaad nog niet. Ook zelf heb je allerlei verplichtingen, zowel onder het huidige als het nieuwe regime.”
Wat zijn valkuilen?
“Ik adviseer veel partijen en vooral overheden die de stap maken om in de Cloud te gaan werken. Als je met een cloudleverancier in zee gaat, is het slikken of stikken: zij hebben hun eigen set met voorwaarden en die moet je accepteren. Dus de allereerste actie is het toetsen van de bewerkersovereenkomst, voldoet die aan de wettelijke minimumeisen? Na het tekenen van het contract begint het echte werk. Om compliant te zijn, moet je het systeem goed inrichten en dat is een ingewikkeld karwei. Wat heel duidelijk uit privacyrecht voortvloeit, is dat persoonsgegevens alleen mogen worden ingezien door de mensen die het nodig hebben voor de uitoefening van hun taak. Authenticatie gaat in de praktijk nogal eens mis. Daar moeten bedrijven en overheden echt iets mee. Jouw cloudleverancier kan technische beveiligingsmaatregelen treffen, maar kan natuurlijk niet voorkomen dat iedereen binnen een organisatie hetzelfde wachtwoord gebruikt of medewerkers hun onbeveiligde usb-stick met vertrouwelijke documenten mee naar huis nemen.”
Het Privacy Impact Assessment is een nieuw instrument in de wetgeving. Wat houdt dat in?
“Als je een systeem gaat opbouwen met zeer veel of zeer gevoelige persoonsgegevens, moet je op grond van de GDPR voorafgaand aan het gebruiken daarvan een Privacy Impact Assessment (PIA) uitvoeren. In de Nederlandse vertaling van de GDPR is er een mooi Scrabble-woord van gemaakt:
gegevensbeschermingseffectbeoordeling. Simpel gezegd controleer je tijdens het uitvoeren van de PIA of de impact die de gegevensverwerking heeft op de personen op wie de gegevens betrekking hebben wel in verhouding staat tot het doel waarvoor de gegevens verzameld worden. Dat je een
PIA moet kunnen uitvoeren, heeft ook weer gevolgen voor de bewerkersovereenkomsten die je sluit. Als je gegevens niet op jouw eigen server staan, moet je dat assessment ook bij de externe partij kunnen uitvoeren.”
En er wordt een groot boetesysteem opgetuigd?
“De Europese Commissie krijgt vergaande bevoegdheden, vergelijkbaar met het mededingingsrecht. Als bedrijven kartels vormen, kunnen torenhoge boetes worden opgelegd en dat werkt in de praktijk: het heeft zo’n afschrikwekkend effect dat er voorzichtiger mee wordt omgesprongen. Zo’n zelfde effect wil de Europese Commissie bewerkstelligen met betrekking tot gegevensverwerking.
“ Grijp die wet aan om je algemene informatiehuishouding opnieuw op poten te zetten ”
Wat adviseer je organisaties die worstelen met vraagstukken rondom de nieuwe wetgeving?
“Grijp die wet aan om je algemene informatiehuishouding opnieuw op poten te zetten. En doe dat op hoog niveau. Zoals gezegd zijn de verschillen met de richtlijn die we nu hanteren details: op hoofdlijnen blijft het systeem hetzelfde. Je zou verwachten dat het vraagt om een paar kleine aanpassingen, maar feit is dat veel bedrijven en overheidsinstanties helemaal niet voldeden aan de Wbp en dat de nieuwe wetgeving werkt als een trigger om orde op zaken te stellen. Mijn tip: begin bij het begin. Privacy is niet iets dat per se met ICT te maken heeft, maar echt met de informatiestromen binnen je organisatie. Breng in beeld welke gegevens je in huis hebt, wat je ermee doet, wie het mag inzien en welke externe partijen data verwerken waarvoor jij verantwoordelijk bent. De volgende stap: welke wet- en regelgeving is daarop van toepassing? Daaruit rolt automatisch een lijst met actiepunten, en vergeet vooral niet dat bewustwording op de werkvloer van essentieel belang is. Maak een actief databeleid, communiceer dat met medewerkers en toets of jouw ICT-systemen daarop aansluiten.”
Hoe zie jij de rol van de data protection officer?
“Als een soort interne toezichthouder, bij voorkeur een jurist, die op hoofdlijnen verantwoordelijk is voor het privacybeleid binnen de organisatie. Op grond van de nieuwe wet is het aanstellen van zo’n functionaris altijd verplicht voor overheidsinstanties en voor bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen. Dat leidt in de praktijk tot problemen, omdat er opeens een ontzettend grote vraag is naar mensen met kennis van het privacyrecht. Er ontstaat een heel nieuw vak.”
Hoe kunnen legal en ICT elkaar versterken?
“In plaats van achteraf nee-schudden, denken wij als kantoor mee met de ontwikkeling van nieuwe techniek en geven richting. We zijn nauw betrokken bij innovaties op het terrein van blockchain en adviseren over de inrichting van systemen. In de GDPR wordt privacy by design geïntroduceerd. Dat houdt in dat in de basis, tijdens het bouwen van het systeem, al is nagedacht over privacyregels. Daarmee wordt voorkomen dat bij een controle achteraf blijkt dat een systeem niet voldoet aan het privacyrecht en opnieuw moet worden gebouwd.”
Big data is ook een onderwerp waarmee InSpark zich veel bezighoudt.
“Daar gaat mijn juristenhart sneller van kloppen. Ik adviseer graag over een verhuizing naar de Cloud, maar big data is pas écht spannend: partijen combineren het ene gegevensbestand met het andere.
Met name gemeenten hebben op basis van de uitvoering van hun taak allerhande databases met persoonsgegevens en vinden het heel interessant om die sets aan elkaar te koppelen. Wordt iemand die een uitkering krijgt vaker of juist minder vaak strafrechtelijk verhoord? Op grond van het privacyrecht mag je gegevens die je voor een specifieke taak hebt gekregen, in beginsel niet gebruiken voor een ander doel. Toch bestaat de wens om dat te doen. Je kunt er heel gericht beleid mee maken en zelfs ongelukken voorkomen. Voor juristen is het een uitdaging om te zoeken naar de mogelijkheden die het recht wel biedt. Dat vraagt om creativiteit.”
Dus er zijn wel mogelijkheden?
“Dat hangt er heel erg vanaf. Data worden samengevoegd en voor elk scenario dat je daarop loslaat, moet een aparte juridische afweging worden gemaakt. Soms zit de oplossing in het anonimiseren van informatie, want dan zijn het geen persoonsgegevens meer en is er opeens veel meer mogelijk. Juristen staan vaak bekend als showstoppers, maar mijn advies is: laat dat je er niet van weerhouden om ons erbij te betrekken. Vroeg of laat is dat toch nodig, dus doe het liever aan de voorkant.”
Ook als ICT-jurist moet je aan de lopende band schakelen.
“De directeur van Googles juridische afdeling publiceerde een paar jaar geleden een stuk waarin hij schreef over ‘horseback law’. Juristen die te maken hebben met innovatie moeten niet achterom kijken, maar figuurlijk vanaf het paard het nieuwe landschap kunnen overzien en kunnen beslissen: we gaan door, misschien een beetje naar links of naar rechts. Of je nu de bedrijfsjurist erbij betrekt of mij inhuurt, de jurist van de toekomst houdt geen innovatie tegen, maar maakt het mogelijk.”