Etienne van Bladel van de Academie voor de Rechtspraak in gesprek met acht deskundigen op het gebied van privacy: Rachel Marbus, Privacy Officer KPN; Rence Damming, Chief Information Security en Privacy Officer Pon Holdings; Karin de Witt, Compliance Manager en Privacy Officer AkzoNobel; Lieke Jetten, Senior Manager Data Privacy Europa Stryker; Saskia Sjardin, Corporate Privacy Officer Wolters Kluwer; Nico Schutte, Privacy Officer De Nederlandsche Bank; Olaf van Haperen, Managing Partner Kneppelhout & Korthals Advocaten; Annechien Sloots, Chief Privacy Officer de Volksbank.

Rachel: Eerlijk gezegd hebben wij bij KPN meer discussie over dataportabiliteit. Wij hebben voornamelijk pragmatisch gekeken naar dat right to be forgotten en gemerkt dat klanten en burgers eigenlijk helemaal niet zo betrokken zijn. Dat ze maar slecht de weg weten naar persoonsgegevens. En dat ze maar weinig van hun rechten gebruik maken. Ik verwacht een kleine toeloop maar ook weer niet zo enorm. Dus gaan wij er pragmatisch mee om. Komt er een verzoek binnen, dan gaan we dit handmatig afhandelen. En kan het niet meer handmatig, dan nemen we andere maatregelen. Maar we gaan geen gegevens wissen die we nodig hebben om je factuur op te maken.

Maar het zal zich gaandeweg in alle redelijkheid wel regelen.

Waar wij bij KPN ook druk mee bezig zijn, is om betrokkenen meer in handen te geven. Door een omgeving te ontwikkelen waar klanten heel veel zelf kunnen. Hun gegevens ophalen, wijzigen, uitbreiden. Het mes snijdt aan twee kanten. Je datakwaliteit gaat enorm omhoog en de klant heeft veel meer controle. Kortom, ik verwacht meer van de zelfredzaamheid van klanten dan dat ik ze opeens hun rechten zie gebruiken.

Annechien: Ook bij de Volksbank zijn we druk bezig klanten, naast financieel weerbaar, ook dataweerbaar te maken zodat ze verstandig en gezond met data om kunnen gaan. Klanten, werknemers en andere betrokkenen weten niet altijd goed wat hun data waard zijn, waar het staat en wat ermee kan gebeuren.

Een simpel voorbeeld: de nieuwe wetgeving die er voor ons aankomt in het kader van PSD2. Natuurlijk, een klant kan vragen om zijn data over te dragen aan een andere partij. Maar uit onderzoek blijkt dat je met 90 dagen betaaltransactie een compleet profiel hebt van iemand. Dus dat zelfredzaam maken is echt een hele belangrijke.

Dat doe je bijvoorbeeld door zo’n portal zoals KPN al benoemde. Door te laten zien wat je aan data hebt, met wie je het hebt gedeeld en wat ermee wordt gedaan. Daarnaast is het belangrijk je klanten goed te informeren.

Juist omdat privacy zo belangrijk voor ons is verkopen wij geen data van onze klanten. Wij willen daarin een betrouwbare partij zijn. De data zijn van de klant.

Nico: We hebben veel te maken met bewaartermijnen. Sommige zijn wettelijk, sommige zijn opgelegd of sterk geadviseerd door bijvoorbeeld de ECB (kan ook bijvoorbeeld EBA zijn).We proberen zoveel mogelijk te organiseren. Met goede data retention policies. Dus dat data als je ze niet meer nodig hebt automatisch worden verwijderd. Ook ik zie nog niet veel inzageverzoeken. Dat zal de komende periode wel toenemen, als de overheid daar aandacht aan gaat besteden. Ieder geval zullen we op zich beoordelen. Hoe kunnen we daar het best mee omgaan? Is het terecht dat er gevraagd wordt of er gegevens verwijderd kunnen worden?

Ook interessant is dat als jij toegang geeft tot jouw bankrekeninggegevens en je hebt ooit een transactie naar mij gedaan, mijn gegevens er ook in zitten. En privacy rechten zijn niet absoluut, het recht van de een mag niet zomaar inbreuk doen op het recht van de ander. Maar dat is allemaal nog niet uitgewerkt. Er is nog veel onduidelijkheid.

Olaf: Eind november zei de AP nog over dataportabiliteit dat als je bijvoorbeeld wisselt van Yahoo naar Gmail de hele mailbox over moest, inclusief inhoud en inclusief de persoonsgegevens van derden. Dus dat is echt wel behoorlijk in beweging.

Rachel: Dataportabiliteit is eigenlijk een gek recht dat bedacht is om het mensen makkelijker te maken om gegevens van de een naar de ander te brengen. En dat hebben ze dan in de privacywetgeving gefietst. Daarmee is het een wat vreemde eend in de bijt.
En een wetgever heeft misschien niet helemaal overzien wat dat in de praktijk betekent. De Artikel 29-werkgroep gebruikt de telecomindustrie als voorbeeld en zegt dan dat alle inkomende en uitgaande gesprekken moeten worden meegeporteerd. Maar heeft een klant daar wel wat aan? Want het gaat vaak om technische gegevens die bijzonder weinig waarde voor hem hebben. Daarnaast zitten er ook allerlei nummers in die normaal gesproken afgeschermd zijn.

Klanten hebben er veel meer aan dat ze bijvoorbeeld zes maanden gespecificeerde facturen kunnen meenemen voor analyses en dergelijke. En dat kan in principe ook al. Dat perspectief ontbreekt soms nog weleens.

Olaf: En als daar nou gegevens tussen zitten van een KPN-klant die vergeten wil worden? Dan kan jij die gegevens voor degene die wil porteren niet volledig overzetten. Dus daar is echt nog onvoldoende over nagedacht.

Rachel: Ja, je merkt in de praktijk dat die zaken niet goed op elkaar aansluiten. Aan de andere kant is het niet veel anders dan toen we begonnen met de Wet Bescherming Persoonsgegevens. In de eerste jaren na nieuwe privacywetgeving is het best wel erg lastig omdat privacywetgeving vaak moeizaam één op één is toe te passen op de praktijk.

Karin: De vraag gaat over ‘the right to be forgotten”, of dat een absoluut recht is en hoe zich dat verhoudt tot het recht op de de vrijheid van meningsuiting. Deze vraag wordt deels in jurisprudentie beantwoord. Bij AkzoNobel krijgen wij tot op heden weinig verzoeken van klanten met de vraag welke data we hebben opgeslagen. Indien wij zulke verzoeken ontvangen hebben wij daar bij AkzoNobel procedures voor. AkzoNobel is een groot bedrijf en bezit veel data, het zal voor alle organisaties van dezelfde omvang een uit­daging worden om aan zulke verzoeken te voldoen.

Lieke: In de AVG zijn al een aantal uitzonderingen opgenomen wanneer het niet geldt. Dus is het heel belangrijk om eerst te analyseren wanneer je er iets mee moet doen en wanneer je het kunt weigeren. Als de verwerking gebaseerd is op toestemming die ingetrokken wordt zul je er meestal aan moeten voldoen. Maar als de gegevensverwerking berust op noodzakelijkheid voor de uitvoering van een overeenkomst en deze verwerking blijft nodig voor de doeleinden en iemand verzoekt om erasure of right to be forgotten, dan zou dat buiten de voorwaarden kunnen vallen binnen de AVG om hieraan tegemoet te moeten komen. Daarnaast zijn er een aantal echte uitzonderingen opgenomen. Bijvoorbeeld als er in wetenschappelijk onderzoek gegevens verwerkt zijn en je die gegevens niet meer uit de onderzoeksdata kunt halen omdat anders het onderzoek niet meer valide is. In zo’n geval mag je ook weigeren. En als je iemand die het verzoek doet niet kan identificeren is dat een andere reden om te weigeren.

Rence: Ik werkte destijds voor een mooie telecomprovider die er echt op was voorbereid. We hadden zelfs extra mensen in de callcenters ingezet omdat we bang waren dat er ontzettend veel verzoeken zouden komen op dit recht. Maar dat viel reuze mee. We praten echt over een aantal verzoeken. Mensen die het interessant vonden om het te weten.

Waar het straks uiteindelijk naartoe gaat is zelfredzaamheid, dashboarding waarbij je gegevens die mensen daadwerkelijk verder kunnen helpen inzichtelijk maakt. Zodat ze die gewoon kunnen inzien. Daarmee geef je hen ook een gevoel van controle over die data.

Karin: Albert Heijn is een goed voorbeeld, zij hanteert een online dashboard dat het voor de klanten heel gemakkelijk maakt om te bepalen wat je als klant wel wilt delen en wat niet. Dat is een mooi voorbeeld van zelfredzaamheid van de klant en de mogelijkheid tot controle over de data.

Saskia: Ik zit aan de IT-kant dus ik bekijk het meer vanuit de technologie. Hoe ga ik verwijderen? Hoe ga ik anonimiseren? En wat is mijn toetsingskader? We geven onze werknemers nu mee dat zij de controle hebben. Maar het belangrijkste is die technische kant. Want het verwijderen op zich is een illusie. We kunnen er natuurlijk een toplaag afhalen. Maar de metadata blijven daar wel zitten. En hoe lang? En wat doen we er dan mee?

Rence: We moeten absoluut zorgen voor een adequate vorm van datakwaliteit. Dat is superrelevant. Want als we verkeerde data ontsluiten, hebben we nu of straks te maken met een datalek. En bekijk het maar van geval tot geval, want iedereen is op zoek naar iets anders. Komt er een vraag binnen? Oké, dan gaan we verwijderen.

Rachel: Het hangt echt af van de om­standig­heden. Stel dat er ergens een overschrijding is van de bewaartermijn. Dan is dat een trigger voor de organisatie om te kijken of ze het nog wel goed doen. Is het een incident of gaat het vaker fout? Elke privacyzaak brengt weer iets anders naar boven. Soms heb je ook te maken met oude legacysystemen die helemaal niet zijn toegerust op onze modernere privacywetgeving. Daar moeten we nog ingroeien.

Nico: Je behandelt het individuele geval. En op het moment dat je constateert dat we inderdaad data hebben die we eigenlijk niet hadden moeten hebben, onderzoeken we of we dat over de hele linie kunnen verwijderen. Je moet het zien als een voortdurend verbeteringsproces. Er zijn overigens belangrijke uitzonderingen op de ´right to be forgotten´ en hier zal naar gekeken worden wanneer wij zo´n verzoek ontvangen.

Lieke: Het wordt beschreven als dat het niet toepasselijk is in gevallen van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wanneer door verwijdering de doeleinden niet meer bereikt kunnen worden. Maar er is nog wel onduidelijkheid of dat bijvoorbeeld ook opgaat voor commercieel getinte onderzoeken. Daar zou nog wel wat meer duidelijkheid over mogen komen.

Karin: Dat is een complex vraagstuk. Zoals eerder is aangekaart tijdens de discussie is het al ingewikkeld om alle data te wissen. Zeker voor grote ondernemingen met veel systemen en datastromen.

Karin: Organisaties moeten aan een hoop vereisten voldoen op het gebied van privacy. Er is te weinig duidelijkheid omtrent prioriteiten, ik kan in de privacy wetgeving nog onvoldoende risico beheersende benadering vinden. Ik wacht met smart op meer richtlijnen.

Nico: Het is een lastige klus om alle data van een individu te vinden en te verwijderen. Dit zou eenvoudiger zijn als alle bestanden gekoppeld waren, maar dat zou weer nieuwe privacy problemen met zich meebrengen.

Rachel: Dat hangt af van de omstandigheden. Als jij zo’n verzoek doet, dan gaan we dat in behandeling nemen. Maar ik weet nog niet wat daarop mijn definitieve antwoord is nu. Elke case, elke klantvraag is weer anders.

Rachel: Klanten kunnen natuurlijk een officieel verzoek doen en dan heeft een organisatie vier weken waarbinnen ze moeten antwoorden. Geeft een bedrijf geen antwoord, dan kun je altijd een signaal afgeven bij een toezichthouder. Maar in principe móeten zij naar jouw verzoek kijken.

Rachel: Niet automatisch. Maar als je compleet nalatig bent, kan het zeker leiden tot een boete. Nou wil je reputatieschade natuurlijk ten alle tijden voorkomen. Zeker als je goed bezig bent om compliant te zijn met de privacywetgeving.

Olaf: Een ander fenomeen is het uitdijende persoons­gegevensbegrip. Wij zijn heel nauw betrokken geweest bij allerlei discussies over anonimiseren, pseusonimiseren, dubbele pseudonimisatie, eenwegpseudonimisatie enzovoort. Eerst ligt er een oude WP 29-opinie die richtlijnen geeft voor pseudonimiseren. Dan ligt er weer een meer recente die zegt dat pseudonimiseren alleen maar een beveiligingstool is en nog steeds persoonsgegeven. En nu zitten we in een technische tijd waarin alleen de voorzieningenrechter in Utrecht er een keer over heeft geoordeeld, namelijk dat het mogelijk is om te eenwegpseudonimiseren. Dat betekent dat je een persoonsgegeven door een tool trekt waardoor deze een anonieme code krijgt en je niet meer terug kunt. De enige garantie die je hebt, is dat je die persoon er nog een keer bij betrekt, dat je dezelfde identifier krijgt. En zo kun je iemand toch anoniem blijven volgen door je database.

Dus zo zorgen allerlei technische ontwikkelingen ervoor dat heel zwart-wit pseudonimiseren niet meer bestaat. En je krijgt uitspraken zoals in die zaak in Ierland waarbij een student vond dat zijn examenuitslag zijn persoonsgegevens waren en dat hij daar allerlei rechten op kon uitoefenen. Wat door het Europese hof gevolgd werd en waardoor een deel van de onderwijsbranche nu heel bang is voor dataportabiliteit. Want moeten ze nu ook examenantwoorden gaan overdragen?

Dus wanneer is iets nog een persoonsgegeven? En dan zijn wij er nog dag en nacht mee bezig. Laat staan dat iemand die een right to be forgotten wil uitoefenen nog kan begrijpen wat nu allemaal persoonsgegevens zijn. En dan hebben we ook nog die rare praktijk dat als je allerlei anonieme gegevens op elkaar stapelt, je via indirecte herleidbaarheid toch weer kan promoveren tot persoonsgegeven. Dus het is zo complex.

Rence: Het proces van anonimiseren is ook een vorm van verwerking. Analyticsspecialisten zeggen: “Nee, ik ga het allemaal anonimiseren. Dan heb ik niet te maken met doelbinding en met persoonsgegevens want het is allemaal geanonimiseerd.“ Overigens ben ik van mening dat als je een pseudoniem door een database kan volgen, je dat niet anoniem mag noemen. Maar je kunt inderdaad ook data met elkaar matchen. Als je verschillende data stapelt of deze verrijkt met externe data, kun je er mogelijk weer persoonsgegevens van maken. Maar anonimiseren is feitelijk al een vorm van verwerking. Waarvoor je dus eigenlijk al aan de voorkant toestemming zou moeten vragen.

Nico: Op een voldoende hoog niveau zijn statistische gegevens echt niet meer te herleiden tot een individu. Maar in andere gevallen is het alleen een mitigerende maatregel en niet een verwijdering van persoonsgegevens.

Nico: Ja, daarmee dring je het risico natuurlijk wel terug maar…

Saskia: Dat is ook de discussie die je kan voeren over logins. Die zijn ook altijd traceerbaar. Het is een veiligheidsmaatregel. Maar ze zijn wel herleidbaar. Dus moet je die dan weer encripten, wat ook weer een verwerking is? Je kan daarin heel ver gaan, wat steeds meer kosten en maatregelen betekent.

Nico: Maar encrypten is natuurlijk niet de enige manier om het te beschermen. Je kunt op veel manieren toegang minimaliseren of gegevens zo snel mogelijk weer weggooien.

Rachel: Laatst zijn er experimenten gedaan waarbij men keek in hoeverre metadata iets kunnen onthullen over personen. Heel lang hebben we natuurlijk gedacht dat als er geen persoonsgegevens zijn, je dat niet kunt relateren aan een persoon. Maar een paar jaar geleden hebben ze proeven gedaan. Dan gaven ze 12-jarige kinderen een bak metadata, webservicegegevens van personen en zeiden: “Hier! Je hebt drie uur. Ga maar kijken of je van deze metadata een persoon kunt maken.” Nou, dat lukte die twaalfjarige kinderen echt in no time. Die hadden daar zo een persoon achter ontdekt. Dus beveiligingsmaatregelen, anonimiseringstechniek…

Nico: Als jij goed gepseudonimiseerd hebt en er binnen een Chinese Wall mensen op hebt zitten die verder ook geen andere data hebben waarmee ze gegevens kunnen terugherleiden, dan heb je het risico voor een heel groot deel teruggedrongen.

Lieke: Er is merkbaar behoefte aan een kader om te schetsen wanneer iets nou als geanonimiseerd of gepseudonimiseerd aangemerkt moet worden. Natuurlijk heb je de richtlijnen van de Artikel 29-werkgroep. Maar daarin staat niet veel meer dan dat hoe meer technieken je toepast, hoe beter je anonimisatie maatregel is, maar de grens waarbij je gegevens daadwerkelijk als anoniem kunt bestempelen blijft vaag in de praktijk. Dus, of je vermijdt ieder risico en behandelt alsnog alle gegevens waar je de-identificatie maatregelen voor genomen hebt als persoonsgegevens, ook al komt het heel dichtbij anonimisatie, of je neemt meer risico en behandelt de gegevens als anonomien, erkennend dat volledige anonimisatie altijd ter vraag gesteld kan worden.Waar leg je dan de grens tussen gepseudonimiseerd of geanonimiseerd? Dat blijft een moeilijke beslissing.

Lieke: Het zou handig kunnen zijn om in je overeenkomst met een andere partij vast te leggen dat je in principe geen persoonsgegevens wilt ontvangen als minimalisatie maatregel en als er geen doel voor is. Als een waterdichte standaard van anonimisatie niet haalbaar is en gegevensuitwisseling wel nodig is, dan kom je alsnog uit op een verwerkersovereenkomst.

Nico: Het begint met een stuk basiskennis voor je hele organisatie. Wat zijn persoonsgegevens? Wanneer is iets direct of indirect herleidbaar? Hoe ver strekt dat? Laat ook je technici daarover nadenken en met vragen komen. Dus bekijk het niet alleen vanuit de toezichthouder, de regelgever of de compliance-afdeling maar ook vanuit de technische kant. De technologische evolutie gaat vele malen sneller dan de wetgeving kan bijhouden.

Lieke: Je moet dit eigenlijk interdisciplinair aanpakken. Door in het bedrijf samen te werken met engineers en mensen die met R&D bezig zijn. Mensen die een andere kijk hebben en de inventiviteit hebben om nieuwe manieren te bedenken of toe te passen om privacy overwegingen mee te nemen voor specifieke producten of projecten. Vaak zijn de regels vanuit een idealistisch oogpunt bedacht en hebben we juist input vanuit de business en de meer technische kant nodig om creatieve toegepaste oplossingen te vinden.

Nico: Uiteindelijk is de business eindverantwoordelijk voor de verwerking. Dus is ons doel hen te helpen om risico’s transparant te maken, mee te denken over maatregelen en de risico’s vanuit het perspectief van de betrokkene te beoordelen. De business te helpen om de juiste beslissingen te nemen en te bepalen of de data wel helemaal anoniem zijn. Een zorgvuldige anonimisering of bijvoorbeeld het op voldoende hoog niveau aggregeren van data kan leiden tot een data-set welke geen persoonsgegevens meer bevat, en waarvan het gebruik niet langer gebonden is aan het doel waarvoor de data oorspronkelijk verzameld werd.

Karin: Het gaat om de eerste vertaalslag. Welke informatie wil ik hebben om een risico te kunnen analyseren? Begrijpt de business die gebruik maakt van een systeem wat er gebeurt op de achtergrond? Wie zijn er betrokken? Wie zijn de achterliggende partijen? Wat gebeurt er met de data?

Saskia: Doelbinding. Prachtig. Maar de praktijk is natuurlijk technologie, IT, systemen, services. Het eerste waar we het over hebben is testdata. En dan is de praktijk wel heel erg weerbarstig.

Nico: Je moet natuurlijk niet testen met persoonsgegevens. En dan is het inderdaad best lastig om data te hebben die genoeg lijken op echte persoonsgegevens om de test valide te maken maar die toch niet echt zijn.

Annechien: Wij hebben op dit moment een heel groot testdatamanagement­project. En dan blijkt het wel degelijk mogelijk - ook met derde partijen, ook interbancair – om te testen met geanonimiseerde of dummydata. Je moet privacy inderdaad niet aanvliegen vanuit een juridisch, een compliance- of een technisch perspectief maar interdisciplinair. En dan zie je direct dat er echt wel dingen mogelijk zijn.

Lieke:
Als het werkt, is anonimisatie het natuurlijk een supermooie privacy by design maatregel. Want je mitigeert de risico’s vanaf het begin, zelfs als je de gegevens alsnog gaat verwerken als zijnde persoonsgegevens, terwijl je heel dicht tegen anonimisatie aanzit. Ik denk ook dat het mogelijk is om te anonimiseren. Alleen heeft niet elk bedrijf er de middelen, de technische knowhow en het budget voor.

Rence: Uiteindelijk gaat het om interactie. En die interactie gaat twee kanten op. Vanuit de juridische afdeling of de privacyspecialisten en vanuit de techniek. Laatst riepen mensen tegen me: “Als ik het zus en zo doe, dan is het toch echt anoniem.“ Ik zei: “Laten we het eens omdraaien. Ga het maar testen. Dat wat je denkt dat anoniem is in combinatie met je andere gegevens en eventueel de originele database. Ga het maar terug proberen te hacken.” Dat werkt bijzonder effectief.

Lieke: Dat is de goede manier. Creëer betrokkenheid bij mensen in de business, vanuit de IT en al die verschillende kanten. Laat het niet langer een moeilijke regel zijn maar ook een uitdaging. Train mensen om iets te leren en interessant te gaan vinden. Daag ze uit om zelf mee te denken.

Nico: In sommige gevallen kan je zelfs berekenen of iets anoniem is of niet. Een voormalig collega zei me eens: “Ja, ik heb geanonimiseerd want ik heb alleen maar voornamen, geboortejaar en woonplaats.” Je kan online zoeken hoe vaak een naam is gegeven in een bepaald jaar dus dat heb ik eens bekeken voor mijzelf. En er is een kans van 1 op 4 dat iemand met mijn naam en mijn geboortejaar in mijn woonplaats woonde. Dus aantoonbaar niet geanonimiseerd.

Annechien: Het gaat erom dat je de organisatie meekrijgt en niet tegen je krijgt. Want dat heb je snel, ondanks dat je risicobeheersend werkt en ondanks al je goede bedoelingen, adviezen en input. Sowieso mag privacy wel een iets betere naam krijgen dan nu. Hoe denk je mee? Hoe zorg je dat dingen wél kunnen in plaats van niet? Men moet privacy niet alleen als risico of showstopper zien maar ook als een kans.

Naast de Volksbank doen KPN en Albert Heijn dat heel mooi. Dat een bedrijf niet alleen maar denkt: "Help! Een klant kan mij iets vragen" of: "ik kan een boete krijgen." Maar ook zegt: "weet je, wij doen het gewoon goed. Dat betekent inderdaad dat je niet alles kunt doen met data, maar er kan nog steeds heel veel wel." Daar kan je een businessmodel mee bouwen.

Rence: Privacy wordt inderdaad vaak alleen maar gerelateerd aan risicomanagement. Maar privacy draait ook om vertrouwen en zorgvuldig omgaan met gegevens. Ga je op een onzorgvuldige wijze met gegevens om, dan kan je het vertrouwen van je relatie schaden en daarmee je business kapot maken.

Annechien: Het gaat niet eens alleen over het goed omgaan met klantgegevens. Dit gaat over goed en zorgvuldig met je klant omgaan, over het opbouwen van een goede klantrelatie. Punt.

Karin: Juist de grootte van de bedrijven maakt het heel lastig om te inventariseren welke systemen je hebt, wie waar voor verantwoordelijk is en wanneer? Dus zo bezien is een kleiner bedrijf in het voordeel.

Olaf: Hoewel de hoeveelheid en de gevoeligheid van data niet altijd afhankelijk zijn van de grootte van een bedrijf. Er zijn hele kleine bedrijven die gigantische hoeveelheden data verwerken. En er zijn heel veel niet zo grote bedrijven die er toch wat makkelijk over denken. Het gaat meer om de volwassenheid bij bedrijven. De mate van realiseren dat die zorgplicht er is en dat er een nieuwe tijd aanbreekt.

Rachel: Technologische ontwikkelingen gaan dermate snel dat de huidige wetgeving hier niet goed meer bij aansluit. Onze WWP is gebaseerd op een richtlijn uit 1995. Dan snap je wel dat deze aan een update toe is. Dus eigenlijk is het een hele natuurlijke ontwikkeling. En de eerstkomende jaren gaan we zien wat het precies betekent. Er komen ongetwijfeld evaluaties van deze wet en dan sluit het wel goed aan.

Olaf: De Europese wetgever heeft ook gekozen voor het verregaandste paardenmiddel dat ze hebben: de verordening. Dat komt omdat er een enorme noodzaak tot harmonisatie was binnen Europa. We hadden allemaal wel die ouderwetse richtlijnen. Maar de toepassing per land verschilde sterk. Dat gevaar is er nu nog. Maar in ieder geval op basis van dezelfde wetten.

Lieke: We hebben steeds meer datastromen en gegevensuitwisselingen tussen landen en partijen. En als je dan allerlei verschillende interpretaties van een richtlijn hebt, is het heel moeilijk om compliant te zijn. Dus wat dat betreft zit er ook een ideologie achter. We willen het simpeler maken door voor alle landen één regelgeving te hebben.

Annechien: Er zijn ongeveer zestig punten waarop je nu nog nationaal kunt afwijken. Nog daargelaten dat je nu al ziet dat verschillende toezichthouders er ook weer verschillend inzitten. Dus ik ben heel benieuwd hoe geharmoniseerd dit in de praktijk zal zijn.

Lieke: Met een verordening zal het hopelijk iets simpeler worden binnen Europa.

Rence: Deze wet heeft betrekking op de burgers in Europa. Maar als we kijken naar datastromen en hoe deze worden uitgewisseld, dan gebeurt dat op wereldschaal. En dus heb je te maken met heel veel andere landen met andere opvattingen en andere wetten over het onderwerp privacy. Maar het is een stap in de goede richting. Daar zijn we het allemaal wel over eens.

Nico: Maar de lat ligt wel hoger. En dat maakt het ook moeilijker om eraan te voldoen. Dus in dat opzicht is het niet simpeler. Aan de andere kant is de zorgplicht er natuurlijk altijd al geweest. Dat er nu meer expliciet rekening gehouden moet worden met het risico voor
de betrokkenen is dan een logische stap.

Olaf: Eén kanttekening daarbij. We hebben het nu dan geharmoniseerd in Europa en nog beter geregeld dan het al was. Maar we hebben daarmee de afstand tot de landen buiten Europa wel zodanig vergroot dat er heel veel bedrijven zijn die tegen bijna onoplosbare problemen aanlopen. En met de huidige regelgeving los je dat niet op.

Lieke: Ik las in het IAPP Governance Report dat de AVG voor internationale bedrijven en zelfs in de VS wel terdege een onderwerp is voor privacyprogramma’s. Dus het lijkt alsof er tegelijkertijd ook een beweging aan de gang is waarbij internationale bedrijven wel terdege kijken naar de Europese privacywetgeving.

Annechien: En in sommige gevallen krijgen gereguleerde sectoren ook nog eens met conflicterende toezichthouders te maken. Dan moeten we van de ene toezichthouder bijvoorbeeld allerlei (klant)data aanleveren, soms zonder goede of duidelijke rechtsgrond. En de Autoriteit Persoonsgegevens houdt zich juist redelijk strikt aan de tekst van de verordening. Daar moet je - op een goede manier - heel creatief mee omgaan. Daarbij proberen we er ook voor te zorgen dat deze toezichthouders samen in gesprek gaan.

Annechien: Eigenlijk is het inherent aan goed omgaan met je klanten, je werknemers, eigenlijk iedereen waar je persoonsgegevens van hebt. Dat je hier aandacht aan besteedt, hierover nadenkt, zier zorgvuldig mee omgaat. In die zin verandert er niet eens zo heel veel, anders dan dat er meer aandacht voor is. Dat is op zich wel een hele fijne bijkomstigheid.

Olaf: Eigenlijk ben je hier nooit klaar voor en klaar mee. Dit is een doorlopend proces. Het gaat erom dat je processen inricht omdat iedereen die zorgplicht heeft omarmd en belangrijk vindt. Maar het is niet iets wat in mei even klaar is of waar je ooit klaar mee bent. Je moet het in het DNA van het bedrijf gaan bouwen. Daar gaat het om.

Rence: Dat gaat ook gebeuren. Als je kijkt naar informatiebeveiliging. Dat onderwerp is zo gede­mocratiseerd. Dat gaat nu ook gebeuren met dataprivacy. Zeker met al die technologische ontwikkelingen.

Rence: En terecht. Decentrale dataorganisatie wordt aan de orde van de dag straks. En dan hoort dit erbij. Dit is gewoon een hygiënefactor.

Rence: De laatste jaren is privacy ook steeds meer onderdeel van de integriteit van je bedrijfsvoering. Het is maatschappelijk verant­woord ondernemen. Het wordt steeds meer een ethisch vraagstuk. De regeltjes geloven we wel. Voor een groot deel kun je daar controles voor inzetten en voorwaarden voor schrijven.

Karin: In dat opzicht is er weinig veranderd, behalve het feit dat de drukte is ontstaan door de dreiging van boetes. Dat is onder meer de reden dat alle organisaties nu zo druk zijn met de correcte implementatie van de privacy wetgeving. Het is belangrijk dat organisaties niet in paniek raken, de verantwoordelijkheden en verplichtingen omtrent privacy waren er al. Het is een doorlopend proces, naar verwachting zal niet iedereen klaar zijn voor 25 mei. In ieder geval zal moeten worden aangetoond dat de noodzakelijke processen zijn ingericht en dat we bezig blijven met de ontwikkeling daarvan. Ik heb er vetrouwen in dat er in eerste instantie gelegenheid wordt geboden tot herstel van de inrichting van de privacy processen, indien nodig.

Annechien: Inderdaad. De discussie gaat over ethiek en integriteit. Op directieniveau kun je het dan echt ergens over hebben. Gaat het over vertrouwen? Gaat het over waar we voor staan? Willen we dit wel als bedrijf? Willen we deze boodschap uitzenden?

Lieke: Klanten verwachten ook steeds vaker een soort van standaard, een kwaliteitsoogmerk of dat je kan laten zien dat je ermee bezig bent. Als je het goed doet, kan dit een concurrentievoordeel opleveren omdat het je klanten vertrouwen geeft. Het zal ook steeds vaker verwacht worden. We zitten nu nog in een overgangsfase waarin bedrijven ermee worstelen. Maar ik verwacht dat ingebedde privacy heel snel normaal zal worden. En als je niet kunt voldoen aan dit verwachtingspatroon, val je buiten de boot.

Saskia: Je mag hopen dat het de kant opgaat van security. Ik bedoel: tien jaar geleden praatten we met geen enkele klant over security. Nu is dat een hot topic.

Olaf: Ook het toenemend aantal hacks heeft natuurlijk enorm geholpen. Enerzijds de regelgeving en die boetedruk, aan de andere kant ook de bijna onmogelijkheid om je nog goed te beschermen.
Dat heeft elkaar enorm versterkt.

Lieke: Een van de grote voordelen van de AVG is dat er veel nieuwsgierigheid naar is. Laten we dat als privacyprofessionals als een kans zien. Laten we er echt een gespreksonderwerp van maken in plaats van iets dat buiten de business blijft.