Van “tell me” naar “prove to me”

Op 16 juni 2016 vond het jaarlijkse Nationaal Privacy Event van Duthler Associates plaats in het Louwman Automuseum. In dit artikel lees je over de actuele status van de privacy wetgeving (de algemene verordening gegevensbescherming) en de conclusies die wij daar uit trekken.

De privacy wet is noodzakelijk

De dag wordt geopend door Anne-Wil Duthler. Anne-Wil betoogt dat in het digitale tijdperk een sterke privacy wetgeving noodzakelijk is om alle burgers (homo digitalis) in een democratische samenleving te beschermen. Verder deelt Anne-Wil met de zaal haar observaties rond de privacy wetgeving. Kort samengevat: alle betrokkenen worstelen met de wet en de zaken zijn wel op gang maar zeker nog niet op orde. Deze heldere conclusie wordt met herkenning ontvangen door de aanwezigen.

Niemand die het helemaal weet

Wat ons vooral opvalt tijdens het congres is de onduidelijkheid over de wet: de bepalingen, de normen, de kaders en de juridische aspecten. Er volgen twee presentaties over technische maatregelen die privacy gegevens beschermen. Denk hierbij aan maatregelen zoals dataprotectie, toegang- en netwerkbeveiliging en bijvoorbeeld segmentering om impact van een lek te beperken en het belang van logging voor onderzoek en bewijs. Het is voor de meeste mensen in de zaal wel duidelijk wat het nut hiervan is. Maar in de streams daarna begint de discussie pas goed los te komen:

Wat is een Privacy Impact Assessment (PIA)?

  • Is een PIA meer ‘richtinggevend’ of zijn het de keiharde eisen waaraan voldaan moet worden?
  • “We horen jullie zeggen dat jullie nog niet aan alle maatregelen uit de PIA voldoen”, maar je moet toch echt wel aan de wet voldoen!”
  • Hoe zal de autoriteit in de praktijk reageren en wat zal de nog te ontwikkelen jurisprudentie gaan betekenen?
  • Hoe interpreteren accountants en advocaten de nieuwe wetgeving?

Er zijn dus veel onduidelijkheden rond de privacywet en de uitvoering ervan.

Privacy2

In theorie en in de praktijk

De afsluiting van het programma is een spel met een interactieve case. Een universiteit heeft een datalek te pakken. De inschrijving van studenten wordt stilgelegd. Of zich ook daadwerkelijk een incident heeft voortgedaan is nog onduidelijk. De geïrriteerde voorzitter van de RvB is aanwezig in gezelschap van de geschrokken ICT manager. Aan de andere kant van het podium zit de stoïcijnse ambtenaar van de Autoriteit Persoonsgegevens die een en ander eens grondig uit wil zoeken. De zaal bestaat uit Functionarissen Gegevensbescherming (FG’s) die antwoorden op vragen moeten geven zoals:

  1. Moet er in dit geval een melding naar de autoriteit worden gedaan?
  2. Moet de Autoriteit Persoonsgegevens stoppen met onderzoek tot er een advocaat gearriveerd is?

Conclusie: samenwerken is de sleutel tot succes

Het symposium geeft antwoorden op vragen en roept ook nieuwe vragen op. Het deelt aanpak, uitvoering en ervaringen uit de praktijk. Maar het wordt vooral ook duidelijk hoever de theorie (vooral juristen) en de praktijk (met name controllers, ICT-ers en bestuurders) nog uit elkaar liggen als het om interpretatie gaat. De belangrijkste conclusie die wij hieruit trekken is dat de verschillende experts multidisciplinair moeten samenwerken om organisaties te helpen met de inbedding en uitvoering van de privacy wetgeving. De eerste goede stap is een PIA. Pragmatisme is hierbij belangrijk. Angst zaaien is onnodig.

Ben je benieuwd naar het antwoord op de twee vragen uit de case? Lees dan nog even verder.

Het antwoord op de eerste vraag: in dit geval voor alle zekerheid het lek maar wel melden bij de AP.

Het antwoord op de tweede vraag: hij moet wachten, als de advocaat tenminste binnen redelijke tijd aanwezig kan zijn.

Ziezo, da’s lekker duidelijk.

Jeroen Simons & Edwin van den Heijkant

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten