CIP-podcasts - voor meer kennis over informatiebeveiliging en privacybescherming
In onze podcasts delen we kennis over allerlei onderwerpen rondom informatiebeveiliging en privacybescherming. De podcasts zijn met name bedoeld voor professionals en bestuurders in de publieke sector en hun adviseurs.
CIP-podcasts - voor meer kennis over informatiebeveiliging en privacybescherming
CIP Podcast - Handleiding Privacy by Design
In deze podcast bespreken Pauline Verhaak (Ministerie Justitie & Veiligheid) en Nine Bennink (Considerati) de achtergrond en opzet van de nieuwe Handleiding Privacy by Design.
Voice-over: Dit is een podcast van het CIP: Centrum Informatiebeveiliging en Privacybescherming.
Walter van Wijk: Beste mensen, van harte welkom. We hebben het over een Handleiding Privacy by design, die geschreven is in opdracht van het Ministerie van Justitie en Veiligheid, onder gevleugelde aanvoering van Pauline Verhaak, Privacy Officer bij het ministerie. Zij wordt in dit verhaal terzijde gestaan door degene, die het grootste gedeelte van de opdracht om die handleiding te maken, heeft uitgevoerd, namelijk Nine Bennink, consultant van Considerati. Ik wil het woord aan jullie geven.
Pauline Verhaak: Dank je wel Walter. Welkom iedereen. Fijn om voor dit mooie onderwerp het woord te kunnen voeren, samen met Nine. De verplichting om privacy en gegevensbescherming mee te nemen bij het ontwerp van beleid of van een nieuw systeem, waarin persoonsgegevens worden verwerkt, is een vereiste van de AVG. Voortschrijdende digitalisering benadrukt nog extra het belang om te kunnen varen op de juiste en rechtmatige gegevens, die je verzamelt hebt of nog van plan bent te verzamelen. Dat is van belang om extra te benoemen, omdat we gaandeweg misschien praten in onze eigen werkomgeving over data of over gegevens, en daarbij uit beeld kan verdwijnen - in ieder geval bij de overheid is dat zo - dat een belangrijk deel van de gegevens die worden verwerkt, persoonsgegevens zijn.
Pauline Verhaak: Met andere woorden: een zorgvuldige omgang daarmee is een belangrijke randvoorwaarde voor succesvolle, voortgaande digitalisering. Dan is daar het blauwe boekje, misschien bij velen van jullie bekend, van professor Jaap-Henk Hoepman, waarin ontwerpstrategieën van privacy by design zijn uiteengezet en duidelijk zijn toegelicht. Een veilig en rustig gevoel is het om dat op de plank te hebben en ook af en toe in te kijken. Een terugkerende vraag bij ons was: dit weten we nu, maar hoe brengen we nu de stap naar de praktijk? Hoe gaan we dit nu toepassen? Waar kunnen we dit boekje voor gebruiken? Wat is een eerstvolgende stap? Die vraag werd steeds belangrijker en kwam terug.
Pauline Verhaak: We dachten: we gaan daar nu werk van maken en eerst laten onderzoeken wat wij bij justitie - wat een bijzonder interessante organisatie is, alleen al vanwege de omvang, de diversiteit en de complexiteit van de gegevensverwerking - in huis hebben aan kennis en ervaring met privacy by design? Considerati heeft dat in kaart gebracht aan de hand van een onderzoek, waarin diverse doelgroepen zijn geïnterviewd. Dan moet je denken aan: privacyofficers, beleidsmedewerkers, proceseigenaren, architecten, developers. Iedereen die zich aanmeldde als belangstellende om meer te willen weten over privacy by design en de manier om zoveel mogelijk baat te ondervinden bij de inzet daarvan, kon zich aanmelden voor interviews.
Pauline Verhaak: Die zijn afgenomen en op basis daarvan is een goed inzicht ontstaan en een goede basis om de handleiding, waar we het vandaag over gaan hebben, vorm te geven. Eén belangrijk resultaat daarvan is het feit dat die handleiding is geschreven op een manier, die bedoeld is om verschillende doelgroepen aan te spreken. De ene doelgroep is meer visueel ingesteld en de ander vindt het prettig om eerst wat theoretische verdieping tot zich te kunnen nemen en van daaruit tot het denken in termen van privacy by design, volgende stappen te zetten. Voor de data analisten zijn meer praktische handvatten en best practices gegeven en voor andere professionals theoretische verdieping. De handleiding bevat kwalitatief goede verwijzingen, waarmee mensen verder kunnen nadat ze er kennis van hebben genomen.
Pauline Verhaak: Een mooi resultaat, iets om trots op te zijn. Van de andere kant een noodzakelijke eerste stap. Daar bedoel ik mee dat de volgende stap is dat we hem moeten gaan uittesten, gaan gebruiken en het ook beschouwen als een levend document. Bij justitie is de opdracht, de consideratie ook niet geëindigd met 'schrijf een handleiding' maar ook 'licht hem toe in verschillende trainingen'. We hebben een reeks trainingen achter de rug. Nu is het aan ons, als professionals, om er gebruik van te maken en die oproep wil ik ook naar jullie doen. Na dit webinar hoop ik dat jullie er gebruik van gaan maken, dat jullie ook laten weten wat je ervaringen waren en vooral ook kritische vragen stellen. Hoeft niet in het webinar, kan ook gaandeweg als je er ervaring mee opdoet: laat je horen.
Pauline Verhaak: Er staat een uitnodiging, mijn e-mailadres staat in de handleiding: laat weten als je suggesties hebt voor versterking. Wijzelf gaan door op dit pad. We hebben nu deze mooie handleiding, we gaan hem gebruiken Er komt binnenkort een technische verdieping voor de meer solutions architects. Daar heb ik grote verwachtingen van, met het uiteindelijke doel om bij justitie te borgen dat wij in het begin van het ontwerp van beleid en systemen nadenken en meenemen de privacy en gegevensbescherming via techniek en processen. Ik wil het hierbij laten en geef graag het woord aan Nine Bennink.
Nine Bennink: Ik ga het vandaag met jullie hebben over privacy by design en over de handleiding waar net de introductie over is geweest. Mijn verhaal bestaat eigenlijk uit drie delen: ik ga eerst kort in op wat basisbeginselen van de AVG. Dan ga ik wat dieper in op wat privacy by design is en hoe je dat concreet kunt toepassen, aan de hand van een voorbeeld. In het laatste onderdeel ga ik wat dieper in op de handleiding: waar bestaat die uit? Wat kun je erin terugvinden? En de boodschap gebruiken. Als je het hebt over privacy by design, dan kun je eigenlijk heel breed denken. Dit zijn drie voorbeelden, die ik uit de pers heb gehaald, waar privacy by design een onderdeel speelt.
Nine Bennink: Ik ga naar het eerste, Britse consumentenbond: slimme apparaten verzamelen meer data dan nodig. Is dat iets wat in het ontwerp anders had moeten worden gedaan, dat die apparaten niet zoveel data konden verzamelen? Ook het tweede voorbeeld: kadaster gaat persoonlijke gegevens voor meer mensen afschermen. Dus kennelijk waren de velden zichtbaar toen het systeem van het kadaster openbaar was gemaakt. Had dit kunnen worden voorkomen als er bij het ontwerp van het systeem van het kadaster anders was nagedacht over welke data voor welke mensen zichtbaar zijn? En ook drie: gegevens in de basisadministratie worden voorlopig niet versleuteld opgeslagen. Ook daar komt het neer op privacy by design, want hoe ga je gegevens afschermen en hoe hou je daar in het ontwerp rekening mee?
Nine Bennink: Het is een beetje flauw om te zeggen, maar een vraag waar jullie over na kunnen denken is: als je privacy by design goed toepast - goed is een moeilijk begrip, maar stel dat je dat zou kunnen duiden - zouden dan dit soort nieuwsberichten kunnen worden voorkomen? Kunnen we naar een wereld, waar privacy bij ieder ontwerp volledig wordt meegenomen? Anonimiteit op het internet bestaat niet en ik ben tot nu toe nog redelijk anoniem geweest, na een korte introductie, maar ik licht mezelf graag verder toe: mijn naam is Nine Bennink. Ik ben consultant bij Considerati. Ik heb een achtergrond in de advocatuur, ook in de IT-advocatuur en privacy. Ik heb samen met mijn collega Hadassah, die inmiddels niet meer bij ons Considerati werkt, deze handleiding opgesteld.
Nine Bennink: Ik begin met een aantal kernbegrippen uit de AVG in het kort: persoonsgegevens is het eerste begrip, want de hele AVG draait om persoonsgegevens. Wat daarbij belangrijk is, om te onthouden, is dat er directe en indirecte persoonsgegevens zijn. Directe persoonsgegevens, bijvoorbeeld een naam, identificeren een persoon direct. Bij indirecte gegevens, bijvoorbeeld een bsn, heb je ook andere gegevens nodig om uiteindelijk tot identificatie van die persoon te komen. Het zijn beide persoonsgegevens. Wat ik verder wil, dat jullie onthouden, is dat er verschillende categorieën zijn van persoonsgegevens: normale persoonsgegevens, bijzondere persoonsgegevens, zoals medische gegevens en over seksuele geaardheid bijvoorbeeld. Die bijzondere persoonsgegevens worden door de AVG extra beschermd.
Nine Bennink: Dan zijn er nog gevoelige persoonsgegevens, dat is niet een categorie die in de AVG wordt genoemd, maar wel bijvoorbeeld DPIA's terugkomt. Dan moet je denken aan financiële gegevens, dan moet je extra opletten en aan strafrechtelijke gegevens. In deze presentatie ga ik er vanuit dat het gaat om normale en bijzondere persoongegevens. De rest, die strafrechtelijke persoonsgegevens, laat ik buiten beschouwing. Het volgende begrip is dat van verwerkingsverantwoordelijke, een sleutelbegrip uit de AVG. In mijn eigen woorden is dat de persoon, die volgens de AVG de meeste rechten en verplichtingen draagt, als het gaat om bescherming van persoonsgegevens en die ook het doel en de middelen van de persoon van de verwerking bepaalt.
Nine Bennink: Het doel en het middelen is best wel open: wat is een doel? Wat is een middel? Daar is soms veel gedoe over om dat te bepalen. Voor dit webinar is het voldoende om te weten dat de verwerkingsverantwoordelijke de antwoorden bepaalt op vragen als: het hoe, het waarom, het waarvoor, voor welk doel. Het volgende begrip is: verwerken. Dat wordt vaak met de verwerkingsverantwoordelijke genoemd en dat is de rechtspersoon, of de organisatie die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. De verwerker mag eigenlijk niet bepalen hoe we dat doen, voor welk doel en dat soort dingen. Dat door die verwerkingsverantwoordelijke.
Nine Bennink: Die verwerker mag wel kleine keuzes maken, bijvoorbeeld over welke techniek wordt gebruikt. De relatie tussen verwerkingsverantwoordelijke en verwerker wordt neergelegd in een verwerkersovereenkomst. Dat is een benoemde overeenkomst in artikel 28 van de AVG. Daar staan ook de vereisten in en zo waarborgt die verwerkingsverantwoordelijke ook dat zijn rechten en verplichtingen op een goede manier worden opgepakt door de verwerker. Dan komen we op de grondslagen, ook een heel belangrijk onderwerp. Je mag geen persoonsgegevens verwerken zonder daarvoor een geldige grondslag te hebben. Ik beperk me tot gewone en bijzondere persoonsgegevens. Gewone persoonsgegevens mogen alleen worden verwerkt als je een grondslag hebt, die wordt genoemd in artikel 6 van de AVG
Nine Bennink: Als je bijzondere persoonsgegevens wilt verwerken, moet je ook een grondslag hebben in dat artikel 6, maar moet je je ook kunnen beroepen op een uitzondering, die in artikel 9 wordt genoemd. In artikel 9, lid 1, het eerste gedeelte, staat dat bijzondere persoonsgegevens niet mogen worden verwerkt. En in lid 2 van dat artikel staat: het mag alleen als de verwerkingsverantwoordelijke zich kan beroepen op één van de uitzonderingen. Dát je een grondslag moet hebben, is de rechtmatigheid van de gegevensverwerking. Wat je bij bijna al die grondslagen ziet, is het woordje 'noodzakelijk'. Dus bijvoorbeeld: de verwerking van persoonsgegevens is noodzakelijk om een wettelijke plicht te vervullen. Dat woordje noodzakelijk is ook bij privacy by design een belangrijk onderdeel.
Nine Bennink: Vaak kunnen systemen van alles, maar is het ook noodzakelijk voor de verzameling van persoonsgegevens om die functie in te bouwen in het systeem? Dat noodzakelijk houdt eigenlijk een stukje proportionaliteit en een stuk subsidiariteit in. Dat is best een lastig begrip, dus ook de handleiding gaat dieper in op: wat is nou noodzakelijk? Om over privacy by design na te kunnen denken, zul je dit soort voorstappen moeten nemen, voordat je kunt zeggen tegen een technisch persoon hoe dat systeem moet worden ingericht. Die noodzakelijkheid en die grondslag waren de rechtmatigheid van de gegevensverwerking. Daarnaast is het ook van belang dat de gegevensverwerking behoorlijk is. Wat je in de handleiding zult zien, is niet een uitleg over de AVG, maar wel over een soort knip in rechtmatigheid en behoorlijkheid. Dat helpt ook mee om verder te denken over privacy by design.
Nine Bennink: Al deze behoorlijkheidsbeginselen zijn vastgelegd in artikel 5 van de AVG. De uitwerking vind je in allerlei andere artikelen van de AVG. Het eerste beginsel uit artikel 5 zijn eigenlijk drie beginselen in één: rechtmatigheid, dat verwijst naar die grondslagen, behoorlijkheid, dat verwijst naar alles wat ik zo meteen ga zeggen, en transparantie. Dus betrokkene, de persoon waarvan je persoonsgegevens verwerkt, moet transparant worden meegenomen, geïnformeerd over de gegevensverwerking. Het tweede beginsel is doelbinding, ook een belangrijk beginsel voor privacy by design. Je verzamelt persoonsgegevens voor een bepaald doel en ervan uitgaande dat je niet de doelbindingstoets kunt voldoen, dat het een negatieve uitkomst zou hebben, mag je die gegevens niet voor een ander doel gebruiken.
Nine Bennink: Dus ook technisch - ik ben geen techneut, daarin stel ik jullie misschien teleur en daarom sla ik hem ook plat - moet het dus niet mogelijk zijn in een systeem om gegevens, bedoeld of onbedoeld, voor een ander doel te gebruiken, want dan ga je mis op dit beginsel. Ook minimale gegevensverwerking: je mag niet meer gegevens verwerken dan nodig. Dus als het systeem zo wordt ingericht dat het niet mogelijk is, technisch gezien, om meer gegevens te verwerken dan nodig, dan helpt dat al bij het voldoen aan dit soort beginselen. Ook moeten gegevens juist zijn en moet er dus in het systeem worden nagedacht over: hoe gaan we op een makkelijke manier gegevens corrigeren? Zeker als je gegevens van burgers verzamelt, is het belangrijk dat ze up-to-date blijven.
Nine Bennink: Opslagbeperkingen, het volgende beginsel uit het artikel 5: gegevens mogen worden bewaard zolang dat nodig is voor het doel. In de AVG worden geen concrete bewaartermijnen genoemd, in sommige specifieke wetgeving wel, of de verwerkingsverantwoordelijke heeft dat zelf bepaald of beredeneerd. Dat betekent dat er een geautomatiseerde wijze moet kunnen worden ingebouwd in het systeem, die gegevens automatisch verwijdert, op het moment dat ze niet meer mogen worden opgeslagen, of dat in ieder geval makkelijk maakt, of dat je een melding krijgt. Dat er wordt gekeken: hoe gaan we dit beginsel van opslagbeperking in het systeem vastleggen? Tot slot de vertrouwelijkheid en integriteit: dat betekent dat je persoonsgegevens op een goeie manier moet beschermen tegen datalekken, tegen mensen die dat willen gaan bekijken. Daarvoor zijn ook weer allerlei technische en organisatorische maatregelen nodig.
Nine Bennink: Op het eerste oog lijken die beginselen niet gelijk te passen bij privacy by design, maar ik ga nu meer vertellen over privacy by design in artikel 25 van de AVG. Je ziet dat deze beginselen van enorm belang zijn om beter te kunnen nadenken over hoe je privacy by design toepast. In artikel 25 zijn twee beginselen vastgelegd: privacy by design, dat betekent, in mijn woorden gezegd, dat je door het ontwerp van systemen, of beleid, of alles waar je persoonsgegevens mee gaat verwerken, vanaf het begin nadenkt over: hoe ga je daar nou privacy in waarborgen? Het andere beginsel in artikel 25 is: privacy by default en dat houdt in dat op het moment dat je een systeem of een beleid ontwikkelt, het is een beter voorbeeld met een systeem, dat de standaardinstellingen zo privacyvriendelijk mogelijk moeten worden ingesteld.
Nine Bennink: Ik ga het vandaag verder niet meer hebben over privacy bij default en daar gaat de handleiding ook niet op in. Het gaat echt over privacy by design. Privacy by design is een samenspel van mens en machine. Organisatorische en technische, maatregelen, die er samen voor moeten zorgen dat privacy het best wordt gewaarborgd vanaf de hele levenscyclus en op een passende manier de rechten van betrokkenen kan beschermen. Dit zijn mijn eigen woorden, dus niet de letterlijke wettekst, maar daar komt het in mijn optiek op neer. Moeilijk is dan wat passend is. Daar kan ik nu geen eenduidig antwoord op geven, maar in de handleiding hebben we uitgelegd hoe je over dat passend kunt nadenken.
Nine Bennink: Waar kun je allemaal aan denken om te bepalen of iets passend is of niet met die mens en machinemaatregelen bijeengenomen? Om privacy by design verder concreet met jullie te maken en verder de diepte in te gaan, wil ik de rest van de presentatie aan de hand van een casus doen. Dan kunnen we het concreet hebben over privacy by design. Ik heb gekozen voor de casus van de coronamelderapp. Het is wat langer geleden, maar we hebben tijdens de coronapandemie het verzoek gehad om een app op onze telefoon te installeren, die melding zou geven als je in de buurt bent geweest van iemand met corona. Dan kon dat voor jou aanleiding zijn om te testen. Ik heb dit voorbeeld gekozen omdat de app waarschijnlijk bij veel mensen bekend, of gebruikt is, maar ook omdat het een mooi voorbeeld is hoe privacy by design is toegepast, op een best wel praktische manier en de DPIA openbaar is, zodat jullie dingen kunnen nalezen als jullie dat zou interesseren.
Nine Bennink: Privacy by design is dus eigenlijk aandacht voor privacy in alle levenscyclussen van een product, een dienst, een beleid. Hoe ging dat nou bij die corona-app? Voordat je gaat ontwikkelen, beleid gaat vaststellen, ga je nadenken: hoe gaan we nou privacy by design inbedden. Bij de corona-app is van tevoren gezegd: de uitvoering van een DPIA is nodig. Dat is al privacy by design, want je gaat nadenken: welke privacyrisico's zie ik? Hoe kunnen we die mitigeren voordat we gaan ontwikkelen? Ook bij de corona-app zijn verschillende DPIA's en pre-screenings geweest, tijdens en daarna. Ook tijdens de levenscyclus van een product of dienst moeten er evaluatiemomenten worden ingebouwd om te kijken: zitten we nog op de goede weg met privacy by design, met de bescherming van privacy? Dingen kunnen veranderen.
Nine Bennink: Bij de corona-app is, en dat is een designkeuze... Even terug: die app gaf meldingen als je nabij een persoon was geweest, die corona had. Was die nabijheid twee meter, of anderhalve meter? Moet je dan 5 minuten of 30 minuten bij elkaar in de buurt zijn geweest? Dat heeft in die hele coronapandemie wel verschild. We hebben helemaal in het begin een grote afstand gehad en later kwam er, ook door wetenschappelijke inzichten, uit dat buiten het besmettingsrisico minder was. In het design van deze corona-app is in gezet dat die parameters, om te bepalen of die nabijheid gevaarlijk was of niet, steeds konden worden aangepast.
Nine Bennink: Dat er nooit meer persoonsgegevens worden verwerkt als dat niet nodig is en dat er alleen maar to the point persoonsgegevens konden worden verwerkt op basis van die juiste parameters. Ook daarna zat privacy by design in de app bij verschillende dingen. Als je die app gebruikt en daarin persoonsgegevens worden verwerkt, dat dat niet betekent dat je een verplichting hebt om je te laten testen na het advies van de app. Het zit ook in andere dingen, namelijk dat op dit moment die app niet meer gebruikt wordt. In het design is een keuze gemaakt: op het moment dat die app niet meer nodig is, zorgen we dat die helemaal buiten beschouwing wordt gelaten, dat niemand toevallig nog die app kan gebruiken, onbedoeld. Dat die echt stopt met het verwerken van persoonsgegevens. Dat is over de levenscyclus.
Nine Bennink: Dan denk je misschien: ik weet nog niet hoe ik privacy by design moet toepassen. Artikel 25 geeft een aantal elementen, die je nog concreter meenemen in hoe je nou kunt nadenken over privacy by design. De eerste is dat je rekening mag houden met de stand van de techniek. De stand van de techniek wordt wel eens verward met de state of the art, maar dat is helemaal niet zo, ook niet bij privacy by design. Natuurlijk moet je rekening houden met wat er op de markt is, maar het betekent niet per se - er zijn veel andere factoren die je mee moet nemen - dat je altijd de duurste of meest geavanceerde techniek moet gebruiken.
Nine Bennink: Dat is bij die corona-app ook niet gebeurd. De meest geavanceerde techniek die je daar kon bedenken, was dat op basis van precieze locatie en temperatuurmetingen van een persoon veel nauwkeuriger had kunnen worden gezegd: waar was die persoon precies? Hoe lang zijn we daar geweest? Wat was de temperatuur? Hoe groot is de kans dat iemand corona had? Maar dat was in dit geval niet de techniek, ondanks dat het de laatste techniek was, die het beste was voor de bescherming van privacy. Er is een oudere techniek gebruikt met het uitwisselen van Bluetooth-codes. Ik zal niet ingaan op hoe dat werkt, maar er werden Bluetooth-codes tussen apparaten werden uitgewisseld en dat is best een oud framework: dat is niet de beste of modernste techniek.
Nine Bennink: Ook mag je rekening houden met uitvoeringskosten. Dat hoort ook bij: welke maatregelen en wat is passend? Uitvoeringskosten bij privacy by design hangen samen met het voorgaande. Als de verwerkingsverantwoordelijke zegt: we willen privacy meenemen in het ontwerp, maar om die en die goede redenen is dat het budget, dan kan dat. Bij de corona-app speelde geld geen rol, dat was uniek, maar uiteindelijk mag je daar als verwerkingsverantwoordelijke rekening mee houden. Ook de aard van de verwerking is belangrijk: voor welk doel ben je persoonsgegevens aan het verwerken? Wat is de omvang? Wat is de aard van de verwerking? Je ziet bij zo'n coronamelderapp dat dat gevoelig ligt. Of het nou alleen privacygevoelig is of ook politiekgevoelig, mag je allemaal meenemen in hoeverre je privacy voorop stelt en meeneemt in het ontwerp.
Nine Bennink: Ook de omvang van de verwerking speelt een rol volgens artikel 25. Ga je van een paar mensen of van potentieel heel Nederland, zoals in de corona-app, gegevens verwerken. Dan kan het zijn dat je meer aandacht wil besteden aan privacy by design. De context van de verwerking speelt een rol, zeker in die corona-app. Als daar iets mis zou gaan met privacy, een gigantisch datalek of wat dan ook, dan ligt dat onder een vergrootglas. De overheid heeft een voorbeeldfunctie. De context van de verwerking bepaalt welke maatregelen passend zijn om die persoonsgegevens voldoende te beschermen en mee te nemen in het ontwerp.
Nine Bennink: Doel en aard van de verwerking lijken een op elkaar. Wat is nou het doel van die verwerking? Welke gegevens heb je? Dat mag je meenemen in de afweging welke maatregelen je moet treffen en ook de waarschijnlijkheid van de risico's van de verwerking. Het is niet zo, als je privacy by design goed wil toepassen, dat dat in alle gevallen betekent dat je de risico's volledig gemitigeerd hebt. Dat hoeft helemaal niet. Ook bij de corona-app zie je in de DPIA dat niet alle risico's volledig gemitigeerd zijn. Het gaat er alleen om, en dat is moeilijk in de praktijk: welke risico's zien we? Dat kunnen we vaak wel identificeren. Wat is de kans dat het zich voordoet en de mogelijke schade? Ook dat kunnen we nog wel vaak identificeren.
Nine Bennink: Maar welke risico's accepteren we nou wel en welke niet? Die risico-acceptatie is in de praktijk het moeilijkst, maar ook dat mag meespelen in de keuzes die je maakt het bij het design, bij het ontwikkelen, hoe je privacy by design gaat toepassen. Wettelijke elementen: mooi, en nu? Wat kunnen we nog concreter doen? Dan kan ik jullie nog wat concreter vertellen wat privacy by design is, want dit zijn nog maar de wettelijke elementen. Ik wil wel benadrukken dat die handleiding op dit soort wettelijke elementen ingaat, niet wat het juridisch betekent maar hoe je erover na kunt denken en hoe je met elkaar het gesprek over privacy by design kunt voeren. Even terug naar dit frustratieplaatje: er is al door anderen gezien dat het nog steeds vaag is.
Nine Bennink: Onder andere door Hoekman, die in het begin werd genoemd, het blauwe boekje. Hij heeft gezegd: privacy by design kun je nog concreter maken door een aantal ontwerpstrategieën te hanteren. Terug naar dat plaatje van mens en machine: technische en organisatorische maatregelen zijn mensenmaatregelen. Dat heten privacyontwerpstrategieën. Dit is een technische maatregel. Hij zegt: minimaliseer of zorg dat in het systeem - dit gaat over systemen en technische stappen - technisch persoonsgegevens niet worden verwerkt als dat niet nodig is. Beperk dat technisch: beperkt de verwerking van persoonsgegevens.
Nine Bennink: Terug naar die corona-app, want ik blijf nog steeds die connectie maken: deze technische ontwerpstrategie is in de corona-app in die zin geminimaliseerd dat de gegevens, die met elkaar zijn uitgewisseld, niet aan een persoon zijn gekoppeld - je hoefde geen naam in te voeren toen je je wilde aanmelden om die te gebruiken - maar aan een code. Die code is gelinkt aan het toestel. Op die manier worden zo weinig mogelijk gegevens over de persoon zelf verzameld. Er werden in dat veld wel persoonsgegevens verzameld, maar geminimaliseerd.
Nine Bennink: Een volgende technische maatregel is het scheiden van de verwerking van persoonsgegevens. Dit is een ontwerpstrategie, die veel bij de interviews met de technische mensen, the architects, voorbij is gekomen. Daar kreeg ik vooral terug: het scheiden van persoonsgegevens: we snappen de techniek en dat is ook een goede manier, maar in de moderne databases is het moeilijk om de verwerking van persoonsgegevens goed te scheiden in verschillende databases. Maar er waren ook gelijk allerlei nieuwe ideeën om het scheiden mogelijk te maken op een andere manier. Dat zul je ook terugzien in de handleiding. Bij de corona-app is het wel fysiek gescheiden. Het IP-adres van het toestel en wat andere gegevens werden in verschillende databases verzameld en de teams, die zich bezighielden met die databases, zaten op een andere locatie. Het waren twee stromen data om te zorgen dat het niet aan elkaar gekoppeld kon worden of in ieder de kans daarop zo min mogelijk zou zijn.
Nine Bennink: De volgende is 'abstraheer' en dat betekent: als het kan, probeer dan het detail waarin je persoonsgegevens gaat verwerken zoveel mogelijk te abstraheren. Ik ga een voorbeeld geven, misschien niet het beste voorbeeld, maar ik ga het toch geven. Stel dat een verwerkingsverantwoordelijke alleen wil weten of iemand ouder is dan 65 jaar op 1 januari 2024. Dan zou je in een systeem kunnen zeggen: iemand moet z'n volledige geboortedatum opgeven. Je zou ook kunnen zeggen: we willen alleen weten of iemand op 1 januari 2024 ouder is dan 65 jaar, dus we vragen alleen het geboortejaar op. Dat is een voorbeeld waar je dus kijkt: is het mogelijk om persoonsgegevens te abstraheren.
Nine Bennink: Als het gaat om verwerkingen kan het lastig zijn om dat te abstraheren, want soms heb je concrete gegevens nodig. Dat is weer een aansporing om niet alleen maar te kijken naar kunnen niks doen, maar naar wat kunnen we wel doen? Bij die corona-app is gekeken: we moeten weten welke toestellen bij elkaar in de buurt zijn geweest, maar daarvoor volstaat eigenlijk een nabijheidsdetectie. Dan hoeven mensen geen toestemming te geven om een specifieke locatie te gebruiken. Het maakt niet uit waar je elkaar gezien hebt, ook al was het op de Stille Oceaan op een bootje, of midden in Amsterdam, het gaat erom dat je bij elkaar in de buurt bent geweest. Een specifieke locatie hoeft dus niet verzameld te worden in de corona-app.
Nine Bennink: In die corona-app is 'verberg' ook toegepast: die telefoons gingen met elkaar codes uitwisselen, maar als er geen besmetting was, dan verlaten die codes ook het toestel van de gebruiker niet. Er is dan geen toegang tot derden, niemand kan die gegevens inzien en er kan geen datalek plaatsvinden buiten het toestel van de persoon. Op die manier zijn de persoonsgegevens verborgen. Wat ik net heb verteld zijn ontwerpstrategieën, die op de techniek zitten en dit zijn de ontwerpstrategieën, die op de mens zitten. Veel van die mensgeoriënteerde strategieën zijn verplichtingen uit de AVG, verklap ik alvast. Eén daarvan is 'informeer': je moet betrokkenen informeren over de werking van persoonsgegevens en ook dat kun je in het design inbouwen.
Nine Bennink: Maak een privacyvriendelijke pop-up. Als het om toestemming gaat: uw persoonsgegevens worden verwerkt, wilt u hier en hier toestemming voor geven? Maak het zichtbaar. Eén van de manieren waarop geïnformeerd is bij de corana-app over privacy, zijn de vele campagnes van hoe het gebruikt wordt: dat mensen niet bang hoeven te zijn dat gegevens bekend worden bij de overheid. Heel gechargeerd gezegd, maar dat is wel waar die campagnes om draaiden. Grappig detail is dat er bijna net zoveel geld aan deze campagnes is uitgegeven als aan de ontwikkeling van de app. Dan zie je ook hoe belangrijk informeren van je betrokkenen, van je achterban, is. Ook 'geef controle' is een privacyvereiste, dat is een recht van betrokkenen. Geef controle, in die zin dat je ook in het design betrokkenen controle kunt geven.
Nine Bennink: Bij de corona-app was dat simpel: de betrokkene kon zelf de app van zijn telefoon verwijderen en dan waren daarmee ook de gegevens verwijderd. Je hoefde niet moeilijke dingen te doen, met eerst een account verwijderen en een verzoek indienen: je kon gewoon de app verwijderen en dan waren de gegevens verwijderd. De volgende is: dwing af. Privacy by design is een verplichting uit de AVG, die moet de verwerkingsverantwoordelijke nakomen en kunnen verantwoorden. Die verantwoordingsplicht is in de AVG is neergelegd. Als je je committeert aan privacy by design moet je dat commitment ook afdwingen in processen, in controlemechanismen. Dat klinkt heel streng, maar in checks and balances moet je afdwingen dat mensen privacy by design toepassen.
Nine Bennink: In aanbestedingen bijvoorbeeld, dat je in het bestek zet: daar moeten aan worden gedaan. Hoe daar in de corona-app uiting aan is gegeven, is dat het belang van privacy duidelijk is aangegeven. In het ontwikkelingsproces is er een appaton georganiseerd, een weekend waar verschillende bedrijven hun ideeën voor deze app konden presenteren. Dat zit enorm in de openbaarheid, maar daar is afgedwongen: wat je ook presenteert, privacy moet daar een ontzettend belangrijk element in zijn. Op die manier dwing je ook met z'n allen af dat het zo privacyvriendelijk mogelijk wordt ontwikkeld. 'Toon aan': toon privacy by design aan, dat is ook je verantwoordingsplicht. Bij de coronamelder was het de oproep: alles openbaar. Niet alleen in de pers, dat speelt een belangrijke rol, maar ook in kamervragen, toelichtingen.
Nine Bennink: Ik kom bij het laatste deel, dat is: de handleiding privacy by design. De handleiding privacy by design bestaat uit allerlei bouwblokken. We hebben het op basis van onze eigen kennis gedaan, op basis van interviews: wat doen jullie nou? Hoe kan dat beter? Wat zie je? Maar ook wat wij van andere klanten zien. Het is een samenspel van theorie en praktijk. We hebben heel erg die verbinding willen leggen. De theorie bijvoorbeeld: wat is noodzakelijk om persoonsgegevens te verwerken? Dan denkt een technicus: wanneer is iets noodzakelijk? We hebben ook bij dat soort theoretische dingen steeds geprobeerd de connectie met de praktijk te leggen en hoe je daar dus over na kunt denken en met elkaar het gesprek aan kunt gaan.
Nine Bennink: Het is niet bedoeld als checklist, dus als je deze handleiding afwerkt, dat je daarmee voldoet aan privacy by design en dat alles koek en ei is. Het is bedoeld als inspiratiebron, als houvast. Het bestaat uit drie delen, die je los van elkaar kunt lezen. De theoretische verdieping hoef je niet te lezen, het mag wel. Maar het begint met het eerste deel: praktische handvatten. Als je meer wilt weten, wordt ook verwezen naar de theoretische verdieping. Als je alles wilt weten, kun je ook de hele theoretische verdieping doorlezen. Het laatste deel betreft aanvullende bronnen en overzichten. Het toepassingsgebied is heel breed, zoals Pauline zei. Dat wilden we ook, omdat privacy by design niet iets is van één rol. Het is voor iedereen in het proces, in de hele levenscyclus van het product van dienst, het beleid.
Nine Bennink: Er worden veel voorbeelden gegeven, ook uit de interviews die we hebben gehaald. Soms hebben we dat wel moeten abstraheren, om in privacytermen te blijven, omdat anders duidelijk zou zijn over welke uitvoeringsorganisatie het gaat. We hebben geprobeerd concrete voorbeelden te geven over toepassing van privacy by design. Het omvat ook een aantal vuistregels, dat doet het ook goed op vergaderingen, party's en partijen. Vuistregels van privacy by design: onthou ze, pas ze toe. Het heeft een aantal best practices en ook echt de uitnodiging naar iedereen die het hoort: vul het aan als je ook een best practice hebt, want we willen die best practicelijst aanvullen. Hoe gaat het in de praktijk? Waar kun je elkaar helpen om beter privacy by design toe te kunnen passen?
Nine Bennink: Het heeft ook een aantal toolboxen. We zijn vanuit ontwerpstrategieën van Jaap-Henk Hoepman gaan kijken: welke dingen/toolboxen kun je daar concreet voor gebruiken? Vooral ook: alle aansporing waar dat maar kon, om jullie te laten bepalen wie hier de technicus is en wie de privacyexpert is. Om de technici, privacyexperts, managers, projectleiders met elkaar te laten praten. Want alleen samen kun je privacy by design op de beste manier toepassen. Dank jullie wel voor jullie aandacht.
Walter van Wijk: Dank je wel voor je verhaal, Nine. Iemand die stelt: dit gaat over mensen, over machines, worden er ook dingen op procesniveau beschreven?
Nine Bennink: Op technisch procesniveau?
Walter van Wijk: Ja.
Nine Bennink: Nee. Toen we deze opdracht begonnen, was de scope niet helder, daarvoor werden ook de interviews gebruikt. Waar is behoefte aan? Uit de interviews kwam duidelijk naar voren dat er behoefte was om woorden als 'noodzakelijkheid' en 'passend' eerst uit te diepen voordat die techniek ingaat. Er wordt gewerkt aan een technische verdieping op deze handleiding. Aan de hand van concrete casussen en hoe je privacy by design kunt toepassen, wordt deze handleiding uitgediept. We hebben er bewust voor gekozen om geen technische standaarden of zo voor te schrijven, omdat dat al weer achterhaald zou zijn op het moment dat het gepubliceerd was. Ook om te voorkomen dat dat wordt gezien als dé standaard, terwijl de standaard ook weer snel kan veranderen.
Walter van Wijk: Iemand stelt: als je het hebt over privacyrisico's, dan zijn dat vooral risico's bij de betrokkenen, van wie data/persoonsgegevens worden verwerkt. Is er in dit proces ook een suggestie gedaan om die betrokkenen bij het opzetten van nieuwe systemen en processen actief in te zetten? Want je zei: er zit geen technisch proces in, maar is het misschien zinnig om met een soort klankbordgroep vanuit die betrokkenen, te werken om te vragen wat zij eigenlijk zelf als verantwoorde risico's zien? Of is dat een rare gedachte?
Nine Bennink: Dat is geen rare gedachte. Volgens mij hebben we ook in de best practices staan: betrek de betrokkene, als mogelijk. Maar het kan wel lastig zijn: hoe ga je de hele groep betrokkenen bereiken? Maar zeker zou het goed zijn om met de betrokkenen in gesprek te gaan.
Walter van Wijk: Iemand die stelt ook: privacy by design is belangrijk, kennis voor ontwikkelaars en rapportenbouwers. Maar dat zit waarschijnlijk in een stukje technische verdieping, wat nog moet gaan komen. Wanneer wordt die verwacht om klaar te zijn?
Pauline Verhaak: Globaal kan ik aangeven in de eerste helft van dit jaar. Er is al een hele fase, een deel... Men is er al geruime tijd mee bezig, maar ik denk in de eerste helft van dit jaar. Zodra daar zicht op, zal ik dat laten weten.
Walter van Wijk: Ik ga even een vraag voorlezen: ik ben vooral benieuwd hoe jullie de implementatie hebben gedaan. We hebben ook zojuist een nieuw beleid opgesteld - ik weet niet wie 'we' is - maar we willen uiteraard dat mensen dit daadwerkelijk gaan gebruiken in de praktijk. Is er bijvoorbeeld gebruik gemaakt van een checklist, korte beslisbomen voor bijvoorbeeld onderzoekers of ICT-beheerders? Zijn er workshops geweest? Het is wel even langsgekomen, ook in het verhaal van Pauline, maar kan je daar nog iets meer over vertellen?
Pauline Verhaak: Er zijn voor verschillende doelgroepen trainingen aangeboden en daarbij is ook speciaal meer ingezoomd op de interesse en informatiebehoefte van de betreffende doelgroep. In de technische verdieping, die nog gaat volgen, is ook voorzien in gespreksgroepen, een soort workshopachtige aanpak, dat met die specifieke doelgroep, meer solution architecten en met de auteurs van de verdiepende handleiding, een gesprek wordt aangegaan aan de hand van een casus.
Walter van Wijk: De workshops zijn georganiseerd in het kader van justitie en veiligheid?
Pauline Verhaak: Waar ik het nu over heb, is het in het kader van justitie en veiligheid, maar Nine kan ook wat betreft de handleiding vertellen hoe daar meer wordt aangesloten op de behoeften van de verschillende doelgroepen.
Walter van Wijk: Zoals andere ministeries, provincies, waterschappen, gemeentes, zbo's. We spelen we het idee om daar aanvullende informatievormen voor te bedenken. Dat is nog pril, dus dat wordt wellicht vervolgd. Technische handleiding bij privacy en techniek denk ik gelijk aan privacy-enhancing technologies. Is dat een onderwerp, wat in de handleiding besproken wordt en zo ja, hoe?
Nine Bennink: Ja, maar wel in die zin beperkt dat hoe je naar privacy by design kan kijken en welke rol PETs daarin spelen, voldoende wordt uitgelicht in de handleiding en ook hoe zich dat verhoudt tot grondslagen en beginselen. In de technische verdieping wordt met concrete PETs gewerkt; aan welke PETs zou je kunnen denken om toe te passen in een specifieke situatie? Ook bij PETs is het niet zo, en dat geldt eigenlijk ook voor privacy by design, dat je kunt zeggen: deze PET is altijd goed of deze PET is nooit goed om dat probleem op te lossen. Het blijft een afweging van wat passend is.
Walter van Wijk: Toch even toelichten voor de mensen, die hierbij aangehaakt zijn en zich afvragen: waar heb je het in vredesnaam over? Een PET is geen hoofddeksel in dit geval, maar privacy-enhancing technologies. Dat is een nieuwe groep aan technologieën rondom synthetische data, encryptie meerdere reservers, die nuttig kunnen zijn om de echte zichtbare persoonsgegevens te kunnen maskeren of opknippen of nooit meer herleidbaar te kunnen maken. Mocht je daar wat meer over willen weten, dan is er innovatiecentrum Nicpet en daar kan je meer informatie vinden, ook over wat is waarvoor geschikt? Nicpet.pleio.nl is de website. Mocht je meer geïnteresseerd zijn in dat soort dingen, kijk daar dan eens. Er komt een technische verdieping aan en ik hoor jou een aantal dingen uitleggen die best wel juridisch, vakinhoudelijk zijn. Zijn er plannen voor een dummyversie, voor mensen die niet juridisch zijn, gewoon algemene productowners, afdelingsmanagers, makkelijker toegankelijk zijn dan het document, wat er nu ligt? Of is daar niet zo'n behoefte aan? Is het nog laagdrempelig genoeg geschreven?
Nine Bennink: Het document, dat er nu ligt, is niet superjuridisch. Het is een juridisch instrument en heeft juridische raakvlakken, maar we hebben geprobeerd om dingen uitlegbaar te maken. Het is nog steeds veel tekst, daarom hebben we ook deels meer plaatjes en met tabellen gewerkt om ook een bredere groep aan te spreken. Een voorbeeld van hoe we daar concreet mee zijn omgegaan is: noodzakelijk voor een wettelijke plicht, de verwerking van persoonsgegevens, superjuridisch, maar wat is dan noodzakelijk in gewone mensentaal. Dat soort dingen staan in de handleiding.
Walter van Wijk: Helder. Pauline, vraag voor jou. Jij bent Chief Privacy Officer: jullie hebben net een nieuwe FG bij J&V, maar hoe kijkt een FG naar zo'n handleiding?
Pauline Verhaak: Ik heb haar daar nog niet over gesproken, zij is vrij recent aangetreden bij ons. Ik denk dat de FG daar zeer positief tegenover staat, al was het alleen maar omdat we de naleving van de AVG, van de privacywetgeving niet of minder afhankelijk maken van het individu, maar meer borgen in de techniek en in processen. Ik denk dat zij dat beschouwt en toejuicht als een belangrijke waarborg voor de naleving in het algemeen van het departement.
Walter van Wijk: Idealiter zou een FG in welke organisatie dan ook enthousiast pleitbezorger, ambassadeur moeten zijn van het gebruik van privacy by design, dus ook deze nieuwe handleiding actief kunnen promoten, intern?
Pauline Verhaak: Zeker.
Walter van Wijk: Is het toeval dat deze handleiding vanuit justitie en veiligheid is ontwikkeld? Jullie zijn verantwoordelijk voor privacy uiteindelijk. Of zit daar een andere reden achter dat jullie dit op dit moment belangrijk vonden? Anders dan andere ministeries, want jullie zijn de opdrachtgever geweest.
Pauline Verhaak: Dat klopt. De reden was, wat ik ook een inleiding kort vertelde: je hebt de implementatie van de AVG achter de rug, je hebt een bepaald niveau van naleving en dan komt de volgende stap: hoe dit nou te borgen, te continueren en niet afhankelijk te maken van één individu of een manager, die er veel aandacht aan besteed. Wat is een volgende fase als je praat in termen van volwassenheid? Dan komt het denken over privacy by design om de hoek. Los daarvan werd er bij justitie al op diverse plekken geavanceerd met privacy by design en PETs ervaring opgedaan. Ook vanuit die kant werd gestimuleerd om breed het departement in staat te stellen om hier zich verder in te verdiepen en daar ervaring mee op te doen. Dit is het begin, een heel belangrijk begin, maar we zijn er nog niet. Het is een inspirerend iets waar we dit jaar volgende stappen in moeten gaan zetten.
Walter van Wijk: Ik heb één afsluitende vraag. Iemand vraagt: wat is de status van de handleiding? Toepassing J&V, Rijksoverheid, alle overheden, verplicht of niet? Kun je daar iets over zeggen?
Pauline Verhaak: Het is geen verplicht document, maar een document wat moet inspireren, zoals Nine zei. Ik ga het stevig onder de aandacht brengen, maar het is de bedoeling dat het voldoende uitnodigend is om mensen te verleiden het te gaan gebruiken. Dat is op dit moment de stand van zaken.
Walter van Wijk: Helder. Voor nu hartelijk dank voor jullie verhaal Pauline en Nine. Dank voor jullie, deelnemers, aan deze sessie. Tot een volgende keer.
Voice-over: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.