CIP Podcast - voor meer kennis over informatieveiligheid

Privacy in de Praktijk - Aflevering 1: Privacy op de werkvloer - met wortel of met de stok?

October 12, 2021 Walter van Wijk
CIP Podcast - voor meer kennis over informatieveiligheid
Privacy in de Praktijk - Aflevering 1: Privacy op de werkvloer - met wortel of met de stok?
Show Notes Transcript

In deze eerste aflevering deelt Magdalena Magala, FG bij de gemeente Zaanstad, haar dilemma: 'Privacy op de werkvloer het beste: met de wortel of de stok?'
Over dit thema gaat ze in gesprek met privacydeskundige Bart Schermer van Considerati, onder leiding van host Robin Rotman. 

CIP maakte deze podcastserie 'Privacy in de Praktijk, met in totaal 8 afleveringen, in samenwerking met de Autoriteit Persoonsgegevens en de Rijksacademie voor Digitalisering en Informatisering (RADIO). 
De andere afleveringen volgen wekelijks in de loop van oktober en november 2021.
Meer informatie: https://cip-overheid.nl/uitgelicht#Podcastserie. 

Privacy op de werkvloer het beste: met de wortel of de stok?

 

MUZIEK

MAGDALENA: Privacy op de werkvloer: liever de wortel of de stok?

ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.

In deze podcast van Centrum Informatiebeveiliging en Privacybescherming

bespreek ik met Functionarissen Gegevensbescherming

en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.

Vandaag zitten er weer twee toppers aan tafel, zo leuk.

Functionaris Gegevensbescherming Magdalena Magala

bij de gemeente Zaanstad, welkom.

-Dank.

ROBIN: En inmiddels een goede vriend, want je treedt in meerdere podcasts op

Bart Schermer, partner en oprichter bij Considerati.

Wat was dat ook alweer?

-Een juridisch adviesbureau

en public affairs-kantoor voor de digitale wereld

en wij focussen ons op privacy en gegevensbescherming.

ROBIN: Oké, nou, ben benieuwd.

Magdalena, collega's belonen of bestraffen?

MAGDALENA LACHT ROBIN: Dat is een lekker dilemma, dit.

Is dat een herkenbaar dilemma voor jou?

-MAGDALENA: Ja, zeker.

MAGDALENA: Ik ga liever voor belonen dan voor bestraffen.

ROBIN: Dat willen we natuurlijk allemaal.

-LACHEND: Ja, nee, ik ehm...

Ja, waar je tegenaan loopt in de praktijk is dat...

Je wil natuurlijk als FG gewoon vooraf betrokken worden bij dilemma's

en niet achteraf gaan slaan met die stok.

ROBIN: Oké, en als je het hebt over jouw specifieke rol als FG bij Zaanstad

wie zijn dan eigenlijk jouw... wie zitten er op jouw werkvloer?

MAGDALENA: Ja, de ambtenaren natuurlijk, de burgemeester

en de raad en het college, dat zijn de eindverantwoordelijken

de directie die ik toch wel elk kwartaal spreek

maar ja, we doen het allemaal natuurlijk voor de inwoners van de stad.

ROBIN: Ja, uiteraard, je doet het voor de gemeente Zaanstad uiteindelijk.

Maar ik kan me voorstellen dat je op verschillende borden schaakt.

Heb jij... Voor wie moet je het strengst zijn af en toe?

MAGDALENA: Ehm... Ja, dat ligt er een beetje aan per casus, hè.

Ik bedoel, als je vooraf al betrokken bent

dan ben je minder streng omdat er van tevoren over is nagedacht, over privacy.

ROBIN: Dus ze hebben het zelf in de hand.

Als ze een boze Magdalena willen, moeten ze je niet erbij betrekken.

MAGDALENA: Nee, exact. Nee, we hebben gelukkig heel veel fijne collega's

en privacy-ambassadeurs op de werkvloer

die precies weten wat er speelt en aan de bel trekken

als er issues zijn waar toch persoonsgegevens bij betrokken zijn.

ROBIN: Herkenbaar dilemma, Bart?

Moet je nou streng zijn, moet je aanpakken of moet je eigenlijk lief zijn?

BART: Dat hangt heel erg af van met wie je te maken hebt.

Je kan het heel grof onderverdelen in de onwetenden en de onwilligen.

Bij de onwetenden, met name, is het een kwestie van bijbrengen

waarom is privacy en gegevens- bescherming belangrijk, wat zijn de regels

en ze helpen om hun werk goed te kunnen doen.

En bij onwilligen moet je misschien meer streng zijn

omdat die bewust om je heen werken

of om vijf voor twaalf zich een keer melden met een DPIA

en maandag moet het echt live want er staat druk achter.

Daar zul je meer op je strepen moeten staan

en duidelijker afbakenen 'zo gaan we niet met elkaar om.'

ROBIN: O, dus je moet ook een soort...

Als FG moet je ook een soort characters gaan judgen.

Je moet echt gaan inschatten van 'ben je nou onwillig of onwetend?'

BART: Ja, en wat ik ook wel doe, ik geef ook cursussen voor FG's

is met de kleuren van mensen: heb ik te maken met een blauw persoon...

ROBIN: Ook dat nog? MAGDALENA LACHT

BART: Ja, je moet ook gewoon een judge of character zijn.

ROBIN: Magdalena, heb jij liever een onwillige of een onwetende burgemeester?

Bijna weer een ander dilemma. GELACH

MAGDALENA: Nou ja, ik sluit me hierbij aan.

Je bent als FG een soort kameleon in de organisatie.

Je moet je steeds aanpassen aan de mensen die je voor je hebt.

Je zal iemand die aan de balie staat

die gaan met praktische zaken om, die moet je anders benaderen.

ROBIN: Kun jij een casus schetsen uit jouw praktijk

waarbij je echt even lastig vond van 'welke toon moet ik hier nou aanslaan?'

MAGDALENA: Nou, ja, ik denk met cameratoezicht.

Heel veel gemeenten hebben cameratoezicht

maar dat betekent niet dat er een DPIA op is gedaan, in Zaanstad overigens wel.

ROBIN: Uiteraard.

-LACHEND: Maar eh, ja...

MAGDALENA: Op zich is daar een grondslag voor, we mogen het doen

maar je moet er wel goed over nadenken en die risico's in kaart brengen.

En dat wordt nog te weinig gedaan.

Het begint nu langzaam te komen, hè, dat ehm...

ROBIN: En wat maakt het dan lastig welke toon je moet aanslaan?

Want het gaat er volgens mij om

als het gaat over zaken waarbij niet helemaal duidelijk is

of waarbij je nog een beetje aan het pionieren bent

dat je als FG misschien niet zo heel goed weet 'hoe ga ik dit nou spelen?'

Waar zit 'm dan de crux dat het ingewikkeld wordt welke toon je moet aanslaan?

MAGDALENA: Nou, ik denk dat mensen wel weten...

Cameratoezicht, dan ga je natuurlijk mensen opnemen en beelden zien

maar hoe dan, dat is wat je zegt, die onwetendheid

van 'hoe ga je dat dan doen' daar moeten we nog stappen in zetten.

Daar hebben we de privacy-ambassadeurs voor

die mensen kunnen helpen om een checklist in te vullen.

Eigenlijk, als er mensen bij mij komen, dan vragen ze:

Mag ik dit wel of niet verwerken?

Dan vraag ik ze een checklist in te vullen. Ga maar nadenken.

Wat is het doel, wat is de grondslag, wat heb je nodig, heb je dit écht nodig?

En vergeet ook niet de ethische vragen: willen we dit eigenlijk wel?

Want dat wordt wel vaak vergeten.

ROBIN: Maar die liggen natuurlijk meer bij de burgemeester en bij de raad.

MAGDALENA: We hebben feitelijk verantwoordelijkheid bij de directie

en als het heel spannend wordt dan betrek ik de burgemeester en college erbij

en het fijne is wel dat ik me vrij voel om te schakelen.

Ik ben ook assertief, dus ik vind het ook niet zo erg...

ROBIN: Ik heb het in de gaten, ja. GELACH

MAGDALENA: Ja, nou ja, goed en dat betekent dus ook

je moet weten wat voor kleuren je in de organisatie hebt

maar je moet ook op je strepen kunnen staan en waar nodig escaleren.

ROBIN: Is dit herkenbaar, cameratoezicht en dat het dan spannend wordt

en dat je dan moet gaan kiezen: wanneer sta ik op m'n strepen...

Is dat het soort dilemma dat jij herkenbaar vindt, Bart?

BART: Zie ik inderdaad bij bijna alle organisaties waar ik kom.

Ik denk wat Magdalena aangeeft, dat is een hele belangrijke, van 'willen we dit?'

En als we dit willen, wat willen we dan precies?

Dan is je rol als FG om te zorgen dat de organisatie het doel kan bereiken

maar wel met respect voor privacy en gegevensbescherming.

Dus het is... Je hebt ook in die zin een gidsrol en die kan heel positief zijn.

Dat is echt de wortel, jij helpt de organisatie het zo goed mogelijk te doen.

Want aan het eind van de dag, die ambtenaar of die medewerker

die gaat het op z'n bord krijgen als het fout gaat, niet de FG.

ROBIN: Dus als het spannend dreigt te worden moet je echt erbij blijven

van 'willen we werkelijk...' Dan moet je scherp in de wedstrijd zitten.

Heb jij nog een casus, Bart, waarvan je denkt 'hier is het echt ingewikkeld'?

Moet je nou met de stok erin of met de wortel?

Moet je nou streng zijn of moet je een beetje lief zijn? Heb jij een casus...

BART: Ja, er zijn er talloze.

Eén waar ik toevallig recentelijk bij betrokken was ging over dronetoezicht.

En wat het spannende eraan is: het gaat om belangrijke dingen.

Het gaat om veiligheid, het gaat om het naleven van wet- en regelgeving

en jij staat daar als FG, als je het niet goed doet, misschien tegenover.

Het kan heel snel zijn dat de verkeerde perceptie binnen de organisatie komt:

jij probeert ons doel van de organisatie moeilijker te maken.

'Jij wil niet innoveren, jij wil niet het toezicht verbeteren.'

En dat moet je denk ik echt voorkomen.

Dat is een soort van spel tussen 'ik moet goed meewerken met de organisatie

ik moet de organisatie helpen haar doelen bereiken'

maar tegelijkertijd zie ik ook bij organisaties, wat ook heel goed werkt

je moet ook de eindbaas van het computerspel zijn.

Mensen moeten wel respect hebben voor jou als FG

dat ze niet met onzin naar je toe komen

maar dat ze, als het ware, een beetje bang voor je zijn

want dan gaan ze beter nadenken.

Dus: 'als we naar de FG gaan dan moet het wel goed zijn.'

ROBIN: Ben jij de eindbaas? MAGDALENA LACHT

MAGDALENA: Ik ben het met je eens, want de randvoorwaarden, die privacy

je wil gewoon zorgen dat het verbeterd wordt.

Dat je uiteindelijk, bij gemeenten, een betrouwbare overheid bent

en dit is een randvoorwaarde, dus je moet hier rekening mee houden.

En de eindbaas, nee, ik ben niet de eindbaas.

De eindbaas is de eindverantwoordelijke, want die krijgt de boete, niet ik

dus eh, als het mis gaat.

-ROBIN: Ik denk dat Bart vooral bedoelt

eindbaas als het gaat over privacy en de bescherming van privacy.

Want dat is natuurlijk jouw rol als sheriff van de privacybescherming.

En dat gaat over die burgers, dat gaat helemaal niet over de raad.

Het gaat over de mensen over wie het gaat, toch?

Daar sta jij voor.

Kun je dan schetsen in welke situaties ben je dan echt streng

en wanneer is het toch de wortel?

MAGDALENA: Nou, kijk, ik denk dat in het verleden

in 2018, toen die AVG in werking trad, we hadden al de Wbp, daar niet van

maar in 2018 gingen de gemeenten echt aan de slag.

Nou, ik heb wel meegemaakt...

In het begin ben je een FG, kwartiermaker, Privacy Officer

alles in één, dus je was echt met alles bezig.

Maar op een gegeven moment zei ik wel tegen de organisatie:

Ja, ik heb nu een soort voortgangsrapportage

maar m'n volgende rapportage is een toezichtsrapportage.

Succes ermee. Wat gaan jullie doen? Laat maar zien.

En daar ben ik wel echt op m'n strepen gaan staan.

Dus ik ben geen taken meer gaan doen van de Privacy Officer of adviseur.

Ik ben echt veel meer in de toezichthoudende rol gaan zitten.

En je moet dan de organisatie laten voelen. Is niet leuk.

Ik bedoel, uiteindelijk ga je een andere baan zoeken misschien.

ROBIN: Maar dan zeg je eigenlijk: een van de oplossingen voor dit dilemma...

Werk een beetje aan je zelfbewustzijn.

Wat is m'n rol binnen de organisatie en welke rol wil ik oppakken?

En die ga ik dan ook uitdragen. Dat maakt het al makkelijker om keuzes te maken.

Is dat een begin van een oplossing van dit dilemma?

MAGDALENA: Ja, zeker. Ja.

ROBIN: Bart, mee eens?

-BART: Ja, eens.

BART: De AVG heeft eigenlijk een rare hybride gemaakt van de FG

van een adviseur en een toezichthouder.

Als je dat niet goed inricht en ook niet goed je eigen rol snapt

kan het heel snel zijn dat je als slager je eigen vlees gaat keuren.

ROBIN: Overigens hebben we hier ook een leuke podcast over:

moet je als FG ook CISO zijn?

Dat is een ander dilemma, gaan we het een andere keer over hebben.

BART: Je moet dus snappen wat je rol is

en die rol gaat op een gegeven moment ook veranderen

naarmate de organisatie volwassener wordt, zoals Magdalena aangeeft.

In het begin was de AVG helemaal nieuw, dan zit je meer in die adviesrol.

En op een gegeven moment wordt jouw rol als FG veel meer een toezichtsrol

en zijn er anderen binnen de organisatie, de verwerkingsverantwoordelijken

dus de Privacy Officers, de ondersteunde mensen qua privacy in de organisatie

die gaan die adviezen geven en jij hebt als FG dan meer die toetsende rol

als laatste stok achter de deur, om het zo te zeggen.

ROBIN: Maar die toetsende rol, dat nodigt ook uit tot een kritischere rol.

Dat je gewoon de uiteindelijke sheriff bent die gewoon ja of nee zegt, toch?

Dat riekt naar strengigheid.

-BART: Het is niet zozeer ja of nee zeggen

het is jouw advies of jouw interpretatie als FG

over datgene wat de verwerkingsverantwoordelijke wil doen.

En dat advies geef je aan de verwerkingsverantwoordelijke.

Die mag dat ook in de wind slaan, dat is het goed recht van diegene.

Als die een andere risico-afweging maakt dan jij als FG, dan kan dat.

ROBIN: Dit voelt voor mij toch lastig, want dat is toch onacceptabel eigenlijk?

Als zij een andere afweging maken...

-BART: Dat is wat de AVG zegt.

BART: De AVG zegt: Je bent een adviseur en toezichthouder

maar je moet je niet in de rol van de verwerkingsverantwoordelijke begeven.

Dus op het moment dat jij oordelen gaat maken over 'dit mag wel' of 'dit mag niet'

dan ga je beslissingen nemen over de verwerking van persoonsgegevens

en neem je dus de rol van de verwerkingsverantwoordelijke aan.

En dat moet je denk ik te allen koste voorkomen als FG.

Jij geeft het beste advies en dat advies moet zeer serieus worden gewogen.

De AP zegt ook: Als een organisatie moedwillig dat advies in de wind slaat

dan is dat voor ons een reden een hogere boete te geven.

De organisatie moet je heel serieus nemen

maar als ze jouw advies in de wind willen slaan, is dat hun goed recht.

ROBIN: Hoe zie jij de rol van de FG?

-MAGDALENA: Ja, eens.

MAGDALENA: Het is een zwaarwegend advies, het is niet zomaar een advies

dus ze moeten daar wel echt goede redenen hebben om af te wijken.

Dus, ja, nee, daar ben ik het helemaal mee eens, daar zit gewoon de knip.

ROBIN: Oké, resumerend: straffen of belonen op de werkvloer

als het gaat over privacy: hoe pak jij hem op?

Wat is wat jou betreft de oplossing?

-MADGALENA: Het is balanceren.

MAGDALENA: Ik bedoel, je probeert zo veel mogelijk aan de voorkant

betrokken te worden, weten wat er in het werkveld speelt.

Indien nodig opschalen en inderdaad met de stok in de weer

maar uiteraard liever de wortel.

Ik denk dat het heel belangrijk is, wat Bart zei, gidsrol...

Het is een eenzame rol, je bent de enige in de organisatie.

Dus probeer vooral niet het wiel uit te vinden

want echt, een probleem bij de gemeente speelt vast ook bij een andere gemeente.

Dus trek met elkaar op. Wij trekken met de FG's in de regio

maar ook landelijk hebben we intervisies...

Trek met elkaar op en don't take it personal, dat is vooral, denk ik...

Het is soms een lastige rol, maar je doet gewoon je werk, en klaar.

ROBIN: Je roept ook een paar adviezen

die bij meerdere dilemma's van nut kunnen zijn, hè.

Bijvoorbeeld het advies 'zorg dat je aan de voorkant betrokken bent'

dat geldt volgens mij voor een heleboel dilemma's waar we het over hebben.

Wees jezelf bewust van je rol en bemoei je er vroegtijdig mee

en zorg dat ze snappen wie je bent en wat je doet.

Maar dan terugkomend op het dilemma, jij zegt eigenlijk:

Aan de voorkant zolang het kan de wortel.

-MAGDALENA: Ja.

ROBIN: Gewoon meedenken...

-MAGDALENA: Zeker.

ROBIN: En als ze dan niks ermee doen aan het einde van de rit

als ze niet luisteren naar dat advies, dan nog even rammen met die stok.

MAGDALENA: Je geeft dan bijvoorbeeld bij een DPIA een negatief advies

en dan vinden ze dat misschien niet leuk, maar je houdt gewoon voet bij stuk.

ROBIN: Is dat een beetje ook jouw houding, Bart?

BART: Helemaal. De wortel zit hem in dat mensen jou moeten kunnen vinden

en weten van 'dat is een goeie, die kan mij goed adviseren

om deze toepassing zo goed mogelijk te maken.'

'Ik kan m'n doelen bereiken maar ook privacyvriendelijk', dat is wat je wil.

Dan beloon je als het ware de organisatie.

En als ze dat niet willen of ze kunnen dat niet

dan moet je gewoon die stok achter de hand hebben.

En die is denk ik ook belangrijk om serieus genomen te blijven.

Het is niet dat je een soort gratis adviesbaak bent

en als het advies niet aanstaat dat je dan door kan.

Je moet serieus genomen worden, dus stok achter de hand.

ROBIN: Tot slot, wat voor mogelijkheden heb je dan

als het komt tot dat je je knuppel moet trekken?

Wat doe je dan? Hoe doe je dat?

BART: Wat Magdalena aangaf, een negatief advies bijvoorbeeld op zo'n DPIA

of in je rapportage over de compliance binnen de organisatie aangeven

dat de compliance niet oké is.

En dat geef je aan de hoogste leidinggevende binnen de organisatie

en die krijgt daarmee ook het aapje op de schouder

om daarmee wat te gaan doen.

-ROBIN: Oké.

ROBIN: Tot slot aan jou dezelfde vraag eigenlijk: stel dat het zover komt

je hebt adviezen gegeven, oké dan toch die stok erbij...

MAGDALENA: Ja, kijk, één keer per jaar rapporteer je naar het college.

In het jaarverslag komen de aanbevelingen

en het is uiteindelijk aan de organisatie om het wel of niet op te pakken.

Dus kies wel je momenten.

Probeer, als je bij de directie zit, om daar aan te kaarten wat er mis gaat

wat er beter kan, want zij moeten erop sturen.

Dus pak je momenten ook, pak het podium.

ROBIN: Nou, dank je wel, Magdalena Magala en Bart Schermer.

Luister ook de andere afleveringen van Privacy in de praktijk terug.

Het is leuk. Ga hiervoor naar cip-overheid.nl/uitgelicht.