Ik zat in De Knoop. Acht
vrijdagmiddagen lang, met steeds een week ertussen. In dat mooie Utrechtse
rijkskantoor met de wat suffe naam volgde ik een privacycursus. Dat een
informatiebeveiliger met privacyvraagstukken te maken krijgt is evident: wij
zijn ook van de V van vertrouwelijkheid en bovendien waren echte privacydeskundigen
– zeker in het pre-AVG-tijdperk – vaak moeilijk op te sporen. Logisch dus dat
ik die cursus deed. Behalve nuttig leek het me ook interessant en het kwam de
baas ook nog eens goed uit dat er wat meer mensen met deze kennis zouden komen.
Kortom, een triple-win-situatie. Dachten we.
Het doel van deze opleiding
was om cursisten klaar te stomen om een gegevensbeschermingseffectbeoordeling
(GEB) – in de volksmond nog vaak PIA genoemd, van Privacy Impact Assessment – uit
te kunnen voeren. (Die moeilijke nieuwe term hebben we overigens te danken aan
onze zuiderburen, die de vertaling van de AVG in het Nederlands voor hun
rekening namen. Maar dat terzijde, en daarom tussen haakjes.) Voor de
rijksoverheid is er een verplicht PIA-model dat de titel Gegevensbeschermingseffectbeoordeling (PIA) draagt (zo komen oud
en nieuw mooi samen). Dat document is in wezen een invuloefening. Dus een kind
kan de was doen? Nou nee, maar daar kom ik later op terug.
Wat mij tijdens de cursus
het meest en bij herhaling opviel is dat
het recht geen exacte wetenschap is. Dat valt mij als informaticus knap tegen.
Ik zou een aantal parameters willen instellen en dan kijken wat er uit de
formule komt. Maar zo werkt het recht dus niet. Daar kun je zo, maar ook zó
tegen een bepaald vraagstuk aankijken. “Met gevoel kom je een heel eind”, zei
een van de docenten oprecht optimistisch. Maar voor mij, als juridische leek, was
dat dus een afknapper. Van de andere kant: ik had dit natuurlijk kunnen weten.
We hebben niet voor niets rechters. Als mijn formule zou werken, dan hadden we
die niet nodig. Overigens – ook weer terzijde: er woedt al een tijdje een
discussie over het inzetten van kunstmatige intelligentie in de rechtspraak.
Dat het allemaal niet zo
binair is, werd deze week mooi duidelijk door een serie tweets van ICTRecht
(lees nu eerst even het eerste item uit de Grote boze buitenwereld $).
Omdat ik de uitleg over de e-mail en het ziekenhuis niet goed begreep, ging ik
te rade bij de Privacy Company, waar ik de cursus had gevolgd. Daardoor wist ik
al snel (dank Anne Martine!) dat de beide voorbeelden rechtstreeks waren
overgenomen uit een document van de Article
29 Data Protection Working Party (WP29), een gewezen adviesorgaan van de
EU. In het onderliggende document legt WP29 uit dat een verkeerd geadresseerde
e-mail geen datalek is áls het mailtje per ongeluk is verzonden naar een
ontvanger waar je een bestendige vertrouwensrelatie mee hebt. Als je die dan
belt en zegt: “Joh, ik heb je per ongeluk dat-en-dat mailtje gestuurd, heb je dat
al gelezen? Nee? Mooi, wil je het dan onmiddellijk ongelezen weggooien?”, dan
mag je erop vertrouwen dat dat ook gebeurt en dan is er geen lek. Dat is dus
duidelijk. Maar in het geval van het ziekenhuis betoogt WP29 dat tijdelijke
onbeschikbaarheid van gegevens wél een bij
de toezichthouder te melden datalek is omdat dit een inbreuk op de
rechten en vrijheden van een individu zou kunnen veroorzaken. Tijdelijke
onbeschikbaarheid een datalek? Dat vond ik raar en daarom ben ik even verder
gaan zoeken. Prompt stuitte ik op een pagina met de titel: What's wrong with WP29 guidelines on personal breach notification under
GDPR? (GDPR = AVG) op de website van de International Association of
Privacy Professionals (IAPP). En die vinden dat dus óók raar. De AVG is nog
jong en daardoor is er nog nauwelijks jurisprudentie. De wet moet als het ware
nog rijpen. De tijd zal dus moeten leren hoe de wet wordt geïnterpreteerd. Door
rechters.
Je snapt inmiddels wel
waarom ik zei dat een PIA geen gemakkelijke invuloefening is. Maar naast de
hierboven beschreven juridische ambivalentie heb je ook nog te maken met een
hele reeks aan keuzemogelijkheden bij het bepalen of een verwerking rechtmatig
is (en een verwerking is ‘alles’ wat je
met data kunt doen, waaronder opslaan, raadplegen, vernietigen). Zo zijn er
bijvoorbeeld zes verschillende wettelijke grondslagen voor de verwerking van
persoonsgegevens. Als je jouw verwerking niet in één van deze grondslagen kwijt
kunt, dan mag het dus niet. Maar welke grondslag is van toepassing? Dat alleen al
is best een puzzel – en dan heb ik het nog niet over bijzondere
persoonsgegevens als ras, religie of medische gegevens gehad; die mag je
namelijk helemáál niet verwerken, tenzij dat wél mag op basis van één van maar
liefst tien grondslagen. Daarna moet je nadenken over de doelbinding: wat ga je
doen met die persoonsgegevens? Dat moet je omschrijven, en vervolgens mag je geen
andere dingen met die gegevens gaan doen. En je mag sowieso niet méér gegevens
vastleggen dan noodzakelijk is voor het beoogde doel. Ik heb nog lang niet alle
aspecten genoemd, maar mijn punt is wel duidelijk: privacy is moeilijk.
Nu zit ik dus soort van in
de knoop. De cursus was goed, maar heeft er ook voor gezorgd dat ik veel minder
gemakkelijk dan vroeger antwoord geef op de vraag: “Mag dit?” Dat lijkt me
trouwens juist goed, al zal iemand die een snel antwoord wil daar anders over
denken. Gelukkig hebben we genoeg juristen in de organisatie en een deel van
hen schijnt goed thuis te zijn in de AVG. Want dat is iets wat ik op een andere
juridische cursus heb geleerd: het recht is verdeeld in een aantal
kenniszuilen, en een jurist uit de ene zuil doet niet gemakkelijk uitspraken op
het terrein van een andere zuil. Rijkskantoor De Knoop was vroeger trouwens de
Knoopkazerne, met heel dikke zuilen.
En in de grote boze buitenwereld …
… is onderstaande toetsvraag een mooie illustratie voor mijn betoog. (Opmerking:
de tweets bevatten reclame.)
- Vraag: https://twitter.com/ictrecht/status/1072785706169368577
- Antwoord: https://twitter.com/ictrecht/status/1072826093776838656
- Toelichting op het antwoord: https://twitter.com/ictrecht/status/1072873528351834112
... moet het BSN van zzp’ers uit hun btw-nummer. Want privacy.
... is privacy ook moeilijk voor de sportwereld.
... moet zelfs de kerstman voldoen aan de AVG (-;
... ontkomen Facebook-gebruikers niet aan op hun locatie gebaseerde
advertenties, ook al zetten zij alle relevante instellingen uit.
... zouden Amazon en Facebook gegevens over gebruikers delen.
... geeft Facebook sommige grote bedrijven toegang tot privéberichten
van gebruikers.
... belijden zowat alle bedrijven privacy en beveiliging van het
grootste belang te vinden, maar slechts weinigen hebben een C-level
beveiligingspief.
... onderschepten hackers jarenlang berichten van EU-diplomaten.
... is het Defensie Cyber Commando als militaire eenheid tamelijk
vleugellam, maar functioneert het heel aardig als uitzendbureau voor hackers.
... zijn de Amerikaanse raketsystemen slecht beveiligd.
... heb je straks alleen nog je vinger nodig om je auto te openen en te
starten. Commentaar van iemand op Twitter: autodiefstal escaleert naar
ontvoering.
... waren ransomware, cryptojacking en CEO-fraude dit jaar wel zo’n
beetje de belangrijkste vormen van cybercrime.
… zijn heel wat Nederlandse bestuurders doelwit van CEO-fraudeurs.
... is cybercrime de snelst groeiende vorm van criminaliteit. (Dit
artikel gaat over de VS, maar de conclusies zullen elders ook wel gelden.)
... verdwijnen drie Vlaamse havenhackers voor lange tijd achter de
tralies.
... mag je soms best een gemakkelijk wachtwoord gebruiken.
... worden phishers steeds gewiekster.
... lees je hier hoe je jouw uitgelekte naaktfoto’s van het internet af
kunt krijgen.
... heeft de AIVD zijn kerstpuzzel gepubliceerd. Succes...