De Dag van de Privacy Officer

Woensdag 9 november was ik aanwezig op het congres “De Dag van de Privacy Officer” in Amsterdam, georganiseerd door IIR. Of eigenlijk, de twee dagen van de privacy officer waarvan ik alleen dag één bezocht. Dat ging aanvankelijk gepaard met enige scepsis, die ter plaatse werd versterkt door een wel erg aanwezige fotograaf en cameraman. Desondanks heb ik een nuttige en leerzame dag gehad en ik neem u graag mee door deze dag.

“Sfeerimpressies”

Voor wat betreft de fotograaf en cameraman werden we al snel gerustgesteld door dagvoorzitter Peter van Schelven. Ze waren uitsluitend aanwezig om wat “sfeerimpressies” vast te leggen en dat is, en ik quote, “…neem ik aan geregeld?”. Tja, geen vliegende start van een congres over privacy. De rest van de mededelingen is goed en duidelijk en Sophie in ’t Veld (D66) heet ons per video van harte welkom vanaf het Europees Parlement. Eerder zag ik haar op het ‘Privacy Experiment’ van De Correspondent waarover ik al eens schreef. Peter belooft ons een aantal columns van haar toe te zenden na afloop van het congres.

Privacy actualiteiten

Het woord is aan Friederike van der Jagt die ons in vaart meeneemt door de privacy actualiteiten. Met een zo goed als zekere overwinning van Trump zet ze eerst uiteen wat zijn ideeën zijn over privacy. Al snel trek je de conclusie dat het ook als het gaat om privacy Clinton het beter had kunnen winnen. De typering ‘security gaat voor op privacy’ zegt me niet zoveel. Volgens mij bedoelen we daarmee: het belang dat de overheid hecht aan surveillance gaat boven het belang van het individu op privacy. Met security bedoelt Friederike hier geen informatiebeveiliging, denk ik.

Vanzelfsprekend komt ook de Schrems uitspraak aan bod. Nieuw voor mij is dat de modelcontracten in lijn met deze uitspraak nu ook onder vuur liggen. Grensoverschrijdende gegevensverwerking wordt er niet makkelijker op. Het Privacy Shield komt in juli dit jaar in de plaats voor Safe Harbor, maar ook daar lopen inmiddels twee zaken tegen (waaronder deze). De verse AP voorzitter Aleid Wolfsen komt kort aan bod, mede vanwege zijn niet-perfecte optreden in het interview op NU.nl, waarna we enkele uitspraken van diezelfde toezichthouder langslopen:

  • Hardloopdata is gelijk aan gezondheidsdata (bijzondere persoonsgegevens) – onderzoek Nike+ Running App
  • Openbare correspondentie over kleinkinderen waarmee geen contact meer is bleek geen goed idee – onderzoek voormijnkleinkind.nl
  • Verhuizen tijdens een onderzoek van de toezichthouder blijkt een tamelijk effectieve strategie – onderzoek YD
  • Het bijhouden van on-demand kijkgedrag werd XS4ALL en KPN niet in dank afgenomen – onderzoek interactieve tv XS4ALL (en actief informeren actualisatie privacy policy is verplicht)
  • Adecco ging nogal vrijpostig om met het inmiddels alom bekende ‘kopietje paspoort’ – onderzoek Adecco
  • Bluetrace nam veel te veel ruimte in het tracken van WiFi signalen en werd als verantwoordelijke aangewezen – onderzoek Bluetrace

De cynische Privacy Officer?

Jean Paul van Schoonhoven mag het zonder versterking doen op zijn stem, de techniek laat ons in de steek. Voorheen werkte hij bij de AP, nu als privacy officer bij PostNL. Aan de hand van de papieren tijger weet hij ons op leuke en informele wijze te introduceren in zijn dagelijkse werk. Wat doet een privacy officer? Hoe positioneer je deze persoon? Wat is de scope van zijn/haar werk? Intern of extern beleggen? Trap niet in één van deze valkuilen benadrukt hij: 1) onvoldoende draagvlak hebben en 2) teveel ownership nemen. Herkenbaar. Jean Paul voorziet zijn verhaal van een vleug cynisme al kan ik niet zeggen of het gemaakt is.

Richting het einde van zijn verhaal komt het op het Nymity Framework; de schrik kan je om het hart slaan als je je daar in verdiept. Hoe dan ook, als iets vanuit privacywetgeving niet mag, bied dan te allen tijde een alternatief! Zo verandert een data obese organisatie langzaam in een data fitte organisatie. En van die soms lastige privacy officer kom je alleen af door te stoppen met het verwerken van persoonsgegevens. We are here to stay.

Akzo Nobel en 3 FTE

Na een koffiepauze is het woord aan Fredirik Stikkelbroek en Nynke Wisman die toelichten hoe Akzo Nobel haar privacy-organisatie heeft ingericht. Hoe de rol en positie van de privacy officer verandert onder de AVG. Ze stippen het gebruik van Binding Corporate Rules (BCR) aan en ook het Privacy Shield. Duitsland blijkt een drijvende kracht te zijn voor privacy binnen Akzo Nobel en de organisatorische tekening is erg interessant. De veelheid aan rollen blijken samen niet meer dan 3 FTE te bedragen. Slik, da’s niet veel op zo’n grote organisatie.

Paneldiscussie

In de paneldiscussie mag Wolfje Mijnders, privacyfunctionaris bij de gemeente Veenendaal, de publieke sector vertegenwoordigen naast Marel Rietman (ING), Rachel Marbus (KPN) en Jeanne Jacobs-Gilhuis (Schiphol). Vanwege onze dienstverlening aan bijna uitsluitend gemeenten was voor mij vooral de bijdrage van Wolfje interessant, hetzij soms gehinderd door de erg aanwezig cameraman en fotograaf. Enfin, ze vertelde over haar rol, positionering en werkzaamheden bij de gemeente. 32 uur p/w voor een privacy officer is niet slecht voor een gemeente, maar dat zegt vooral iets over alle gemeenten die klaar denken te zijn met minder. En met € 0,- eigen budget is te werken mits er maar commitment is. Een geslaagd en boeiend onderdeel van de congresdag.

Keuzesessies

Nadat de cameraman de lunch goed had kunnen vastleggen vervolgden we het programma met keuzesessies. Ik koos voor een sessie over de documentatieplicht onder de Wbp en de AVG, door Niels Westerlaken (Project Moore). Dat klinkt u allicht niet zo uitdagend in de oren, maar het zat meer dan vol. Bij de tooling komt ook Privacy Perfect voorbij, één van onze partners. Vervolgens woonde ik de sessie van Anne Martine Koetsier (T-Mobile) bij. Naar eigen woorden doet ze “niks anders dan communiceren” dus daarover ging haar presentatie dan ook.

Hoe kom je van een gedragscode naar governance, naar tooling (IT), processen (organisatie) en awareness (mens)? Grofweg dezelfde indeling die we hanteren bij Informatiebeveiliging Gemeenten. Middels duidelijk geïdentificeerde doelgroepen (ze noemt er 9) en een privacy communicatie jaarplan houd je enigszins structuur en grip op (de communicatie over) privacy. De intern en extern veelgestelde vragen over privacy zijn middels een PDCA cyclus ingericht en ook het in-, door- en uitstroomproces van medewerkers krijgt veel aandacht.

Thematafels

Na een korte break schuiven we aan bij de thematafels (ze bleken overigens niet rond te zijn). Het is met recht een vol programma, maar de ontspannen setting van dit onderdeel maakt dat je toch graag in gesprek gaat. Ronde één mis ik, maar in ronde twee sluit ik aan bij “privacy als onderdeel van bedrijfsprocessen” en in ronde drie bij “privacy als onderdeel van ICT/systemen”. Met name die laatste vond ik interessant vanuit mijn interesse en affiniteit met informatiebeveiliging. Het ging over legacy systemen en EOL software en daarvan hebben we ook zeker e.e.a. in gemeenteland draaien. In deze context is het AP onderzoek bij het Groene Hart interessant.

Komt een vrouw bij de h@cker

Het laatste onderdeel van de dag is een blok van twee keynote sprekers. Allereerst het woord aan Maria Genova, auteur van het boek ‘Komt een vrouw bij de hacker‘. Onlangs kreeg het boek een zevende (!) druk waarvan we allen een al dan niet gesigneerd exemplaar meekrijgen. In gemeenteland is Maria geen onbekende en ze weet toegankelijk te vertellen hoe het zit met hackers, wachtwoorden en phishing mails. Wie kent dit filmpje niet? Iemand vraagt wat we na afloop van het congres thuis direct moeten doen en Maria antwoordt:

  • je wachtwoorden nalopen en sterk maken (het liefst veel tekens in bijvoorbeeld een zin)
  • de ingescande ‘kopietjes paspoort’ van jezelf verwijderen van je computer / cloud
  • de laatste updates op je besturingssysteem en software installeren

Daarnaast: lock altijd je scherm en wees erg terughoudend met het gebruik van openbare WiFi netwerken.

De blockchain

Het woord is aan Rob Raven (Startup Company). Hij praat ons bij over blockchain én is te boeken als DJ. Het onderwerp leent zich minder voor dit tijdstip van de dag. Een tijdstip waarop onze hoofden eigenlijk al vol zijn met alle informatie van voorgaande onderdelen. Maar toegeven, hij weet blockchain naar mijn idee duidelijk uit te leggen. De blockchain automatiseert het faciliteren van vertrouwen.

Net als ik me afvraag waarom hij is gevraagd als keynote spreker op een congres over privacy, slaat hij de brug. Daarbij moeten we wel op de koop toenemen dat hij privacy (onterecht) versmalt tot Identity & Access Management (IAM). Via aardse, digitale en virtuele identiteiten komen we op de volgende vragen: hoe implementeer je het ‘right to be forgotten’ onder de AVG in de blockchain? Is de blockchain niet bovenmatig transparant? Hoe effectief is een toezichthouder bij dergelijke innovaties als de wetgeving achterblijft?

We sluiten af met enkele vragen aan Rob, laten ons boek signeren en na de optionele borrel laat ik alles nog eens bezinken in de terugreis per trein. Een geslaagde en goed bestede dag. Veel afwisseling qua inhoud en vorm en voldoende ervaringen en tips uit de praktijk. Volgend jaar ben ik er weer bij!

ps. een paar foto’s vind je hier

Centric, PinkRoccade en de bewerkersovereenkomst
Privacy: bekeken door twee brillen

Copyright © 2014-2019 IB&P B.V. - Privacy Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap