1: Betere opleidingen

Een stevige impuls door de ICT-sector van het kennisniveau van de Nederlandse ICT'ers op het gebied van dataminimalisatie en andere aspecten van privacy compliance. Begrippen als cryptografische hashes en zero knowledge proof zouden niet langer mogen resulteren in glazige blikken van de gemiddelde ICT'er. Daarbij zou het goed zijn als de opleidingsinspanningen zich ook werkelijk op de reeds aan het werk zijnde ICT'ers zouden concentreren. Want anders duurt het nog minstens een decennium voordat we de vruchten gaan plukken en ik vrees dat we die tijd niet hebben.

Een eenvoudig voorbeeld: in het gemiddelde systeemontwerp van vandaag wordt geen rekening gehouden met de mogelijkheid dat gegevens vernietigd moeten worden. Sterker nog, vanwege de domino-effecten in daadwerkelijk relationele databases wordt er veelal gekozen voor een veld 'gewist', waarbij het record zelf in feite blijft bestaan. Het zou goed zijn als ICT-opleidingen aandacht zouden besteden aan deze 'best practices' uit het veld die vanuit compliance-perspectief juist 'worst practices' zijn.

2: Meer geld voor het CBP

Een stevige lobby voor meer geld voor het College bescherming persoonsgegevens (CBP) en aandacht voor de taakopvatting van het CBP. Het CBP heeft op dit ogenblik ongeveer 75 FTE aan menskracht in huis en moet in die hoedanigheid toezien op de verwerking van persoonsgegevens van ongeveer 800.000 bedrijven in Nederland. Dit is vergelijkbaar met de omvang van de oude Registratiekamer die eind jaren '80 van de vorige eeuw in het leven werd geroepen. Het CBP kiest er (op zich begrijpelijk) voor om zich tot haar handhavende taak te beperken en dan alleen op bijzondere dossiers. Gevolg van die huidige aanpak is dat veel ICT-bedrijven, en dan vooral de meer innovatieve, met een forse onzekerheid kampen omdat zij geen adviesvragen aan het CBP kunnen stellen. Die onzekerheid resulteert weer in een slecht investeringsklimaat voor ICT-bedrijven die iets met persoonsgegevens willen.

Praktijkvoorbeeld: een bedrijf helpt MKB'ers de papierstroom te automatiseren. Daarbij zijn met name documenten in een afwijkende opmaak bij eerste verwerking een probleem en omdat die verwerking een arbeidsintensief proces is worden onverwerkbare documenten bij een 100% dochteronderneming in India verwerkt. Dat is per documenttype een eenmalig proces, maar er kunnen persoonsgegevens op juist dat ene document voorkomen, die daarmee uitgevoerd worden naar India. Dat is verboden. De ondernemer kan niet bij het CBP terecht voor advies en moet maar hopen dat zijn streven om de kwaliteit van de gegevensverwerking te maximaliseren niet tot problemen zal leiden achteraf. Per saldo kost dat meer dan wanneer het CBP vanuit een faciliterende rol naar het bedrijfsleven (motor van de economie) vooraf handreikingen biedt.

3: uitbannen van SQL-injectie

Een stevige lobby voor meer houvast met betrekking tot de fameuze “passende technische en organisatorische maatregelen" uit artikel 13 van de Wet Bescherming Persoonsgegevens, om de beveiliging en de continuïteit van de verwerking te waarborgen. Op dit moment is dat afhankelijk van “de aard en de omvang van de gegevensverwerking, de stand van de techniek en de kosten van de maatregelen". ICT~Office heeft zich altijd oorverdovend stilgehouden over de vraag wat we nu eigenlijk minimaal zouden moeten kunnen verwachten van ICT-dienstverleners op dit terrein. Een prachtige kans om hier eens duidelijkheid in te scheppen.

Praktijkvoorbeeld: naar hedendaagse maatstaven zou een SQL-injectie in een web-applicatie niet meer moeten kunnen. Gaat de commissie van ICT~Office dit nu ook eens beamen en gaan we leveranciers die dit soort applicaties nu nog durven op te leveren aansprakelijk stellen? En wat gaan we met legacy doen uit de tijd waarin dit inzicht nog niet breed werd gedeeld. Herbouwen? En op wiens kosten? Een mooi onderwerp voor een debat waarin de stem van de brancheorganisatie zeker gehoord dient te worden.

4: Echte privacy-by-design

Een pleidooi voor een ambitieuze agenda op het gebied van technische privacy-by-design. De ervaringen met milieuregels uit de jaren '80 van de vorige eeuw hebben geleerd dat wet- en regelgeving innovatie aan kunnen jagen en op langere termijn ook tot significante efficiëntieverbeteringen van de betrokken bedrijven kunnen leiden. En geen enkele branchevereniging kan tegen ontwikkelingen zijn, die het voor beunhazen moeilijker maken om onder de prijs te werken.

Voorbeeld: de term 'privacy-by-design' is aan ernstige inflatie onderhevig. Zo presteren de vervoersbedrijven in het openbaar vervoer het opknippen van een database in stukken en die in verschillende juridische entiteiten beleggen met droge ogen te presenteren als 'privacy-by-design'. Een dergelijke juridische fictie heeft niets te maken met enige ambitie om vanaf dag één systemen te ontwerpen waarin privacy integraal verweven wordt, maar alles met het opwerpen van rookgordijnen om toch maar zoveel mogelijk data te verwerken. Een commissie zoals voorgesteld door ICT~Office zal ongetwijfeld vakmensen kunnen bevatten die vanuit inhoudelijke deskundigheid best practices kunnen formuleren waardoor dit soort ontklede keizers niet meer als oplossing zullen worden gepresenteerd.

5: Scherp toezicht op outsourcing

Stevige handhaving en dan met name een scherp toezicht op uitbestedingen naar verre oorden. In de huidige praktijk komt het voor dat grote outsourcingpartijen er in hun business case bij voorbaat van uitgaan dat alles naar lage lonenlanden buiten de Europese Vrijhandelsssociatie (EVA) verplaatst kan worden, ongeacht of het om verwerking van persoonsgegevens gaat of niet. In mijn eigen praktijk heb ik meegemaakt dat een outsourcingleverancier op vragen hierover doodleuk antwoordde dat dit het probleem van de klant was en dat als de klant er op stond dat er garanties kwamen dat de gegevens de EVA niet zouden verlaten (in casu India), de klant maar meer moest gaan betalen. Voor de context: het ging hierbij om grote hoeveelheden zorggegevens. Waarbij opgemerkt moet worden dat het Indiase niveau van bescherming van persoonsgegevens, laat staan gezondheidsgegevens, niet bepaald als 'adequaat' naar Nederlandse maatstaven omschreven kan worden.

Daarbij nog even een rekenvoorbeeld: een Wintel-server kost in de exploitatie ongeveer 600 Euro per maand, waarvan ongeveer een derde uit arbeidskosten bestaan. Bij verplaatsing naar India worden die tweehonderd Euro arbeidskosten iets van twintig Euro. Met als gevolg dat partijen met een grote presentie in India en maling aan privacy de markt verzieken voor partijen die wél waarde hechten aan een hoog beschermingsniveau bij de verwerking van persoonsgegevens. Nu is innovatie gebaat bij prijsdruk, maar niet onbeperkt.

mr. drs. Walter van Holst is senior IT-juridisch adviseur bij Mitopics