Nu is er alleen een overleg tussen de sector, verenigd in Nederland ICT, en het CBP. En dat ook nog eens pas sinds kort. Individuele bedrijven moeten zich houden aan de richtsnoeren die het CBP heeft opgesteld, maar die zijn vaak onduidelijk en voor meerdere uitleg vatbaar, vindt Nederland ICT. Pas nadat een ICT-oplossing is geïmplementeerd bij een klant, kan het CBP (vaak op papier) de impact toetsen die zo’n ICT-implementatie heeft op privacy van burgers.

De roep om meer (en eerder) overleg met het CBP is niet nieuw. Ook al bij het opstellen van de nu geldende richtsnoeren vind de branche dat zij te laat werd betrokken. Die richtsnoeren zijn begin dit jaar gepubliceerd door het CBP om het bedrijfsleven handvatten te geven bij de interpretatie van de wet.

Bedrijven staan voor een dichte CBP-deur

Sindsdien is het overleg met de branche verbeterd, maar kunnen individuele bedrijven nog steeds niet aankloppen bij het CBP voor advies. Toentertijd heeft Webwereld het CBP al gevraagd waarom dat niet kon, en het antwoord luidde toen dat de capaciteit daarvoor niet toereikend was, en dat het daarnaast niet tot het takenpakket van het CBP behoorde. Webwereld heeft het College nu opnieuw gevraagd naar het –eventueel veranderde- standpunt, maar nog geen antwoord gekregen.

Nederland ICT heeft het standpunt hierover gisteren verwoord naar aanleiding van een algemeen overleg van de Tweede Kamer over e-privacy. De Tweede Kamer wilde meer informatie uit de maatschappij en bedrijfsleven over e-privacy voordat zij in debat gaat met het Kabinet over de implementatie van nieuwe regels hieromtrent.

'Privacy belemmering voor innovatie'

Volgens de branchevereniging is een te nauwe interpretatie van privacy een belemmering voor innovatie en ondernemerschap. Een Privacy Impact Assessment is waardevol, zolang die wordt uitgevoerd voorafgaand aan een aanbesteding. Juist in die fase moet een ICT-dienstverlener in overleg kunnen gaan met het CBP over de interpretatie van privacyregels, zodat al vroeg in het traject daarover duidelijkheid is.

Nu is het voorstel om de Privacy Impact Assessment te doen als onderdeel van de aanbesteding. Dat houdt in dat ICT-projecten na de aanbesteding nog aangepast moeten worden, “waardoor de PIA hetzij een wassen neus is, hetzij leidt tot uitloop van het project in kosten en tijd”, liet Nederland ICT de Tweede Kamer al eerder weten.