Interview Functionaris Gegevensbescherming: Door de AVG gaan we van ‘trust me’ naar ‘prove it’. (juni 2017)

Interview gepubliceerd op de website van Zivver.

22 juni 2017, door Francis Mustert

Vanaf mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. De Functionaris Gegevensbescherming (FG) is voor veel organisaties dan een verplichte aanstelling. Tijd om dieper in te gaan op wat deze functie inhoudt en wat dit betekent voor het inrichten van veilige communicatie binnen jouw organisatie. ZIVVER sprak Bart Fennema, FG bij GGZ Rivierduinen. Een organisatie met meerdere locaties in regio Zuid-Holland en verantwoordelijk voor ruim 30.000 cliënten.

 

Laten we beginnen met jouw functie. Hoe ziet jouw week eruit?
Toen ik begon als FG heb ik een plan van aanpak geschreven. Dat plan loopt 2 jaar en is opgedeeld in fases. Een groot gedeelte van de week besteed ik aan de inventarisatiefase. Het doel hiervan is het op orde zetten en krijgen van de privacy huishouding. Ik zoek veel contact met mensen om te achterhalen hoe zij persoonsgegevens verwerken. Wat is de grondslag en de doelstelling?

 

Zo ontstaat een gesprek en daarbij is het belangrijk om de focus te leggen op de privacy huishouding. Voor veel mensen is de AVG nog onbekend, maar men heeft wel gehoord van de mogelijk hoge boetes. Collega’s denken  soms dat ze een risico lopen vanwege het feit dat ik er ben, maar dat is natuurlijk niet zo. Ik ben toezichthouder en dat betekent dat ik er op moet toezien dat de organisatie volgens de wet op de juiste gronden persoonsgegevens verwerkt. Het is mijn taak om de organisatie hierover te informeren en klaar te stomen, zodat zij zelf de juiste documenten vastleggen. Tja, mensen vinden dat misschien moeilijk. Het is iets wat vaak bovenop hun toch al hoge administratieve werklast komt.

 

Zien zij ook in dat jij niet moeilijk doet, maar dat dit voor hun eigen bestwil is?
Dat weten ze wel, maar dat neemt niet weg dat ze lijden onder de last van administratie. Het zijn allemaal dingen waaraan voldaan moet worden of die geregistreerd moeten worden. Eigenlijk willen ze liever bezig zijn met het primaire proces. In plaats daarvan moeten we een hele dans optuigen rondom een onderwerp dat eigenlijk ‘niet spannend is’; het draagt niet rechtstreeks bij aan de hulpverlening aan de cliënt. Desondanks gaat het er niet om of het spannend is of niet, we moeten nu eenmaal voldoen aan de wet.

 

Hoe wegen deze twee kanten tegen elkaar op: aan de ene kant heb je de angst ‘ik ben verantwoordelijk en aansprakelijk’ en aan de andere kant ‘ik moet ook nog van alles registreren’.
Ik heb er een hekel aan om angst te gebruiken om iets voor elkaar te krijgen. Het liefst neem ik dat weg. Tegelijkertijd is het wel zo dat het gesprek dat we met elkaar moeten voeren onontkoombaar is. Dat kan je vervelend vinden, maar het moet. Ik ben een soort noodzakelijk kwaad. Maar wel een vriendelijk noodzakelijk kwaad.

 

Dat lijkt me wel belangrijk, dat je toegankelijk en laagdrempelig blijft voor mensen.
Ik moet in gesprek kunnen blijven met mensen. En waarom? Dat is het tweede stuk van het antwoord op jouw vraag: waar besteed je je week aan? Het afhandelen van datalekken. We hebben een protocol opgesteld voor het melden van datalekken. Niet alles is een datalek. Meestal zijn het incidenten waar een vraag aan vast zit: kan dit wel of niet? En dan ga ik daarover in gesprek. Bijvoorbeeld die multifunctionele printers die in de gang staan. Je zit achter je scherm en je print je cliëntdossier uit en dan komt dat dossier op de printer te liggen. Dat is niet de bedoeling, want in de tijd dat jij er heen loopt kunnen mensen het gezien hebben. Of je vergeet dat je het geprint hebt. Dat zijn datalekken omdat je onrechtmatige verwerking of inzage niet kunt uitsluiten. Zo krijg je vaak gesprekken over ‘hoe groot is die kans nou?’. Maar daar gaat het niet om. Je moet een gesprek voeren om te bepalen of je onrechtmatige verwerking uit kunt sluiten.

 

Is dat gesprek hetzelfde voor een CISO of een FG?
Een Information Security Officer, oftewel de ISO, houdt zich bezig met informatiebeveiliging. Dat is breed. Dat heeft te maken met de slot op de deur, maar ook processen en procedures. Daarbij zijn persoonsgegevens een klein onderdeel van het totale pakket. Dat is de ISO en op management niveau de CISO.

 

Een Functionaris Gegevensbescherming is een beetje een vreemde eend in de bijt. De rol houdt zich niet alleen bezig met informatiebeveiliging, want dat is een onderdeel van een set aan maatregelen die de organisatie neemt in de bescherming van onder andere persoonsgegevens. Persoonsgegevens zijn het vertrekpunt voor de FG. Die heeft de rol om de verantwoordelijken te adviseren zodat zij compliant zijn met de wet- en regelgeving daaromtrent. Ik ben een soort interne toezichthouder.

 

Ziet het bestuur jouw functie ook als interne toezichthouder? Kijken zij naar jou als een persoon waar zij naar moeten luisteren?
De FG heeft als taak om erop toe te zien dat persoonsgegevens conform de wet worden verwerkt. De FG is onafhankelijk en heeft die functie om de verantwoordelijke indien nodig daarop attent te maken. Dit kan bestaande structuren doorkruisen. Vanuit de wet krijgt een FG ontslagbescherming mee. Daarom is het mogelijk om afwijkingen te melden, buiten managers om, aan het bestuur zonder te vrezen voor baanverlies. De Raad van Bestuur staat duidelijk open voor de noodzaak van compliance met de AVG en hecht belang aan het organiseren van persoonsgegevensbescherming. Ik ben ontzettend blij met hoe onze Raad van Bestuur proactief de functie van FG omarmt.

 

Ik kan me dat voorstellen, want ik geloof niet dat iedere GGZ instelling een FG heeft. Dat is wel verplicht vanaf mei 2018. Nu is het een optie.
Ik denk dat wij een van de weinigen zijn die echt een voltijd FG in dienst hebben. Het is hier geen rol, maar echt een functie. Wat je wel ziet is dat GGZ-instellingen de rol van FG toekennen aan de ISO. Voor mij is dat onbespreekbaar. Het creëert een conflict van belangen doordat je iemand toezicht laat houden op diens eigen werkzaamheden. Ik zou dat hebben teruggegeven want je mist tevens het mandaat en de onafhankelijkheid. Wat dat betreft is goed te zien dat veel organisaties nog worstelen met de invulling van deze functie.

 

In hoeverre is onafhankelijkheid nodig om issues aan te kunnen pakken.
Dit is juist van essentieel belang. Vaak is het issue: Kun je het uitsluiten? Ben je in control? Ben je aantoonbaar in control? De Europese wetgeving is evidence based. Voorheen waren we risk based. Dat zie je terug in de managementstijl. Bestuurders en managers baseren besluiten vaak op risicoafwegingen, maar dat is niet meer voldoende. Ik moet er op aandringen dat je ook moet voldoen aan die aspecten van de wet. De onafhankelijkheid van de FG zorgt ervoor dat hij geen aanwijzingen kan ontvangen over het uitvoeren van de functie. Stel: een manager baseert een besluit op de overweging dat een bepaalde werkwijze een laag risico met zich meebrengt, maar de werkwijze is niet conform de wet. De FG kan dan verzet bieden tegen het besluit, of hierover opheldering vragen aan de Raad van Bestuur.

 

 De Wet bescherming persoonsgegevens  is sinds 2016 van kracht, straks gaan we naar de AVG. Verandert er dan veel?
De AVG zegt dat er aantoonbaar passende technische en organisatorische maatregelen moeten worden genomen, maar er staat niet wat dan passend is. De perceptie van ‘wat passend is’ is afhankelijk van de huidige technische mogelijkheden. Dat verandert in de tijd. Een oplossing zoals ZIVVER bestond een paar jaar geleden nog niet. Nieuwe dingen zijn mogelijk. Je moet kunnen aantonen dat je de best mogelijke passende maatregelen hebt genomen om jouw organisatie te beschermen. En je moet daarbij aantonen dat deze maatregelen hebben gewerkt. Dan heb je het niet meer over ‘trust me’, maar over ‘prove it’.

 

De urgentie om te bewijzen dat je de zaken goed hebt geregeld, wordt niet altijd door iedereen meteen gezien. Dan moet je dus vooral intern mensen aan je kant zien te krijgen om iets voor elkaar te krijgen. Wat heb je dan nodig om veilig mailen op de kaart te zetten? Je wilt ook niet steeds met boetes zwaaien en de AVG, dat weten mensen onderhand wel.
Een tastbaar argument is als er iets is voorgevallen. Never waste a good crisis. Daar moet je op inspelen. Als je de afgelopen twee jaar niet te maken hebt gehad met een datalek in de vorm van onveilige mail, verkeerde ontvanger, bijlage, dan zie je misschien ook niet zo snel de noodzaak om er wat mee te doen. Los van gemelde incidenten blijven het organiseren van accountability en auditability twee belangrijke speerpunten van de AVG.

 

Maar die incidenten hadden jullie ook niet, en toch hebben jullie er wat mee gedaan.
Ja, omdat wij het belangrijk vinden om aantoonbaar compliant te zijn. Dat komt meer vanuit het reputatiestuk. Je vindt van jezelf dat je betrouwbaarheid moet bieden en dus moet dit geregeld zijn. Het is bijna een verkoopargument. Als je bij ons cliënt wordt, dan kun je er van op aan dat wij goed omgaan met jouw gegevens. Met alle berichtgeving en angst die er in de media gezaaid wordt, is dat voor een onzekere cliënt belangrijk. Hoe meer je hen het vertrouwen kan geven dat ze op je kunnen bouwen, hoe beter. Wij vinden dat een belangrijk argument. De Raad van Bestuur hecht daar ook waarde aan. Daarnaast loopt je een risico op zowel het reputatiestuk als financieel vlak. Dat risico wilden wij afdekken.

 

Wat dat betreft is onze business case vrij duidelijk. Je loopt nu risico op 820 000 euro, straks 20 miljoen. Je hebt hier x aantal mensen zitten die dagelijks met persoonsgegevens werken. Waarbij ze ieder individueel een risico zijn. Dat maakt de risicoafweging wel de moeite waard om ernaar te kijken.
Er is nog een andere afweging die we hebben gemaakt. ZIVVER heeft ons eigenlijk geholpen om weer te kunnen communiceren. Want als je de wet goed leest, dan staat er dat je eigenlijk niet meer mag communiceren over persoonsgegevens als je het niet kan controleren. Er staat dat je niet mag communiceren met partijen die niks met cliëntgegevens te maken hebben. Dat betekent dat je heel zeker van je zaak moet zijn dat je het naar de juiste persoon stuurt. Daar kan je niet altijd aantoonbaar zeker van zijn en dus kan je het niet uitsluiten. Dat was de boodschap aan de behandelaren. Eigenlijk mag je niet zomaar communiceren met derden. Dat riep in het primaire proces wel heel veel vragen op. Hoe dan wel? De vrijheid van communiceren én dat het wel veilig is zodat we het vertrouwen aantoonbaar kunnen houden, dat was een zwaar argument voor ons. We moeten onze hand in het vuur kunnen steken hiervoor. Als we het doen, moeten we zeker weten dat het goed gaat. En als je iets fout doet, dan moet je het kunnen terugtrekken. Dat zijn de aspecten die zwaarwegend zijn.

Getagd , . Bladwijzer de permalink.

Geef een reactie