Privacy en haar weg naar volwassenheid

Voor de start van Lex Digitalis beschreven we in ons businessplan het werkgebied van privacy, data en cybersecurity . Sinds onze start twee maanden geleden hebben we veel professionals binnen het werkgebied gesproken. Veel onderwerpen uit het businessplan komen daardoor nu écht tot leven. We spraken met mensen in de zorg, in het onderwijs, binnen de overheid, bij uitvoeringsorganisaties, in de financiële sector, bij adviesbureaus, vanuit de advocatuur…. In verschillende branches hoorden we soortgelijke geluiden.

Awareness ingrediënt voor volwassenheid
Zo valt ons op dat awareness en het belang van privacy bij veel organisaties meer aandacht verdient. De ontwikkeling naar volwassenheid van het werkgebied is ingezet, maar organisatiebreed is er vaak nog te weinig kennis. Er wordt onvoldoende gezamenlijk belang toegekend aan privacy. Awareness, onderkennen van het belang en kennis zijn van groot belang voor groei in volwassenheid van het werkgebied binnen organisaties. Vrijwel iedere medewerker komt met persoonsgegevens in aanraking!

Die beperkte awareness maakt het werk van een privacy-professional niet altijd makkelijk. Vaak hebben ze het imago van “nee-zegger”, doordat men pas aan het einde van een proces wordt betrokken. Er wordt hard gelobbyd om, ook in het kader van efficiency, eerder in een traject betrokken te worden, zodat een negatief advies achteraf voorkomen wordt. Ook is er sprake van veel ad hoc vragen over privacy-gerelateerde onderwerpen, bijvoorbeeld of gegevens wel of niet mogen worden verstrekt. Hierdoor ontstaat voor de privacy-professional een dilemma qua prioritering: beleidsmatige/strategische vraagstukken die bijdragen aan bijvoorbeeld awareness en kennis binnen de organisatie eerst oppakken of “blijven hangen in” de ad-hoc vragen?

Opvallend (en logisch) is ook dat privacy-functies op verschillende plekken worden belegd binnen organisaties. Mooi voorbeeld hiervan: bij sommige organisaties is gekozen voor een externe FG vanwege de onafhankelijkheid en afstand. Bij andere organisaties is er juist gekozen voor een interne FG, vanwege het van belang dat de FG over voldoende kennis moet beschikken van de organisatie en haar werkveld.

Iedereen heeft een mening over de AP
Als relatief nieuwkomer in het privacy-werkveld hebben de geluiden over de AP ons verbaasd. Met een open blik zijn we de gesprekken aangegaan, waarbij de AP voor ons wel bekend stond als waakhond en toezichthouder van onze rechten. We hoorden echter dat het imago van de AP onder privacy-professionals niet heel positief is. Kort samengevat wat we horen:

– Het kennisniveau van professionals binnen de AP is beperkt. De uitspraak in de zaak VoetbalTV wordt hierbij vaak aangehaald, waarbij de AP bakzeil haalt op hun normuitleg van ‘het gerechtvaardigd belang’. Een uitleg die naar wij begrepen al zeer omstreden was in relatie tot het standpunt van de andere Europese toezichthouders, die al stelden dat ‘gerechtvaardigd belang’ een breed scala aan belangen kan omvatten, commerciële belangen niet uitgesloten. Overigens had de AP mogelijk ook een andere intentie bij deze zaak, namelijk toetsen of hun strengere (tov andere Europese toezichthouders) uitleg van ‘het gerechtvaardigd belang’ zou stand houden voor de rechter.

– Er is te weinig capaciteit binnen de AP, er zijn grote achterstanden, slagkracht ontbreekt. Ook de AP zelf onderkent dat. KPMG heeft recent onderzoek gedaan naar de benodigde capaciteit van de AP in opdracht van het Ministerie van Justitie en Veiligheid en de AP. De AP zelf stelt naar aanleiding van de bevindingen uit dat onderzoek dat om haar wettelijke taken goed uit te kunnen voeren, er van 184 fte nu een groei moet komen naar 470 fte in 2025. KPMG en Minister Dekker verbinden overigens andere conclusies aan dat onderzoek. Voor de minister is er voorlopig geen aanleiding om budgetten op te schroeven, zoals hij aangaf in zijn kamerbrief van 19 november 2020.

Wij schrokken in eerste instantie van deze geluiden over de AP. Zeker omdat je juist van de AP verwacht dat hij een gewaardeerd toezichthouder is. Een instantie die als waakhond over de regels die we met z`n allen bedacht hebben, waakt. Hoe mooi zou het zijn als de AP fungeert, zoals wij in eerste instantie dachten: als een stevige informatiebron, een autoriteit waar je kan aankloppen voor een juiste uitleg of interpretatie? En daarmee ook een instantie die bijdraagt aan het vergroten van de professionaliteit van het vakgebied? Deze wens hoorden we regelmatig vanuit de markt. En hoewel eraan gewerkt wordt, moet ook de AP naar ons idee nog groeien in volwassenheid, net als dat het geval is voor het privacy-domein binnen vele andere organisaties.

Wat verder voorbij kwam
Onderwerpen die verder veel voorbij kwamen in de gesprekken waren onder andere: de uitspraak Schrems II, cameratoezicht en gezichtsherkenning, Brexit, inzet van Boa’s en de Wet politiegegevens, de invloed en ethiek van het gebruik van algoritmes en de versnelde digitale innovaties in het onderwijs in het corona-tijdperk. Daarnaast is het duidelijk dat er een grote behoefte in het veld is aan denken vanuit mogelijkheden in plaats van onmogelijkheden, geen juridisch geneuzel, maar praktische en heldere adviezen.

Overall is het fantastisch om te merken met hoeveel passie en bevlogenheid privacy-professionals hun werk doen. Fijn ook dat er zoveel interesse is in onze start-up en dat er tijd wordt vrijgemaakt om kennis en ervaringen met ons te delen. Vanaf hier nogmaals dank aan iedereen die we gesproken hebben! Feit is dat we naar mate we meer privacy-professionals spreken en meer informatie “sponsen”, we het privacy-domein steeds interessanter vinden en steeds nieuwsgieriger worden!