We doen het best wel goed, toch?
16 november 2023 / in Nieuws / door Leandra Beerendonk
Het Belang van Privacy: een onmisbaar kenmerk van een betrouwbare overheid
De afgelopen jaren heeft het vertrouwen in de Nederlandse overheid, inclusief de lokale overheid, een flinke deuk opgelopen. Het CBS kopte in mei van dit jaar ‘Minste vertrouwen in Tweede Kamer in 10 jaar tijd’ en beschreef dat het vertrouwen in de gemeenteraad, ambtenaren en de Tweede Kamer respectievelijk slechts 50, 42 en 30% bedroeg. ‘Burgers zijn kopschuw geworden’ kopt de NOS deze week.
De focus moet echter niet liggen op het gebrek aan vertrouwen in de overheid, maar op het herstel van vertrouwen door het zijn van een betrouwbare overheid. Bij het wegen van een betrouwbare overheid is de integriteit voor burgers bepalend. Het gaat dan met name om eerlijkheid, motieven en intenties die bepalend zijn voor het handelen in algemeen belang.[1] Privacy is een fundamenteel mensenrecht en een essentieel element van een betrouwbare overheid. Er is mijns inziens een onlosmakelijke band tussen integriteit, privacy en de geloofwaardigheid en betrouwbaarheid van de overheid.
Gemeenten, organisaties die grote hoeveelheden gevoelige persoonsgegevens verwerken, lopen het risico dat door het onzorgvuldig omgaan met gegevens van een burger bij de ene gemeentelijke taak, de legitimiteit van het handelen bij een andere gemeentelijke taak wordt ondermijnd. Immers, als de gemeente onzorgvuldig met mijn gegevens in het kader van afvalinzameling is omgegaan, vul ik niet van harte mijn gevoelige gegevens in op het aanvraagformulier van mijn uitkering.
Privacy: Een Grondrecht
Privacy is vastgelegd als een grondrecht in tal van nationale en internationale wetten en verdragen, waaronder in het Europees Verdrag voor de Rechten van de Mens (EVRM) en de Algemene Verordening Gegevensbescherming (AVG). Individuen hebben het recht om hun persoonlijke levenssfeer te beschermen, vrij te zijn van ongerechtvaardigde inmenging en controle over hun persoonlijke gegevens te behouden. Dat het recht op eerbiediging van de persoonlijke levenssfeer en de bescherming van persoonsgegevens in internationaal fundamentele wetgeving is vastgelegd, wekt de indruk dat we met zijn allen vinden dat het een belangrijk onderwerp is. Hoe komt het dan dat ik in mijn werk als consultant vaak zie dat het zorgvuldig omgaan met persoonsgegevens met name een ‘moetje’ is? Wat maakt dat veel privacyprofessionals een ‘wij’ tegen ‘zij’ gevoel ondervinden?
We doen ons werk en daarbij moeten we aan privacy denken.
Een overheid die het recht op privacy erkent en beschermt, toont aan dat zij zich inzet voor de beginselen van democratie, vrijheid en rechtvaardigheid. Privacy is echter niet alleen een kwestie van wettelijke verplichtingen. Het vormt ook de kern van menselijke waardigheid en zelfbeschikking. In juridische context dient privacy (en daarmee ook gegevensbescherming), te worden afgewogen tegen andere grondrechten. Mijns inziens is het niet de bedoeling dat er binnen de bedrijfsvoering een continu krachtenveld ontstaat waarin privacy tegen o.a. organisatiebelangen wordt weggestreept. Dat is wel wat ik regelmatig zie gebeuren. Stel jezelf niet de vraag ‘op welk vlak gaat het het meeste pijn doen?’, maar vraag jezelf vooral af wat je van mens tot mens en van overheid tot burger het belangrijkste vindt.
In de bedrijfsvoering dient gegevensbescherming een randvoorwaarde te zijn. Als je werkt met grote hoeveelheden (gevoelige en bijzondere) persoonsgegevens is het noodzakelijk na te denken over gegevensbescherming en deze te borgen. Ik zie helaas regelmatig dat bijvoorbeeld gemeenten gegevensbescherming zien als ‘een moetje’, als één van de onderwerpen op het lijstje waar aandacht voor moet zijn, wat helaas door deze houding weinig prioriteit krijgt.
We doen het toch best wel goed?
Ik merk dat veel organisaties, en dan met name het management en bestuur, de indruk hebben dat het allemaal best wel goed gaat op het gebied van gegevensbescherming. Daaruit maak ik op dat het management en/of bestuur een bepaalde perceptie heeft van wat goed genoeg is. Waar het mis gaat is dat velen prima weten waar zij het probleem onderkennen, maar niet weten waar ze dit niet onderkennen. Met andere woorden, je weet niet wat je niet weet. Een verminderd bewustzijn als het gaat om privacy en gegevensbescherming en een gebrek aan kennis en/of governance in de organisatie, maken dat problemen vaak onzichtbaar zijn en blijven. In veel gevallen stijgt het privacy volwassenheidsniveau niet boven de 1. Hoe kun je dan zeggen dat je het belang van privacy en gegevensbescherming onderschrijft?
Wat ik persoonlijk niet zo goed begrijp is waarom er in sommige gevallen zo slecht geluisterd wordt naar functionarissen voor gegevensbescherming, privacy officers en CISO’s die aan de bel trekken bij management en bestuur. Wat maakt dat professionals worden gevraagd om te komen met een verbeterplan voor het voorkomen van bermbranden terwijl ondertussen de boel binnen de organisatie af fikt?
Ik denk er in ieder geval zo over: Whatever you’re not changing, you’re choosing. Je kunt als management of bestuur nog zo hard roepen dat je gegevensbescherming zo ontzettend belangrijk vindt, als je niet stuurt op verandering in werkwijze, beleid en mentaliteit is dat niets waard. Je kiest ervoor om de privacybelangen van burgers niet te beschermen, dat is niet iets wat je overkomt.
Bescherming van Privacy als Maatstaf voor Betrouwbaarheid
Ik zei het al: een betrouwbare overheid is er een die handelt in overeenstemming met haar beloften en verplichtingen, en die het vertrouwen van haar burgers verdient en behoudt. De mate van waarborging van de bescherming van de persoonlijke levenssfeer van betrokkenen vind ik een goede maatstaf voor betrouwbaarheid. Dit komt naar mijn idee tot uiting in de volgende punten:
- Bescherming tegen machtsmisbruik
Het zorgvuldig omgaan met persoonsgegevens beschermt individuen tegen het misbruik van macht door de overheid. Het voorkomt ongeoorloofde toegang tot persoonlijke informatie die gebruikt kan worden om onrechtmatige acties te ondernemen. Als de overheid onbeperkte toegang heeft tot persoonlijke gegevens, kan dit leiden tot een onevenwichtige machtsdynamiek tussen de overheid en de burgers.
- Transparantie en verantwoording
Een betrouwbare overheid is transparant over haar activiteiten en legt verantwoording af aan haar burgers. Het is een essentiële stap in het opbouwen en behouden van vertrouwen bij burgers en andere belanghebbenden. Een van de beginselen uit de AVG is transparantie; persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Burgers verwachten ook, en mogen verwachten, dat organisaties kunnen aantonen dat zij op zijn minst de AVG beginselen in acht nemen.
- Vertrouwelijkheid van communicatie
Burgers moeten erop kunnen vertrouwen dat hun communicatie met de overheid vertrouwelijk blijft, vooral wanneer zij informatie delen over gevoelige kwesties zoals gezondheid, juridische zaken of persoonlijke overtuigingen. Het schenden van deze vertrouwelijkheid is een directe inbreuk op de persoonlijke levenssfeer van betrokkenen en kan en zal het vertrouwen ondermijnen.
De privacy governance van betrouwbare overheden
Een betrouwbare overheid neemt actief maatregelen om zorgvuldig met de persoonsgegevens van haar burgers om te gaan en deze te beschermen. Privacy en gegevensbescherming zijn onderwerpen die moeten leven in een organisatie. Het moet in het organisatie-DNA zitten. Een goede borging van gegevensbescherming lukt alleen met privacy governance.
Onder governance verstaan we: alle afspraken over taken, verantwoordelijkheden, bevoegdheden en processen om de naleving van privacy beginselen en privacy wet- en regelgeving te borgen. Dit omvat o.a. (maar is geen uitputtende checklist):
- privacy visie (intern kompas);
- privacybeleid;
- het beleggen van rollen en verantwoordelijkheden;
- een onafhankelijke interne toezichthouder en/of auditor;
- educatie en bewustwording;
- documentatie en verantwoording.
Conclusie
Privacy is geen secundair of optioneel aspect van een betrouwbare overheid; het is een fundamenteel onderdeel van haar legitimiteit en geloofwaardigheid. Het beschermen van persoonlijke gegevens en het erkennen van privacyrechten zijn niet alleen wettelijke, maar ook morele en ethische verplichtingen. Een overheid die privacy serieus neemt, versterkt het vertrouwen van haar burgers, bevordert democratische waarden en onderstreept haar toewijding aan vrijheid en rechtvaardigheid.
Mijn zoektocht naar een antwoord op ‘het waarom’ en ‘hoe kan het nou dat?’, is nog niet afgerond, maar ergens is dat interne krachtenveld ook deels de charme van dit vak. Het mooie aan het werk binnen het privacydomein is al het missie werk dat nog te doen is. Alle kleine stapjes die we kunnen zetten, zijn stapjes in de goeie richting.
Hulp nodig?
Heb jij ook zo’n missie, wil je onderzoeken hoe het zit met de privacy governance in jouw organisatie of wil je stappen zetten naar compliance? Durf je de uitdaging aan om daar samen de schouders onder te zetten? Lex Digitalis is een fullservicebureau op het gebied van privacy, data en cybersecurity. Neem contact op met mij of één van mijn collega’s voor meer informatie of om vrijblijvend te sparren.
[1] Connelly et al., 2018; Suijkerbuijk, 1983