De digitale kinderlijkheid van Nederland
Het voorstel tot opheffen van de privacybescherming cliënten Jeugdzorg onderstreept dat Nederland qua digitaal bestuur nog lang niet volwassen is. Uit een document, dat recent in handen is gekomen van de Privacy Barometer, blijkt dat de overheid wil toestaan dat zeer gevoelige gegevens van kinderen en daarmee per definitie dus ook van hele gezinnen door gemeenten verwerkt kunnen worden. De Privacy Barometer is een organisatie die zich bekommert om de privacybescherming van burgers.
Het betreft een zogenaamde tijdelijke regeling die de weg vrijmaakt om zeer gevoelige gegevens, waaronder: medische gegevens, gegevens aangaande crimineel gedrag en/of geestelijke gesteldheid als ook indicaties daartoe, van kinderen ter beschikking te stellen aan gemeenten. Het doel daarvan is dat gemeenten de declaraties van zorgverleners kunnen verwerken en controleren op juistheid.
Wetgeving niet nageleefd
Met dit voorstel probeert de overheid duidelijk haar eigen algemene privacy wet- en regelgeving (WBP) te omzeilen. Spannend is ook dat de onafhankelijke toezichthouder, het College Bescherming Persoonsgegevens die over onze privacy behoort te waken, over deze tijdelijke regeling heeft geadviseerd. Voor zover bekend, en ik steun hier op de berichtgeving van de Privacy Barometer, heeft de overheid geen Privacy Impact Assessment (PIA) laten uitvoeren voor deze voorgenomen systeemwijziging.
Een algemeen uitgangspunt van de privacywetgeving is onder meer dat extra voorzichtig en terughoudend omgegaan moet worden met persoonsgegevens van kwetsbare groepen. Daarbij zijn kinderen overigens nog eens expliciet als groep aangeduid die extra bescherming behoeven. Voor medische en in het algemeen stigmatiserende gegevens voor individuen geldt een zwaarder privacy regime. Deze privacy principes zijn logisch en maatschappelijk relevant omdat dergelijke gegevens tegen individuele belangen kunnen worden ingezet en kunnen leiden tot ongelijke behandeling en ongelijkheid in kansen in onze maatschappij.
De regeling gaat nogal makkelijk voorbij aan de in onze vrije westerse maatschappij erkende universele privacy principes en universele privacy risico’s. Het privacybelang van de individuele personen, in dit geval kinderen, maar ook hun gezinsleden wordt rucksichtslos opzij gezet. Het is ook een illusie om te denken dat een reëel privacy probleem opgelost wordt met een regeling -of wetsvoorstel. De reële privacy risico’s voor individuen zitten in de realiteit van kwetsbare IT systemen, de reële gegevensverwerkingen en bij de reële organisaties en personen die met deze gegevens omgaan. Privacyvraagstukken op het niveau van wet- en regelgeving zijn ook belangrijk maar zitten in een andere dimensie, een juridische dimensie. Dus wellicht wordt met deze tijdelijke regeling, die overigens een toestand aangaat die zeker niet zo tijdelijk zal zijn, een juridisch privacy probleem omzeild. Het is het legaliseren wat tot nu toe als illegaal werd beschouwd.
Gevolgen
Overigens is het nog maar de vraag of het juridische probleem werkelijk wordt opgelost als de universele privacy risico’s niet zijn onderkend en zijn gemitigeerd en daartoe ook geen PIA is uitgevoerd. Het door gemeenten laten verwerken van deze gevoelige persoonsgegevens introduceert grote risico’s voor de geregistreerden. In geval van een datalek komen de gegevens op straat of in verkeerde handen en is de inbreuk in de persoonlijke levenssfeer en daarmee gepaard gaand leed niet te overzien. Bovendien moet beseft worden dat reparatie voor betrokken individuen bijvoorbeeld door het ontstaan van een datalek, post-issue, niet mogelijk is. Het ontstaan van een datalek is een kwestie van tijd. De harde praktijk leert dat om allerlei redenen het inbreken in dergelijke systemen door kwaadwillenden aantrekkelijk is en ook dat organisaties en systemen vroeg of laat toch data laten lekken. Ook een meldplicht van datalekken dat per 1 januari 2016 ingaat, zal hier niets aan veranderen. Het instellen van een meldplicht datalekken onderschrijft juist het inzicht dat er altijd datalekken zullen blijven bestaan.
De oplossing?
Soms is het beter om bepaalde gegevensuitwisseling en -verwerking achterwege te laten. Of als het dan echt nodig is: eis stevige beveiligingsmaatregelen en pas privacy enhancing technologies toe en ontwerp verwerkingen van gegevens privacy by design, waarbij het gebruik van persoonsgegevens is geminimaliseerd en soms zelfs achterwege kan worden gelaten. En voer in elk geval een robuuste PIA uit waarin op een gestructureerde wijze de toepassing van privacy principes wordt geëvalueerd en vooral de reële privacy risico’s in de “IT werkelijkheid” in beeld worden gebracht, zodat effectieve maatregelen kunnen worden genomen. Stel deugdelijke controle en toezicht hierop in. Daarbij moet de PIA uiteraard worden uitgevoerd vanuit het risicoperspectief van de geregistreerden, in dit geval onze jeugdige medeburgers. Het gaat dus niet primair om de juridische risico’s van de verantwoordelijke voor de gegevensverwerking, waarbij het limiteren van de aansprakelijkheid altijd voorop staat.
Het einde nabij!
De onderhavige tijdelijke regeling heeft wat dat betreft de schijn tegen. Het is ook een slecht voorbeeld voor onze maatschappij. Voor professionals, auditors en adviseurs op het gebied van privacy en informatiebeveiliging zijn dit soort voorstellen ook bijzonder hinderlijk. De overheid wijkt hier af van algemeen aanvaarde normen en probeert te legaliseren wat nu niet legaal is. Dat zal ongetwijfeld een precedent werking hebben en wie neemt na een dergelijk wetsvoorstel de privacy wet- en regelgeving dan nog serieus? Als dit soort voorstellen worden aangenomen, wordt het voor auditors en adviseurs op het gebied van privacy en informatiebeveiliging ook wel erg lastig om een maatschappelijk relevante rol te vervullen. Het lijkt mij dan ook belangrijk dat auditors en privacy adviseurs nu meer assertief moeten worden en opkomen voor hun maatschappelijk steeds meer belangrijke rol en vak.
We moeten nog even afwachten of de regeling het werkelijk gaat halen. Mocht dit onverhoopt toch gebeuren dan staat de privacy bewustwording in ons land er nog veel slechter voor dan ik dacht.
Door: Jan Matto, partner bij Mazars, in samenwerking met het Cqure Kennisplatform. Matto heeft jarenlange ervaring met het onderzoeken van informatiebeveiliging, IT incidenten, datalekken en het uitvoeren van Privacy Impact Assessments.
Bronnen:
Privacy Barometer, 14 juli 2015: https://www.privacybarometer.nl/
CBP, 18 mei 2015: https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-doorbreken-geheimhoudingsplicht-jeugdhulpverleners
CBP, 16 juli 2015: https://cbpweb.nl/nl/nieuws/cbp-adviseert-over-regeling-geheimhoudingsplicht-jeugdwet
