Privacy betekent dat je bepaalde gegevens voor jezelf wil houden. Of dat het bedrijfsleven en de overheid jouw gegevens voor zich moeten houden. Personeel wordt gedrild om bij vragen over privacyregelgeving meteen een expert te raadplegen. Dus dat deed ik.
Althans, ik stuurde de memo van de softwareleverancier over ‘privacy logging’ door aan de informatiebeveiliger in plaats van het privacy team. De memo ging over het vastleggen van alle verwerkingen van de persoonsgegevens van burgers die in de software werden gedaan.
‘Dit moet denk ik naar het privacy team,’ antwoordde de informatiebeveiliger me. ‘Ik heb het al voor je doorgestuurd. De informatiebeveiliger zorgde ervoor dat de digitale systemen hermetisch gesloten waren en geen hacker erbij kon, terwijl het privacy team de privacy bewaakte.
Stom, dacht ik. Het speet me dat ik zijn tijd had verspild door hem die memo te laten lezen. ‘Die moest ik inderdaad hebben,’ schreef ik hem terug. ‘Sorry en dankjewel!’
Ik snapte wel waarom ik het naar hem had doorgestuurd. Hij zat altijd twee bureaus van me vandaan, terwijl ik de privacybeveiligers zelden zag. Bovendien is de grens tussen informatiebeveiliger en privacybeveiliger op sommige vlakken erg dun. Zo valt de definitie van rechtmatig gebruik van persoonsgegevens onder privacy, terwijl er bij onrechtmatig gebruik al snel sprake is van een datalek. Denk bijvoorbeeld aan mensen die bij persoonlijke gegevens van burgers of collega’s kunnen zonder dat ze daar recht toe hebben. Dan heb je het over informatiebeveiliging.
Een paar dagen later stuurde de informatiebeveiliger mij de mail retour. Het was een lange mail geworden. Blijkbaar was het bericht een paar keer heen en weer gegaan tussen de verschillende privacybeveiligers, die steeds op reply all hadden geklikt en daardoor de informatiebeveiliger mee waren bleven nemen in de mailuitwisseling.
De informatiebeveiliger schreef mij dat de memo die bij de mail had gezeten gaandeweg de correspondentie verloren gegaan. Of ik die nog een keer wilde sturen voor een vollediger beeld.
Ik klikte op ‘reply all’ en verstuurde de toegevoegde memo naar drie privacybeveiligers en de informatiebeveiliger. Nu zaten we met zijn vijven in de mailwisseling.
‘Ik snap eigenlijk niet waar het over gaat,’ schreef privacybeveiliger nr. 1 terug.
Ik antwoordde met een verwijzing naar de memo. ‘In de memo van de softwareleverancier staat dat er na de volgende update een extra tabel in onze database zit. Hierin wordt de ‘privacy logging’ weggeschreven. De vraag is of we bij de leverancier een extra tool moeten aanschaffen zodat jullie die privacy logging ten allen tijde zelf kunnen raadplegen. Zo niet, dan zal ik dit straks voor jullie uit de database moeten halen als jullie deze willen inzien. Dan hoeven we niets aan te schaffen.’ Ik sloot af met het voorstel om het er tijdens een afspraak over te hebben. Niet omdat ik er nog iets meer over te vertellen had, maar als tegemoetkoming aan de privacybeveiliger die er niets van snapte. Overigens leek mijn antwoord mij glashelder, dus die afspraak zou er toch niet komen.
De memo was geadresseerd aan de beheerders van de applicatie en aan de privacybeveiligers. Ik zou als beheerder de nieuwe software moeten aanschaffen en zorgen dat die gebruikt kon worden. Mijn aanname was dat de memo daarnaast aan de privacybeveiligers was gericht omdat zij met die tool zouden gaan werken. Daarom wilde ik van hen weten: willen jullie dat ik dit aanschaf?
‘Wat zit er dan in die logging tabel?’ schreef privacybeveiliger nr. 1 terug.
Eerlijk gezegd wist ik er niet meer van dan zij. In de memo stond dat de logging ertoe diende om te kunnen voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Het was de logging met betrekking tot privacy gevoelige gegevens. De AVG was ‘hun’ wet. Om daaraan te voldoen hadden we privacybeveiligers in dienst. Ik schreef: ‘Volgens mij wordt in die tabel iedere actie vastgelegd die te maken heeft met de persoonsgegevens van de burger, dus of hun gegevens geraadpleegd zijn, naar derden zijn verstuurd, gebruikt om hen een brief te sturen, zoiets.’
‘Wat wordt er op dit moment dan gelogd?’ reageerde privacybeveiliger nr 1.
‘Dit dus niet,’ reageerde ik wat kortaf. Wat mij betreft was het een helder verhaal. De vraag was: willen jullie die tool gaan gebruiken?
‘Ik snap er helemaal niets van,’ schreef privacybeveiliger nr. 2.
‘Meer kan ik er ook niet van maken,’ schreef ik terug. Zoveel viel er niet aan te snappen, leek mij. Bovendien wist ik genoeg. Bij mijn weten gingen de privacybeveiligers over beleid en toezicht op het verwerken van persoonsgegevens. Aan hen kun je vragen stellen zoals: zijn de verwerkingen die wij met privacygevoelige gegevens doen rechtmatig? Daarom had ik gedacht dat zij wel zouden weten wat ze met een tabel ‘privacy logging’ aan zouden moeten.
De informatiebeveiliger mengde zich in de mailwisseling. Hij had de memo immers ook gelezen. ‘Volgens mij wil de leverancier extra geld cashen voor een dienst zij sowieso verplicht zijn om volgens de wet te leveren. Om aan die wettelijke verplichting te voldoen zit de tabel ‘privacy logging’ straks in de database. Daar hoef je niet voor te betalen. En toch willen ze graag dat je nog een tool bij hem afneemt om die data te ontsluiten.’
Blij dat iemand het vraagstuk wél snapte, deed ik een aanvulling op zijn verhaal. ‘Voor dat laatste kunnen wij ook zelf iets maken.’ Jullie kunnen niet bij een tabel in de database. Willen jullie hier wel/niet via een tool van de leverancier zelfstandig bij kunnen?’
Er volgde geen antwoord, maar een agenda-uitnodiging in Outlook. Ik accepteerde. Twee weken later zat ik met alle drie de privacybeveiligers in een overlegruimte. Ik vertelde hen wat ik ze al had geschreven, namelijk dat er met de volgende update een nieuwe tabel in onze database beschikbaar zou zijn waarmee ‘privacy logging’ voor ons beschikbaar kwam. Zij stelden opnieuw dezelfde vragen. Allereerst wat er dan in die logging tabel zat en daarna wat er dan op dit moment gelogd werd. De derde vraag was nieuw. ‘Het is toch geen medewerkersvolgsysteem? Dat mag namelijk niet. Als het een medewerkersvolgsysteem is dan willen we het weten.’
‘Nee, dat lijkt me niet,’ zei ik verrast. Deze wending had ik niet zien aankomen. In de eerste plaats omdat er in die memo nergens met een woord daarover werd gerept, maar in de tweede plaats omdat ik bij privacy dacht aan de gegevens van de burgers. Ik had er nooit bij stilgestaan dat het privacyteam ook waakte over de privacy van de medewerkers.
‘Ik kan er wel wat meer induiken,’ zei ik. ‘Ik heb alles wat ik weet al verteld, maar ik merk dat dit jullie vragen niet beantwoord.
‘Goed,’ zei privacybeveiliger nr 3. ‘Als het een medewerkersvolgsysteem is dan horen we het graag terug. Als het gaat over het uitvoeren van rechtmatigheidscontroles dan moet je bij de afdeling zelf zijn. Wij gaan over beleid en toezicht, niet over de uitvoering van beleid.’
‘Het uitvoeren van rechtmatigheidscontroles?’ herhaalde ik enigszins verrast. We hadden het nog helemaal niet gehad over de mogelijkheid om die tabel te gebruiken als controlemiddel of er door medewerkers rechtmatig werd gewerkt. Wie weet was dat inderdaad de bedoeling. In dat geval zou de informatiebeveiliger er misschien alsnog bij moeten worden betrokken. ‘Oké, ik ga het uitzoeken en kom er zo nodig op terug,’ zei ik.
Terwijl ik opstond, schoot me nog een laatste vraag te binnen. ‘Weten jullie waarom de memo van de softwareleverancier aan jullie gericht was? Jullie verwijzen me nu door naar vakafdeling.
Ze wisten het niet.
Ik dook dieper in de ‘privacy logging’ en het kwam erop neer dat die data nodig was om aan de AVG te voldoen, daarvoor moest in de software worden gelogd wat er met de persoonsgegevens van burgers gebeurde. Burgers hebben namelijk het recht om te weten wat er hun gegevens gebeurt. Eigenlijk was dat ook de clou van de memo: wij zouden met die extra tabel in onze database eindelijk aan de AVG voldoen. De drie privacybeveiligers hadden waarschijnlijk gedacht dat we dat allang deden. De AVG was immers al 8 jaar van kracht.
Misschien snapten de privacybeveiligers daarom niet wat er van hen gevraagd werd. Laat staan dat ze iets begrepen van de optie om voor een extra tool te moeten betalen om gemakkelijk bij deze loggegevens te kunnen. Zij hoefden er niet zelf bij te kunnen. Het ging hen er alleen maar om dat de data er was en dat iemand er bij kon.
De privacybeveiligers zullen wel weten waar het over gaat, had ik gedacht toen ik die memo binnenkreeg. Soms is het goed om zo te denken, maar in dit geval had ik de memo beter zelf kunnen beoordelen. Wat mij betreft kon het zonder tool.
Als ik deze exercitie over zou kunnen doen dan had ik de memo alleen ter informatie doorgestuurd in plaats van met de vraag of de privacybeveiligers van die tool gebruik wilden maken. Dat zou een hoop tijd hebben gescheeld. Ik zou hebben geschreven: vanaf de volgende update voldoen we aan de AVG wat betreft de eis op het vlak van privacy logging, dus als een burger vraagt om inzage wat er met zijn gegevens gebeurt dan kunnen we daaraan voldoen.
Maar misschien had dat alsnog al die vragen opgeroepen.