#06 - Toezicht houden op informatiebeveiliging als FG (met Diana Comijs)
Hey, welkom terug. Leuk dat je weer luistert naar de Keep Talking podcast. En in deze eerste aflevering van dit nieuwe seizoen ga ik in gesprek met Diana Komijs, FG van de gemeente Rotterdam. Diana neemt ons eerst mee in hoe het was om te ruilen met de Rotterdamse FG, omdat ze eerst FG was van de gemeente Den Haag. En daarna hebben we het over hoe ze als FG toezicht houdt op ook informatiebeveiliging.
Renco:En ik hoop natuurlijk dat je weer met plezier zult luisteren naar deze nieuwe opname. Eerste van dit seizoen. Er staan al een aantal nieuwe leuke opnames gepland. En tot slot wil ik nog even opmerken dat de geluidskwaliteit van deze opname wat minder is omdat ik het dit keer deed met mijn mobiele kit. Die past beter in de tas, maar levert net wat minder goede geluidskwaliteit op.
Renco:Niettemin, veel luisterplezier. Goedemiddag Diana.
Diana:Hallo Renco.
Renco:Leuk dat je in de Keep Talking podcast bent. En voor de luisteraar om even een plaatje te tekenen. We zitten hier in Rotterdam. En niet zomaar in Rotterdam. We zitten aan, hoe heet het water hier ook alweer?
Diana:Aan de Maas.
Renco:Aan de Maas, ja. Ik kom uit Zwolle, dus daar heb ik wel in de IJssel. Op de nee zesendertigste verdieping, dus we hebben prachtig uitzicht. Vind je het van niet?
Diana:We kijken uit dat orkest naast ons. Dat is waar we kijken. Maar in theorie is het uitzicht hier heel erg mooi.
Renco:Diana, jij bent, je hebt ook een achternaam, Diana Komeijs. Jij bent FG van de gemeente Rotterdam. Kan je eens iets vertellen over jezelf, wat je hiervoor hebt gedaan en wat je deed besluiten om FG te worden en misschien wel specifiek FG te worden bij de gemeente Rotterdam?
Diana:Nou, dat laatste is misschien het makkelijkste stukje van het verhaal. Wij kennen elkaar uit Den Haag. Ik was hiervoor FG van de gemeente Den Haag en ik heb in november heb ik van baan geruild met FG van Rotterdam, de toenmalige FG van Rotterdam. Matthijs Mulder, hij werkt nu in Den Haag. Ik werk nu in Rotterdam.
Diana:Ja. Dat deed mij besluiten om in Rotterdam te gaan werken. En we hadden alle 2 4 jaar voor onze gemeente gewerkt destijds. En we merkten alle 2 dat je op een gegeven moment heb je heb je alles al een paar keer gezegd. Mensen kennen jou.
Diana:Jij kent mensen hun verhaal. We kwamen niet meer verder.
Renco:Soort change of scenery of zo dan?
Diana:Ja en we kenden elkaar uit een uit een netwerk waar ook Amsterdam, Utrecht en Eindhoven in zitten. Dus we kenden elkaars omstandigheden ook ook behoorlijk goed. En het was eigenlijk zijn idee om ja hij zei op een gegeven moment van ik zou wel iets anders willen, maar ja vind maar eens wat en het zou zo handig zijn als iemand zou willen ruilen en toen heb ik dat aangekaart en dat kon. Ja. Het is betrekkelijk uniek, maar eigenlijk past het heel goed bij deze functie omdat in theorie althans op papier doe je overal in grote lijnen hetzelfde.
Diana:Dus je kunt eigenlijk betrekkelijk makkelijk van van van plek wisselen. Het voordeel is je neemt kennis mee, maar je kan toch weer ergens met een schone lei beginnen en een frisse blik. Leuk.
Renco:En is het dan ook zo in jouw ervaring dat het werk als FG voor de gemeente Rotterdam in de praktijk ook heel erg vergelijkbaar is als het werk als FG voor de gemeente Den Haag?
Diana:Het werk is in essentie hetzelfde. Het is natuurlijk een een een wettelijk vastgelegde taak, maar de plek waar je het werk doet die maakt heel erg veel uit. Ik wat je merkt is dat ja, de omgeving, de cultuur, dat geldt eigenlijk voor elke baan, heel veel invloed heeft op op jouw werk, hoe jij je werk doet, hoe anderen hun werk doen. Eigenlijk zou ik het iedereen aanraden, omdat je
Renco:Om te wisselen bedoel je? Om is om hetzelfde werk is in een andere context, John?
Diana:Ja, zelfs als je niet echt ander werk wil, kan het enorm verbreden om hetzelfde werk op een andere plek te gaan doen. De de de cultuur en de omstandigheden die die maken heel erg veel uit. Het zit hem in allerlei allerlei dingetjes. In in in de plek waar je wordt gepositioneerd. In Den Haag was dat aanvankelijk bij de CIO Office en iets van een half jaar voordat ik daar wegging ben ik bij ben ik onder de gemeentesecretaris geplaatst.
Renco:Dus onafhankelijker zou je dan kunnen zeggen?
Diana:Zeker ja, veel onafhankelijker. In Den Haag werkte ik alleen. Hier werk ik in een team. De dynamiek met privacy officers is hier heel anders. De de manier waarop de gemeente georganiseerd is waarop de de clusters in Rotterdam werken is anders dan in Den Haag.
Diana:Wat wat gevolgen heeft voor voor ja voor hoe die hele gemeente functioneert en ik denk uiteindelijk ook dat dingen als de persoon van de burgemeester en zo die hier natuurlijk al jaren een heel stevig stempel op de stad drukt, dat dat heel veel uitmaakt. Den Haag heeft ze ja zo zijn eigen problemen daar daar daar daar is het al een aantal jaren is het bestuurlijk en politiek daar heel ingewikkeld. Ja. Dat heeft een
Renco:Turbulent, hè?
Diana:Turbulent, ja dat heeft een enorme dat moet een enorme invloed hebben op op hoe mensen daar hun werk doen. Kan haast niet anders.
Renco:En heb je het gevoel dat de collega's in Rotterdam eenzelfde beeld hebben van wat een FG is en wat hij doet of behoort te doen als je dat vergelijkt met je vorige werkgever, de gemeente Den Haag? Is is er een zelfde opvatting over wat jij moet doen?
Diana:Of komt doen? Ik vind dat de privacy organisatie of de privacy in Rotterdam volwassener is dan in Den Haag en dat de opvatting van wat een fg doet ook volwassener is. Het verschijnsel toezicht wordt makkelijker geaccepteerd en wordt ook geaccepteerd dat dat iets iets is wat wat bij een organisatie hoort. Dat er mensen in de organisatie zijn die toezicht houden. Er wordt ook geaccepteerd dat het feit dat je toezicht houdt en dus vaak kritiek hebt dat dat niet betekent dat jij het ook moet oplossen.
Diana:Dus dus dat betekent dat de de rolscheiding beter wordt geaccepteerd. Ja. Dus ik denk dat er op grote lijnen wordt er hetzelfde naar gekeken. Een FG is een toezichthouder.
Renco:Het helpt natuurlijk dat het ook in de wet vastgelegd is, wat dan die taken en verantwoordelijkheden van die FG zijn. In dat opzicht heb je een objectief referentiepunt, dit is wat een FG doet.
Diana:Maar dat hoef ik hier niet uit te leggen.
Renco:En in beide steden heb je ook, weet ik dan, een chief privacy officer. Iemand die dus, je zei net zo leuk van, er wordt dan geaccepteerd dat je als toezichthouder problemen signaleert en dat je dat dat dat niet betekent dat je alles wat je signaleert dan ook zelf moet oplossen. Is het dan zo dat dan die chief privacy officer daar dan voor aan de lat staat?
Diana:Nee, is wel een hele duidelijke overeenkomst. De de de proceseigenaar zoals dat in ambtelijk jargon wordt genoemd, die is verantwoordelijk. De chief privacy officer is is wel meer van de uitvoering. Het is het het zijn allemaal best wel best wel hele hele hele dunne lijntjes. Ik zeg of ik iets wel of niet conform de AVG vind of hoeveel hoeveel ik vind dat het afwijkt.
Diana:Maar ik zeg niet wat er moet gebeuren.
Renco:Maar je geeft wel het signaal dat er iets moet gebeuren. Ik geef
Diana:aan dat er iets moet gebeuren, maar ik geef niet aan wat er moet gebeuren. De chief privacy officer geeft veel meer aan aan de proceseigenaar wat er moet gebeuren en de proceseigenaar moet zorgen dat het gebeurt.
Renco:Ja ja, precies.
Diana:Ja. Dus dus ik ga zo goed als niet over de over de inhoud en de uitvoering. Ik ik kijk eigenlijk alleen maar naar de AVG, dus in in het hele bouwwerk is mijn taak het meest abstract zou je kunnen zeggen.
Renco:Ja, ja. En in jouw takenpakket, in het bouwwerk, zit ook het onderdeel informatiebeveiliging. Ja. Ben jij nou ook een Mag ik jou ook een interne toezichthouder informatiebeveiliging noemen? Of zeg je dan nou, daar voel ik niet helemaal senang bij als je me zo hoopt?
Diana:Nee, ik denk dat dat te veel eer is. Want ik ben niet zo heel erg handig met IT. Ik denk ook niet dat ik een toezichthouder informatiebeveiliging ben. Informatiebeveiliging is een onmisbare bouwsteen voor de bescherming van privacy. Dus ook daar kan ik kan ik erop wijzen dat er iets moet gebeuren.
Diana:Dat informatiebeveiliging nodig is. Dat er een toets moet worden gedaan, dat er een biotoets moet worden gedaan, dat er überhaupt iemand bij betrokken moet zijn vanuit informatiebeveiliging. Welke maatregelen daar vervolgens worden genomen. Dat ja daar ga ik niet over. Ik heb er ook werkelijk helemaal geen verstand van.
Diana:Maar privacy kan wel kan wel het zetje zijn dat nodig is om om informatiebeveiliging in beeld te krijgen.
Renco:Het kan daarbij helpen dat mijn privacy natuurlijk heel duidelijk dat wettelijk kader hebt. Die AVG die is vastgraven, dat is die, dat is een wet. Ikzelf ben voornamelijk actief op het gebied van informatiebeveiliging en ik kijk soms wat eens jaloers daarnaar, omdat ik dan denk, ja, daar had ik ook maar zo'n onbetwistbare wet die ten grondslag lag aan wat ik doe. Want ja, als iemand echt niet wil, dan kan je hem zeg maar daar nog mee om de oren slaan, om het maar zo te zeggen.
Diana:Bij privacy kan je dat dus. Als er persoonsgegevens worden verwerkt, dan kan je iemand met de AVG om de oren slaan als het gaat om security. Want een een adequate security is een vereiste. Ja. Het is en de eerste vraag is dus heb je dat in kaart gebracht?
Diana:Heb je vastgesteld wat er nodig is?
Renco:Wat adequaat is?
Diana:Wat adequaat is. Hoe hoe hoog het niveau moet zijn. Ja en dan maakt de AVG ook een aantal voorbehouden. Het hoeft niet als het heel erg duur is of als het heel erg ingewikkeld is, maar goed dat dat is allemaal betrekkelijk. En als je ziet wat wij IT technisch tegenwoordig allemaal doen en normaal vinden, dan is ook op het gebied van security natuurlijk heel veel mogelijk.
Renco:Zeker, ja.
Diana:En hoe hoe hoger je ambities worden op het gebied van IT, hoe meer jij via IT wilt wilt regelen, ja, des te hoger ook de lat is die voor jezelf creëert als het gaat om de beveiliging daarvan. Je kunt niet zeggen ik wil een super ingewikkeld IT-systeem en een wereldwijd toegankelijke website en weet ik veel, maar ik wil niks aan beveiliging doen.
Renco:Nee, die gaan aan hand in hand. Ik zou ook zeggen dat hoe meer je digitaliseert, meer je ook op soort ethische vragen komt. Ik bedoel privacyvragen rondom het combineren van gegevens die dan weer in gezamenlijkheid weer allerlei nieuwe vragen opwerpen. Dus mag het? Willen we het ook?
Renco:Schuif wat meer op naar de ethische.
Diana:Ja en ook naar naar naar datagestuurd werken.
Renco:Ja dat zou dat ja zo'n voorbeeld ja.
Diana:Dat klopt. Ik denk dat dat allemaal vragen zijn die vraag zouden voor mij in eerste instantie vanuit vanuit het dagelijkse werk van de gemeente moeten komen en niet zozeer vanuit IT. Als het vanuit IT komt dan gaan we het doen omdat het kan.
Renco:Ja, dus wat is leidend eigenlijk? Ja,
Diana:vind dat de inhoud leidend moet zijn en als we datagestuurd willen werken. Wat ik overigens, dat lijkt me heel goed. Het lijkt me veel beter om om beleid te baseren op data dan om beleid te baseren op de wens van de dag of omdat het vandaag dinsdag is.
Renco:Ja, het is vandaag dinsdag.
Diana:Ja, het is vandaag dinsdag. Ik denk dat het veel logischer is om om je beleid te baseren op data, om te kijken wat werkt, om te kijken waar je naartoe wilt, wat daarvoor nodig is, maar
Renco:Ik voelde hem aankomende maar.
Diana:Ja, het het logisch. En het is nog helemaal niet zo makkelijk om dat uit data te halen natuurlijk. Ik bedoel we hebben wel heel veel data, maar die geven zelden een eenduidig antwoord. Maar ik denk dat vooral de vragen vanuit de de ja de taken van de gemeente dat die daarbij leidend moeten zijn. Ja.
Diana:Ja. En dan dan zit je ook al veel meer op het spoor van de AVG waarbij de eerste vraag is van mag het? En de tweede is het noodzakelijk? Nou als je niet vanuit je eigen eigen eigen taken werkt, ja dan is het ook niet noodzakelijk.
Renco:Ja, dan stopt het eigenlijk daar al.
Diana:Eigenlijk stopt het daar dan al. Dus als je vanuit de technische mogelijkheden gaat denken en en gaat proberen om om een wonderbaarlijke al omvattend antwoord uit de data te toveren, ja dan dan ben je niet AVG proof bezig.
Renco:Ja, nou ja, ik zie er sowieso wat voorbeelden van afgelopen jaren in mijn hoofd nu waarvan ik denk ja, die zaten meer in de hoek omdat het kan. Ja. Omdat de techniek dat biedt. Ik snap ook dat dat heel erg ja een soort labrappool Ja precies. Terwijl ik ben dan ook wel eens de aanwezigen die dan wat ongemakkelijke vraag stelt van ja maar met welk doel dan?
Diana:Is dat een voorbeeld wat je kan doen of wordt dat een
Renco:Ja, ik kan het wel in abstracte termen noemen. Het was in een stad waar eigenlijk geëxperimenteerd werd in een stadsdeel met allerlei sensoren en die dan op een gezamenlijke plek in een soort control room-achtige setting bij elkaar kwamen en daar gemonitord werden. Dat leidde tot allerlei interesse vanuit allerlei afdelingen die eigenlijk probeerden aansluiting te vinden met hun proces op die control room omdat dat een potentie bood om tot ontsluiting van allerlei andere interessante gegevensbronnen.
Diana:Dan zijn de oplossing op zoek naar een probleem.
Renco:Ja, het is een kwestie van tijd. Daarbij dacht ik dus heel erg van: hier wordt gezocht inderdaad naar een excuus om data met elkaar te verbinden.
Diana:Want wat kunnen we ermee?
Renco:Ja, onder het mom van ja, dat geeft ons breder inzicht. Ja, denk ik allemaal oké, allemaal mooi, Maar als je dan doorvraagt, ja maar bij welke taak hoort dat dan? Ik bedoel, is dat dan ergens noodzakelijk voor? Of lukt het dan nu niet? En ja, dan wordt het dan heb je in de gaten dat je eigenlijk een ongemakkelijke vraag stelt.
Renco:Dus dat dat
Diana:Ja, terwijl tegelijkertijd zijn de taken van de gemeente een toekomst in breed. De gemeentes bewegen zich ja op bijna elk terrein van het dagelijks leven. Dus ik zou me heel goed kunnen voorstellen dat je met datagedreven werken, als je de juiste vragen stelt
Renco:Misschien doe wel je huiswerk doen.
Diana:Ja, dat je daar best wel meerwaarde uit zou kunnen halen.
Renco:Ja. En als jij nou als FG moet jij je soms uitspreken over dit soort nieuwe initiatieven vormen van datagestuurd werken bijvoorbeeld, om daar even bij te blijven. Als jij nou een top 3 of een top 5 items moet noemen zeg nou als ik als FG zo door de ogenharen naar een nieuw initiatief kijk dan zijn dit de 3 dingen waar ik het eigenlijk eerst al op fileer. Ja, dat is een beetje populair geformuleerd, maar waar je als eerste naar kijkt en denkt van oké dit heeft kans van slagen maar als het hier op deze 3 punten al niet of ontoereikend is, hoef ik het de rest van het voorstel of de rest van het voornemen niet eens Dan kan ik tijd beter in andere dingen steken. Heb je zo een top 3 van punten?
Diana:Ja, ik ben jurist. Ik benader het ook vrij juridisch. Dat is voor mij het makkelijkste. Dus het eerste is doel en grondslag. Wat wil je ermee en mag je dat als gemeente?
Diana:Ja. En dat is dus je grondslag. Waar waar vinden we die grondslag? Is er een wettelijke grondslag op basis waarvan je deze taak uitoefent? Dat is voor heel veel initiatieven een totaal struikelblok.
Diana:Noodzaak en proportionaliteit. Als je het mag heb je dan al deze gegevens nodig en is het nog een beetje in verhouding? Ik denk dat dat eigenlijk wel de belangrijkste zijn.
Renco:Het is eigenlijk raar dat we die eerste trick hem dan even van je zegt dat wat je wil, waar vindt dat zijn oorsprong? Dus het doel en ook de grondslag. Nou hebben we natuurlijk over die AVG-grondslagen en als overheidsorgaan moet je je denk ik vaak beroepen op die grondslag publiekrechtelijke taak. Is het een toebedeelde taak aan lokale overheid?
Diana:Is er een wet?
Renco:Is er een wet die zegt dat je als gemeente Dat jij
Diana:dat doet.
Renco:Precies. Het is toch eigenlijk vreemd dat veel dingen dan kennelijk zo door jouw carrière heen dat gaat niet specifiek over de gemeente Rotterdam voor de duidelijkheid maar dat het dan toch sneuvelt zo'n idee terwijl ik denk, ja, die vraag zou zo'n opdrachtgever of een projectleider of hoe je het ook maar wilt noemen, toch nog redelijk eenvoudig zelf moeten kunnen beantwoorden.
Diana:Dat is wel heel grappig, want wat je dus eigenlijk door die AVG ziet is dat de taakopvatting van de overheid enorm verruimd is. Ik had het vanochtend bij de lunch met mensen over over Amerika waar mensen bij alles roepen nee, willen geen overheidsinmenging. Nou daar staan we in Nederland heel anders in. Ja. En we hebben een hulpvaardige overheid En en de overheid is daardoor heel vaak geneigd om te denken van nou ja, als ik me in in dit domein bevind, weet ik veel jeugdhulp, dan is het misschien beter om bijvoorbeeld veel preventiever te werk te gaan.
Diana:We willen een aantal dingen voorkomen en binnen een paar stappen heb je dan een taak voor jezelf geformuleerd waar waar geen wettelijke grondslag voor is.
Renco:Ja, dus omdat je al omdat je al naar voren schuift eigenlijk hè, daar bedoel ik mee in plaats van dat je reageert op iets wat zou wat gebeurt, ga je eigenlijk reageren op ja, op iets wat zou kunnen gebeuren.
Diana:Ja, en en dat is ook weer niet zo gek, want dat is natuurlijk ook heel vaak wat er wat er wordt gevraagd van de overheid. Hoe heeft u het kunnen laten gebeuren, dat?
Renco:Ja, of kostenbesparing, zou ook nog kunnen.
Diana:Ja, kostenbesparing als we nou voorkomen dat
Renco:mensen nu Precies, ja, dat kost weliswaar ook geld, waarschijnlijk dan minder dan
Diana:Als het misschien minder geld en
Renco:dan dan dan nou dan heb je dus
Diana:een nieuwe taak voor jezelf gecreëerd waarvoor die grondslag er niet is. Ja. En ik denk dat heel veel van die van die stappen ook voortkomen uit de maatschappelijke vraag. Waarom voorkomt de overheid niet dat verwarde mensen op straat belanden? Weet ik
Renco:veel Is dat een taak van de overheid? Ja.
Diana:Ja, nou ja goed dat daar en en voor de privacy is
Renco:wel dus waar we naar
Diana:moeten gaan kijken. Van van is dat wel een taak van de overheid? Ja. Je kunt taken ook soms wat ruimer uitleggen.
Renco:Er zit wel wat ruimte in.
Diana:Er zit zeker wat ruimte in. Het is niet zo heel erg digitaal. Maar ja soms soms is er gewoon dan is het gewoon geen overheidstaak. En dan ja soms denk ik wel eens van het verbaast me dat mensen lijken te denken dat ze bij de overheid zijn om hun eigen hobby's te beoefenen.
Renco:Ja. Dus we hebben het doel, grondslag en noodzakelijkheid en proportionaliteit noemde je. Ja. En dan ben ik dan toch even benieuwd hè. Dus als we dat lijstje nog zo verder zouden aanvullen, waar staat informatiebeveiliging of staat die helemaal niet op het lijstje?
Diana:Nou ja, informatiebeveiliging is geen geen verwerkingsdoel. Het is een voorwaarde. Dus je eerste vraag was van hoe hoe toets jij een een een verwerking? Dus mijn eerste vraag is eigenlijk mag deze verwerking er zijn? Ja.
Diana:Dan valt een deel direct in de prullenbak.
Renco:Laten we veronderstellen dat het een heel goed idee was.
Diana:Ja stel dat het een hartstikke goed idee is. Nou en zelfs die nozakken die proportionaliteit die die bieden hier ook al een beetje ruimte. Je mag gegevens alleen verwerken als ze noodzakelijk zijn om een doel te bereiken. Je moet niet overmatig gegevens verwerken en Je moet ook aan dataminimalisatie doen. Je moet voorkomen dat gegevens worden verwerkt als je het ook wil zonder zou kunnen, of je moet zorgen dat ze zo snel mogelijk verdwijnen.
Renco:Is dat dataminimalisatie dan niet hetzelfde als de noodzakelijkheid?
Diana:Nee niet helemaal, want wat je bijvoorbeeld zou kunnen doen is je gebruikt gegevens maar als je ze hebt gebruikt voor je datadoel anonimiseer je ze. Het voordeel daarvan is dat ze niet meer kunnen lekken. Je kunt ze ook niet hergebruiken, zodat je als je later nog een nog interessantere vraag bedenkt dat je terug kan gaan naar de database, kan zeggen van: wij hadden hier toch gegevens over, kunnen we die nog een keer verwerken?
Renco:Dit ga je dan onder data-minimalisatie. Dat kan, ja. Dus ze zijn in beginsel wel noodzakelijk voor het behalen van het doel van de verwerking. Ja. Maar je minimaliseert eigenlijk daarna de Ja.
Diana:Of dingen als, wat ook dataminimalisatie is, in plaats van te vragen wat is uw geboortedatum?
Renco:Dan zeg je: Valt u
Diana:in de categorie 35 tot 45 of weet je, is allemaal afhankelijk van wat je wilt bereiken.
Renco:Ja, dus je legt nog steeds leeftijd vast,
Diana:niet tot op de dag en de minuut exact. En bij alles is dan de vraag van wat wil je nou eigenlijk bereiken? Wat heb je nodig? En en vaak is privacy ook een heel gesprek met met met mensen die een plan hebben over hun achterliggende gedachte. Wat wil je nou eigenlijk precies bereiken?
Diana:Waarom ga je deze persoonsgegevens verwerken? Waar moet dat dan toe leiden? En dan terug pratend kun je bij heel veel dingen zeggen nou maar dat heb je niet allemaal nodig. Het kan grofmaziger of je hoeft die gegevens niet tot in de zevende generatie te bewaren. Als je gedaan hebt wat je wil doen gooi je het weg, anonimiseer het of weet ik veel.
Diana:En wat is de plaats van security? Security is is een voorwaarde. Die die die zich ja, het is een heel het is een heel ingewikkeld verhaal. Nou ja. Security gaat zowel over het het verwerven van de gegevens, waar halen we ze vandaan, het verwerken van de gegevens, stuur je ze van a naar b via langs een digitale weg.
Renco:Ja, wat doen we ermee, hè. Het ontvangen van
Diana:de gegevens, het opslaan van de gegevens, het bewerken van de gegevens en uiteindelijk ook het vernietigen van de gegevens. En het het het gaat ook allemaal over informatiebeheer, dus het is.
Renco:Ja daar moest ik ook aan denken ja toen je dit
Diana:Ja het
Renco:is het
Diana:is zelden alleen maar een een hele technische vraag. Het het gaat ja en je krijgt er langzamerhand het het vraagstuk breidt zich ook steeds verder uit weet je. Je hebt bijna altijd te maken met externe leveranciers. Ja. Je hebt heel vaak dat hele dat hele vraagstuk van begin tot eind allang niet meer in de hand.
Diana:Of waarschijnlijk zitten je gegevens in een cloud, dan gaan ze naar een databewerkingsprogramma. Waarschijnlijk zit het zou zomaar kunnen dat er een externe data-analist aan wordt gezet, dat is ook weer een externe partij of misschien heb je die mensen wel intern. Er zijn zoveel partijen bij betrokken en op al die stukken
Renco:Maar is dat voor jou niet onprettig dan? Ik bedoel het wordt zo diffuus als ik jou zo dit hoor uiteen hoor zetten, denk ik nou ga er maar aanstaan als FG om dan ook daar nog iets van te vinden te te te
Diana:Ja, nou het is het goede nieuws is ik zit nooit op mijn mening verlegen. Ik vind altijd wel wat. Voor mij is het essentieel dat mensen het heel goed kunnen uitleggen. Dus dus heel veel dingen ja het het mensen moeten een analyse maken van hun hun gegevensverwerking. Een Data Protection Impact Assessment, een DPA.
Diana:Dat is een een evaluatie van wat hun doel is, wat hun grondslag is, hoe ze het gaan doen. Ja. Welke gegevens
Renco:Eigenlijk jouw lijstje van net, die wordt
Diana:Eigenlijk mijn hele lijstje, dat wordt dan zo'n vragenlijst. Welke partijen daarbij betrokken zijn, welke afspraken ze daarbij gemaakt hebben. En nou ja, dat dan dan dan gaan ze dat uitleggen. En het is ook heel vaak een formele toets. Is er een externe partij bij betrokken?
Diana:Ja. Heb je een verwerkersovereenkomst met die partij afgesloten? Ja, heel goed. Mogen we audits uitvoeren? Ja, prima.
Renco:Ja.
Diana:Volgende vraag. Dan ga ik niet meer kijken wat die partij dan doet of en en en ja ik ik sla ook vaak aan als mensen het me niet kunnen uitleggen. Ja. Als er een verhaal komt waarvan ik denk ik kan het niet meer volgen. Vaak is het dan niet goed.
Diana:Vaak is het dan te ingewikkeld geworden of het is niet goed uitgewerkt, zodat ze het gewoon niet op goede manier kunnen uitleggen. En dan ja waarschijnlijk zijn er dan een paar vragen niet goed beantwoord.
Renco:Maar als ik dan even terug naar dat security. Als ik het zo beluister dan denk ik bij nieuwe ideeën, nieuwe initiatieven aan de voorkant van vernieuwing, vernieuwingsopgave, vernieuwingsdingen. Kijk, trek mezelf een beetje ongelukkig uit, maar lijkt het mij best lastig en misschien hoort het er ook wel niet bij om als FG daar al ook een vorm van toezicht uit te oefenen op informatiebeveiliging. Omdat je eigenlijk nog daarvoor zit, wat jij ook zei we hebben het nog over doel, grondslag, professionaliteit en verderop is dan security natuurlijk een voorwaarde voor als het allemaal groen licht krijgt, is security een voorwaarde. Maar om als FG dan enige vorm van toezicht uit te kunnen oefenen op informatiebeveiliging, dat kan je dan eigenlijk pas later doen.
Diana:Ja, maar ik denk ook dat mijn toezicht op informatiebeveiliging is veel minder inhoudelijk dan mijn toezicht op privacy. Met privacy kan ik redelijk meekomen. Bij informatiebeveiliging ben ik afhankelijk van deskundigheid van andere mensen met een heel ander soort deskundigheid. Ik denk dat voor mij is het daarbij vooral belangrijk zijn de juiste vragen beantwoord. Dus voor informatiebeveiliging is de bio-toets gedaan.
Renco:Dus de mate van adequaatheid.
Diana:De overheid heb je heb je heb jij de stappen gezet die je die jij moet kunnen zetten zodat jij kan beoordelen hoe de beveiliging eruit moet zien.
Renco:Dus daar leun je eigenlijk minder op inhoudelijke expertise zoals je die veel meer op het gebied van privacy Maar je leunt eigenlijk meer op het proces. Je toetst of het geëigende proces, dat al die stappen die we daar samen voor bedacht hebben allicht nog zonder jou waarschijnlijk, omdat je dan niet zo maar in ieder geval hebben we daar intern een route voor. En jij checkt eigenlijk: is dit initiatief door die hoepels heen gesprongen, om het even zo te zeggen. Dat geeft jou
Diana:En dan is het de verantwoordelijkheid van de mensen aan de security kant, die daar wel een inhoudelijke orde over kunnen vellen of op de vraag het goede antwoord gegeven is.
Renco:Maar wil jij niet dan soms gewoon, ik probeer toch een beetje te kietelen, dat je zegt, nu nu wil ik het gewoon een keer zien. Nu wil ik het gewoon een keer zien.
Diana:Er valt vaak helemaal niks
Renco:te zien. Laat het mij zien, laat het mij zien.
Diana:Er valt vaak helemaal niks te zien. Nee, ik vraag zelden om evidence. Ik denk dat de de verantwoordelijkheid voor toezicht op security ligt veel meer bij de CISO. Die zou die evidence op orde moeten hebben. Net zo net zo goed als als bij privacy.
Diana:RNDPIA moet liggen, er een verwerkersovereenkomst moet liggen, die vraag ik op. Ik heb nog nooit een security rapport gevraagd want dan krijg ik dingen te zien waar ik waar ik niet zoveel mee kan, maar dat is aan de CISO om te zeggen van oké dus jij zegt dat de security op orde is, ik ga over de security hier, laat maar zien, en slaat dat slaat dat ergens op? Heb je een partij daarna laten kijken die die die goed staat aangeschreven, Zijn de uitkomsten logisch? Want want ja, ook bij bij bij DPIA's en bij verwerkersovereenkomst, ja soms blader je er doorheen en dan denk je van zijn dingen niet ingevuld.
Renco:Ja of er is gebakken lucht of zo. Het is
Diana:gebakken lucht of hier staat iets, ik snap er helemaal niks van. Leg het nog eens uit.
Renco:Moet ik het dan zo zien dat de CISO eigenlijk in het Rotterdamse, maar waarschijnlijk ook bij andere gemeenten, de CISO de evenknie is van de chief privacy officer en dat jij als toezichthouder, interne toezichthouder, gegevensbescherming de AVG kijk jij primair natuurlijk langs de bril van privacy. Daar hebben het net over gehad. En je kijkt ook zijdelings, maar dan weliswaar op een andere manier naar security. Maar is dat de constellatie? Dat jij eigenlijk als een soort paraplu toezichthouder weliswaar op verschillende manieren naar beide domeinen kijkt?
Diana:Dat is wel een grappige vraag. Zo zou je het misschien kunnen zien, maar ik kijk alleen naar privacy en security gaat over al het andere wat de gemeente ook doet en waar een stekker aan zit zeg ik altijd maar. Dus dat zou betekenen dat er eigenlijk voor security maar voor een heel klein stukje toezicht is en voor een heel groot gedeelte niet. Ik denk, ik ben zelf geneigd om te denken dat de rol van de CISO gemenger is. Dat de CISO zowel een toezichthoudende als een meer uitvoerend.
Renco:Ja, die pakt eigenlijk, om even de analogie naar privacy te maken, die pakt eigenlijk een stuk van het CPO deel, het Chief Privacy Officer deel. Ja. Maar hij beweegt hier ook een beetje in op jouw niveau zou je kunnen zeggen als toezichthouder.
Diana:Dat denk ik wel. Ik denk dat dat het zou zou moeten zijn en dan leg je natuurlijk meteen de vinger op iets wat heel lastig is. In de begin dagen van privacy want want die AVG is uit 2018. Toen toen waren FG's vaak ook veel veel uitvoerender. Het nadeel daarvan is dat je 2 jaar later denkt nou dat heb niet zo handig geregeld.
Diana:En moet je zelf toezicht op gaan houden. En moet je ja, 2 jaar geleden niet zo handig geregeld. Ja. De combinatie uitvoering en toezicht is gewoon heel ongelukkig.
Renco:Er was laatst nog het ombudsman van de gemeente Amsterdam en natuurlijk een brief
Diana:Ja, nou inmiddels zijn we ook verder en wordt ook gewoon echt gezegd van dat dat mag helemaal niet. Je kunt dat helemaal niet met elkaar vermengen. Daar ging het over de samenloop tussen privacy officer en fg. Ja.
Renco:En de ministeries die onlangs besloten hebben om allemaal een CPO aan te stellen. Ja. Die waren er gewoon niet.
Diana:Nee, het en nee, dat klopt. Ministeries hadden die in grote lijnen niet. En daarnaast uitvoering kost ook ontzettend veel tijd. Ik bedoel een plan bedenken dat is, ja, als academici zijn we daar hartstikke goed in, maar een plan uitvoeren dat is een kwestie van jaren en je moet ook steeds terug. Doet het wel wat het moet doen?
Diana:Loopt het allemaal nog wel? Ja, ja. Dus je kunt menselijke wijs die taken al bijna niet combineren, maar ook inhoudelijk gaat dat gewoon niet zo lekker. Dus ik denk eigenlijk dat het misschien een goed idee zou zijn om inderdaad daar ook een soort splitsing te maken tussen uitvoering en toezicht.
Renco:Ja, ik kijk dus ook daar wel eens jaloers. Ik zei al eerder dat ik jaloers was in de zin dat
Diana:Dat jullie
Renco:Ik probeer wel mijn privacykennis altijd bij te houden in de zin dat ik denk dat het in mijn opdrachten ook altijd goed van pas komt als je op dat niveau of op dat gebied ook de nodige kennis meebrengt. Dus ik zei al dat ik jaloers was op dat wettelijke kader wat heel duidelijk richting geeft aan wat een privacyofficer of een FG behoort te doen en wat daar de kaders bij zijn. Maar ook de scheiding die best wel duidelijk is. Daar hebben we misschien een paar jaar over gedaan om te onderkennen dat dat toch echt wel uit elkaar moet. Maar we hebben uitvoering en we hebben toezicht en dat moet je niet met elkaar vermengen.
Diana:Nee, dat wordt niet goed.
Renco:Op gebied van security is dat nog wat diffuser. Dat is niet zo keurig uit elkaar gegaan.
Diana:En dat maakt het heel erg lastig. Je moet je eigen vlees keuren en dat maakt je ook kwetsbaar. Ik bedoel wie heeft daar nou zin in? En mensen zeggen altijd van als je moet anders beschuldigd en je wijst met je vinger wijzen er 3 vingers aan jou. Ja, dat dat is niet fijn.
Diana:En is de volgende vraag van ja en wie moet dat dan gaan oplossen?
Renco:Dus
Diana:ik ik denk eigenlijk dat dat model heel behulpzaam zou zijn, maar ik vind die AVG wel een hele goede wet en ik denk ook dat je dat die AVG hele goede modellen biedt om om op andere terreinen bijvoorbeeld op security toe te passen. Ik denk dat het bij security ook heel handig zou zijn om een register van verwerkingen te hebben waarin je bijhoudt van hè welke maatregelen hebben we dan getroffen, wanneer hebben we dat gedaan, wanneer verlopen de certificaten? Gewoon
Renco:Of contracten? Of uitbesteden?
Diana:Gewoon zo'n heel zo'n heel overzicht, want in beginsel in of in eerste instantie werd de AVG als een soort soort ja zo'n bureaucratisch monster gezien helemaal aan mekaar hing van regeltjes en lijstjes en maar het is een heel handig overzicht. Het het biedt gewoon zoveel het biedt gewoon rust. Je je kunt zien wat je hebt. Je kunt zien wanneer het moet worden herzien of er nog stappen zijn die moeten worden gezet. Dus je kunt in de loop van de tijd steeds planmatiger te werk gaan.
Renco:Nou en dan tot slot misschien nog een aardige vraag dan hoe hebben jullie dat vormgegeven? Al die verplichtingen vanuit de AVG om dit soort dingen allemaal vast te leggen. Dus een overzicht van verwerkingen noemde je al. Verwerkersovereenkomsten. Doel, grondslag.
Renco:Allemaal op het niveau van verwerkingen, DPA's. Hoe hou jij als FG, of allemaal niet samen met de Chief Privacy Officer, hoe hou je daar overzicht in? Hoe heb je dat praktisch vormgegeven?
Diana:Er is een register van verwerkingen, dat zijn processen waarin persoonsgegevens worden verwerkt.
Renco:Kan ik dat gewoon vinden ergens, als willekeurige bezoek?
Diana:Volgens mij kan je dat ook op de website Rotterdam vinden. Dat is dan intern en extern is het niet hetzelfde. Intern staat ook informatie in die niet extern
Renco:op Ja, is een uitgebreidere variant. Dat is
Diana:een uitgebreidere variant. Er is een overzicht van de DPIA's die zijn gedaan. Zodat we kunnen zien is dit proces al beoordeeld. Vervolgens kan je zien welke risico's er open stonden.
Renco:Maar is dat een lijstje in Excel dan? Of staat dat ergens bij iemand in de mailbox? Nou
Diana:dat is iets wat de CPO bijhoudt. Dat dat dus dat zijn inderdaad gewoon lijsten. Dat is helemaal niet zo vreselijk hightech. Het is gewoon mensenwerk, weet je. Er is een DPIA gedaan.
Diana:Nou die die moet je dan opsturen zeg maar. Ja. En dan kan er een aantekening worden gemaakt. Over dit proces is een DPIA gedaan. Tegenover dat we niet weten wat we niet weten als er processen zijn, en die zijn er, waar geen DPIA's van zijn gemaakt.
Diana:En ik heb nog nooit van dat proces gehoord.
Renco:Ja, dan blijven zonder de radar eigenlijk.
Diana:Dan blijven zonder de radar en dan en dan kom je weer terug bij bij de verantwoordelijkheid van de proceseigenaar. Eigenlijk is het de bedoeling dat in elk cluster uiteindelijk op op managementniveau dat je gewoon weet wat er in dit cluster gebeurt en dat er ook voldoende mensen zijn die zeggen daar worden persoonsgegevens verwerkt, dus dan moeten we zo'n analyse op doen. Ja. Hebben we de beveiliging wel op orde? Zijn die analyses nog actueel of zijn er intussen heel veel dingen veranderd?
Diana:Moeten we het opnieuw doen?
Renco:En daar zie je natuurlijk ook wel ons gezamenlijke belang in de zin hè, de privacy is een andere bril dan security. Er zit natuurlijk wat overlap in, maar hier komen we elkaar natuurlijk. Hier zijn we beste maatjes, omdat we eigenlijk dat allebei, en dan zou ik nog zeggen dat informatie beheerders ook aan tafel moeten komen, die hebben dat belang ook. Ja. Uiteindelijk willen we allemaal
Diana:Het is eigenlijk een soort soort soort driemanschappers op driehoek, informatiebeheer, privacy security met met hele vergelijkbare belangen. Uiteindelijk voor de gemeente en uiteindelijk voor de burgers om te zorgen dat dat de gegevens die we verwerken dat we dat goed doen dat we dat veilig doen en ja het is niet meer de periode dat je een ladekast opentrok en daar zat een map in en alleen degene die die map had kon lezen wat erin stond. Nee het staat nou op een server in Ierland en weet ik veel. De informatie kan zich ontzettend snel verplaatsen dus. En voor een deel is het ook geloof.
Diana:Ik bedoel je moet als je een afspraak met de partij gemaakt hebt, moet je gewoon geloven en vertrouwen dat die zich aan die afspraak houdt. Je moet het ook toetsen.
Renco:Ja. Moet af en eens
Diana:een audit doen, maar je kan het
Renco:niet zien. Want je zei net van nou laat
Diana:maar zien. Maar er is in deze wereld ontzettend veel niet te zien. Ook wel dingen wel te zien. Je kan me een certificaat laten zien, maar zelfs dan is het nog geloof.
Renco:Ja, ja, ja. Dus dan is het, dan handel je eigenlijk totdat het tegendeel bewezen wordt hè, dan ga je ervan uit dat het in orde is dat Dus je
Diana:prik erin, je doet een test, je kijkt wat er gebeurt als je op een bepaald knopje drukt.
Renco:Er wordt ook een test uitgevoerd ook.
Diana:Je kan het systeem proberen te laten hacken. Je kan eens wat proberen.
Renco:Ja, wauw. Deze podcast heet Keep Talking. Dat zouden we nog een tijdje volhouden denk ik. Ik wel in ieder geval. Toch wil ik dit gesprek afronden nu en heel erg bedanken voor je inzichten en hoe jij dat aanpakt.
Renco:FG zijn voor zo'n grote stad als gemeente Rotterdam. En tot slot dan nog 1 korte vraag ruil je nou over een tijdje nog door naar een volgende stad of hou je het nog wel een tijdje vol hier?
Diana:Ik hou het hier sowieso een tijdje vol, maar ik vond het een hele goede manier om ergens binnen te komen, dus ik vind het eigenlijk een hele goede manier en G4 steden de grote 4 of Eindhoven, Groot 5. Ja. Die kijken heel vaak naar elkaar. Ik denk dat we elkaar een enorme dienst zouden bewijzen door dit vaker te doen zodat we ons meer op elkaar afstemmen. We voeren uiteindelijk in grote lijnen allemaal dezelfde wettelijke regelingen uit.
Renco:Ik hoop dat jij deze opname dan actief zult verspreiden onder je collega FG's en misschien dat ze jouw oproep ter harte nemen.
Diana:Wie weet. Dank je wel.
Renco:Yes, en dat was alweer de eerste aflevering. Het zit er weer op, maar niet getreurd. Volgende maand ben ik er uiteraard weer met een hopelijk leuke, interessante, nieuwe, vernieuwende gast. Dus abonneer je zodat je niks mist en graag tot de volgende.
