#14 - DPIA's maken, opvolgen en leuk gaan vinden (met Gosse Bijlenga)
Hey welkom en leuk dat je weer luistert naar Keep Talking. Je bent beland
Speaker 2:in aflevering 14 en in Keep Talking ga ik iedere aflevering, dat is elk maand, in gesprek met iemand over het hoe. Het wat kun je overal vandaan halen, maar het is wat mij betreft veel interessanter om over het hoe te praten en dat doe ik in deze aflevering met Gosse Bijlinggang. Gosse is in de privacy wereld bij de lokale overheid geen onbekende. Je komt hem op voorraad tegen iedereen die lastige vragen stelt die kan rekenen op een deugelijk en degelijk antwoord van Gossen en dat maakt hem denk ik tot een gewaardeerd collega slash consultant. Daarom vond ik het ook erg leuk dat hij met mij wilde podcast over het onderwerp, jawel, de Data Protection Impact Assessment ofwel gewoon eenvoudigweg een risicoanalyse op het gebied van privacy.
Speaker 2:En om te voorkomen dat het allemaal zeer strak blijft, komt Gossen ook met een zeer interessant onderwerp. Een DPA waar hij op dit moment aan werkt en ook best veel over kan vertellen. Een DPA die ook op een later moment beschikbaar komt voor alle gemeenten in Nederland. Nou, als dat geen teaser is, dan weet ik het ook niet meer. Ik wens je veel luisterplezier.
Speaker 2:Tegenover mij zit een hele leuke gast die met enthousiasme ja zei op mijn uitnodiging om een keer samen met mij te podcasten, maar ja, het leuke is natuurlijk als een
Speaker 3:gast zichzelf even voorstelt, dus tegenover mij zit Trommelgeroffel. Gosse Wijnga zitten tegenover je, Remco.
Speaker 2:Gosse, welkom.
Speaker 3:Yes, dank.
Speaker 2:Welkom in Zwolle ook. We nemen deze aflevering op in Zwolle dat dat niet jouw hometown is, maar het zit wel een beetje in de regio, toch?
Speaker 3:Ja, ja,
Speaker 2:Mooi. Dus het was prima om even terug te keren.
Speaker 3:Ja, ja, ja, ja, ja, nee zeker.
Speaker 2:Hey Gosse, jij bent net als ik redelijk actief in de bij de lokale overheid ofwel bij gemeenten. Ik zit wat meer aan de kant van security. Ik zou zeggen dat jij toch wel wat meer aan de kant van privacy zit. Misschien is dat zelfs nog een understatement. En we hebben voor vandaag ook een privacy onderwerp gekozen waar nogal in de praktijk veel tijd en aandacht in gaat zitten.
Speaker 2:Misschien soms wel te veel tijd. Ik zeg niet dat dat mijn gedachtes zijn, maar nee, dat is ook wel eens mijn gedachten in alle eerlijkheid. En dan gaan we het hebben over Data Protection Impact Assessments ofwel DPA's. Waarom heb jij nou dat onderwerp meegebracht voor deze opname?
Speaker 3:Kijk, de AVG die gaat over een verwerking van persoonsgegevens en een DPA is een heel mooi middel om ervoor te zorgen dat we de gegevensverwerking in kaart brengen om daar vervolgens de juiste risico's te identificeren en mitigerende maatregelen te nemen. En het verplicht je eigenlijk om over een nieuw project of een nieuwe verwerking of een nieuwe applicatie om erover na te denken.
Speaker 2:Maar waarom is dat nou een leuk onderwerp voor een podcast? Je hebt van alles mee kunnen nemen.
Speaker 3:Ja, dat is inderdaad waar maar een DPIA verplicht je om na te denken over alle onderdelen van de AVG.
Speaker 2:En maakt het dat dan leuker?
Speaker 3:Ja, zeker zeker. Dat maakt het heel erg divers.
Speaker 2:We hebben geen video, maar je veert helemaal op dus.
Speaker 3:Ja, ja. Nee, maar in een DPIA kan je als je ik ben echt vakidiote, ik probeer alles te volgen en overal van op de hoogte te zijn, maar in een DPIA kan je je ei kwijt. Oké.
Speaker 2:Daar kan je echt de vakken die je hoort uithangen.
Speaker 3:Ja, ja. Ja, ja, ik zie
Speaker 2:jou ook regelmatig op fora of op LinkedIn reageren op stekelige of netelige kwesties. Ja, het gaat mij ook wel eens boven de pet, omdat ik natuurlijk niet zo thuis ben in allerlei wetteksten. Maar het klinkt ziet er altijd wel nuchter en ja, antwoorden worden over het algemeen voor zover ik dat kan zien ook wel goed ontvangen.
Speaker 3:Ja, ja, ja, gelukkig wel. Nee, dat vind ik leuk.
Speaker 2:Want waar zit het dan dan in denk je?
Speaker 3:Nou, toch wel een beetje de vakidioot die ik ben. Ik ik wil soms een aantal dingen echt tot achter de ver achter de kom uitzoeken. Dus als de dingen onduidelijk zijn en dan heb ik altijd een aantal projecten lopen of een paar heilige huisjes die ik heel graag omver wil helpen. En dan zoek ik dingen echt tot het naadje uit en dat ik daarvoor de memorie van toelichting van de van de ANWB, de Algemene Wet bestuursrecht uit 19 91 even moet opzoeken, dat schuw ik dan niet.
Speaker 2:Oké. Ja, want net voordat we de opnameknop indrukte, toen zei je van ja, ik ben eigenlijk een een boer die rechten gestudeerd heeft. Ja, klopt. Dus dat dat is nog steeds wel een typerende omschrijving van?
Speaker 3:Ja, ja, nee en dat klopt ook. Nou ja, ik kom ik kom van het platteland. Ik heb altijd met dieren gewerkt thuis en
Speaker 2:Want jouw ouders hadden ook een boerderij?
Speaker 3:En hobbyboer. Oké. Dus we hadden dus we hadden van alles 2 zeg maar. Het kostte geld in plaats van dat het geld oplevert.
Speaker 2:Zoals het een echte hobby boer betaamt, hè?
Speaker 3:Ja, ja. Nee, dus ik ben heel erg pragmatisch. Maar ik vind het inderdaad ook leuk om soms echt op het scherpst van de snede een discussie te voeren. Ik vind discussiëren leuk en ik vind het leuk om ergens mijn tanden in te zeilen te zetten en niet meer los te laten. Ja.
Speaker 3:En dat heeft dus, en dat kan in de AVG. Het maakt niet uit welk onderwerp of welke verwerking je hebt of of of het nou om het sociaal domein gaat of openbare orde en veiligheid. Je kan echt ergens je tanden inzetten. Ja, en dan ga ik los. Dan kan ik los gaan.
Speaker 3:Dus ik ben ben soms heel ik ben heel vaak gewoon echt heel erg pragmatisch, maar op het scherpst van de snede als het moet.
Speaker 2:Hey en jij bent niet in vaste diensten voor een gemeente. Dus je bent partner bij een bureau?
Speaker 3:Ja klopt, ik ben sinds een aantal jaren partner bij L2P, een consultancybureau gericht op informatiebeveiliging en privacy. En vanuit die rol doe ik heel veel binnen de lokale overheid, de gemeente, gemeenschappelijke regelingen.
Speaker 2:En word je dus ook al ingehuurd om bijvoorbeeld lastige DPA's te maken?
Speaker 3:Ja, dat komt vrij vaak voor de laatste tijd inderdaad. Voornamelijk als het gaat om gemeente overstijgende DPS.
Speaker 2:Oké, nou je hebt vast ook een of 2 voorbeelden in je achterhoofd waar ik graag met je over doorpraat, maar waar ik zelf nog wel eens last mee heb is zo'n DPA. Daar begin je dan mee. Je hebt een of ander format, de informatiebeveiligingsdienst of de Rijksoverheid heeft een eigen format. Er zijn ongetwijfeld nog meer aanbieders. Jullie zullen misschien vanuit het adviesbureau weer een eigen format hanteren, Maar goed, dat geeft in ieder geval aan waar je allemaal langs moet zullen we zeggen in zo'n DPA.
Speaker 2:Maar 1 van die eerste vragen is dan wat mij betreft, waar hebben we het eigenlijk over? Waar praten we over? Dus bij een IT auditwaarde zetten we het hekje. Wat zien we als binnenscope en wat niet? En waarom dan ook niet?
Speaker 2:Dus waarom is het ook logisch om juist daar het hekje te zetten? En dat vind ik bij een DPA nog wel eens lastig omdat mensen snel geneigd zijn, ook ik meer als security man, denk veel vanuit informatiesystemen, dus als je niet oppast ga je heel snel ook vanuit een informatiesysteem een DPA aanvliegen. Terwijl vaak een verwerken van persoonsgegevens iets ander abstractieniveau dan een informatiesysteem waarin gegevens worden opgeslagen. Dus kan jij iets vertellen over hoe jij in jouw werk dat eerste hoofdstuk zeg maar, waar praten we over, waar begint het en waar eindigt het, hoe je dat aanpakt?
Speaker 3:Ja, ik moet wel zeggen dat is ondertussen wel, ja nu ik een paar jaar verder ben een heel stuk makkelijker. Want ik heb inderdaad ook wel behoorlijk wat fouten in het verleden gemaakt met een verkeerde scope van een DPIA. En hoe vaker je een DPIA hebt gedaan, hoe makkelijker het wordt om een scope te bepalen. Want neem bijvoorbeeld een zaaksysteem. Hoe bepaal je de scope van een zaaksysteem?
Speaker 3:Ja. Want als je het op de verwerking gaat gooien dan heb je 600 processen. Ja. En dan denk je ja
Speaker 2:Dat hangt meteen al vast eigenlijk.
Speaker 3:Loop je compleet vast. Maar ook als het gaat om de grote softwarepakketten gaan we ze een DP'er doen op een softwarepakket van Centric. Of Microsoft. Dus dat is ontzettend moeilijk om daar een juiste DPIA op uit te voeren of in ieder geval de juiste scope te bepalen. Dus vaak wat we dan doen is inderdaad is dat we heel erg proberen proces te kijken.
Speaker 3:Nou binnen een zaaksysteem is dat alweer wat lastiger want het is, daar zitten 600 processen in.
Speaker 2:Ja je begint ook al meteen met een lastige zaaksysteem is wel een soort ruggengraat of zo bijna van heel veel gemeentelijke processen. Dus ja, alles wat je daarin beetpakt daarmee zit, is verkleefd weer met van allerlei andere dingen.
Speaker 3:Ja, ja, maar als je dan ondertussen een aantal jaar voor een gemeente hebt gewerkt dan weet je hoe een zaaksysteem werkt. Je weet wat het doet en je weet ook waar het mis gaat in zo'n zaaksysteem. Dus vervolgens kun je dan bepalen ik ga niet die 600 processen ga ik doorlopen maar ik ga veel meer kijken op toegangs autorisatie binnen die verschillende zaken. Hoe gaan we dat inregelen? Maar ook de gegevensverwerking van de medewerkers in zo'n zaaksysteem.
Speaker 2:Dus je pakt eigenlijk, je kunt eigenlijk meerdere uitsnedes maken zou je kunnen zeggen, meerdere invalshoeken nemen En bij allemaal onder ken je, we pakken niet alles,
Speaker 3:want dat
Speaker 2:lukt ook gewoon niet toch?
Speaker 3:Nee, nee, het is het allerbelangrijkste inderdaad om klein te beginnen, de scope zo klein mogelijk te houden, want uitbreiden kan altijd
Speaker 2:Dus je moet ook heel duidelijk zijn naar wat je niet doet. Ja. Of nog niet doet.
Speaker 3:Nee nee ja eens. Kijk je kan ook geen DPIA op het sociaal domein doen. Ik bedoel er is, ik zeg altijd voor de grap, er is niemand in Nederland die mij het sociale stelsel kan uitleggen binnen gemeenten en van de Rijksoverheid. Dat is zo enorm complex.
Speaker 2:Ja, we hebben trouwens nog een keer daar een training over gegeven samen.
Speaker 3:Ja, zeker.
Speaker 2:De domeinoverstijgende gegevensverwerking in het sociaal domein. Ja. Nou, dat was al pittig als je alle wet- en regelgeving, dat was dan lang niet alles zou ik zeggen.
Speaker 3:Is enorm complex. Die processen, het is altijd maatwerk. Dus inderdaad als het hebt over de scope van een DPIA, hou het klein en bekijk het vanuit de verwerking, vanuit het proces. Of, ja ik ben dan een jurist, dus ik kijk het ook veel vanuit de wet. De wettelijke taak die de gemeente uitvoert.
Speaker 2:Ja. En heb je dan heb je dan een favoriete hoofdstuk in zo'n DPY? Dat je handen wrijft en denkt yes, grondslag. Of informatiebeveiliging?
Speaker 3:Nou ik vind het het moeilijkste is inderdaad om de processen in kaart te brengen en die dan vervolgens te gaan toepassen op de AVG. En dan gaat het voornamelijk inderdaad om stukje dataminimalisatie vind ik altijd heel erg leuk, omdat er daar heel veel winst te behalen is Ja. In mijn in mijn ervaring. Ik had vorige week had ik een gaf ik een training, mijn gemeente Iets Noordelijk van hier. En die hebben een als je daar een paspoort wil aanvragen moest je bijvoorbeeld een afspraak maken.
Speaker 3:Moest je allemaal gegevens achter achterlaten. Ja. Waaronder ook je naam en je geboortedatum en je BSN en telefoonnummer en e-mailadres. En dan vervolgens dan ga je vragen ja maar waarom heb je dat nodig? En dan komt er geen antwoord uit.
Speaker 3:Ja. En dat vind ik wel leuk om die discussies te hebben. Ik vind een DPIA vind ik heel erg leuk om hetgeen wat de proceseigenaar voor werk doet om me dat eigen te maken en vervolgens de proceseigenaar een spiegel voor te houden. Want dat is feitelijk een DPIA.
Speaker 2:Ja, kan me nog uit mijn eigen werkervaring een keer herinneren dat ik hetzelfde als exercitie heb gedaan bij een gehandicapten parkeerkaart. Gewoon letterlijk het aanvraagformulier van de website in allerlei printscreens gewoon in een powerpoint gezet. Het doel is hier om een gehandicaptenparkeerkaart aan te vragen en dit is wat we uitvragen. En gewoon elke keer die vraag stellen van oké hebben we hebben we dit nodig om deze aanvraag te kunnen afwikkelen? Hebben we dit nodig?
Speaker 2:En het was wel een beetje ongemakkelijk om met je tot Ik denk dat het een kwart tot een derde of zo, nou dat hadden we eigenlijk helemaal niet nodig.
Speaker 3:Nee.
Speaker 2:Ik werd wel uitgevraagd en inderdaad, mensen kijken wat glazer aan van ja, dat doen we nou eenmaal zo. Maar als je dan die ongemakkelijke vraag stelt, ja, wat We kunnen toch die aanvraag ook gewoon verwerken zonder dit te weten?
Speaker 3:Ja, dat is juist de essentie is wat je heel mooi aangeeft is dat men een bepaald proces uitvoert maar eigenlijk niet altijd heel goed weet waarom we dat doen. En dat is altijd met de goede bedoelingen. Ik bedoel is echt zo, maar als je echt eens kritisch naar zo'n formulier kijkt en je denkt nou wat heb ik nou nodig en wat gaan we ermee doen? Ja, dan blijkt het toch altijd dat het wel een onsje minder kan.
Speaker 2:Ja. Oké dus dat is wel een hoofdstuk wat er voor jou positief uitspringt als je met een DPIA bezig bent. Wat vind het moeilijkste hoofdstuk? Of lastigste onderdeel?
Speaker 3:Nou ik denk een beetje de afronding van de DPIA.
Speaker 2:De afronding? Wat
Speaker 3:doe je daarmee?
Speaker 2:Vaststelling daarvan?
Speaker 3:Ja, vaststelling en dan kijken of in ieder geval in overleg gaan met de proceseigenaar om te zorgen dat de mitigerende maatregelen daadwerkelijk worden opgepakt.
Speaker 2:Ja, die herken ik. Er zitten vaak natuurlijk ook veel informatie beveiligingsmaatregelen bij. Zo'n DPA wordt opgesteld, al dan niet nog door iemand in de privacy organisatie afgetekend. Op een gegeven moment is klaar.
Speaker 3:Nou ja, dat zegt de proceseigenaar. Zeg van ja, nou we hebben nu een FG advies. We kunnen door. Ja, nee ja, we zijn klaar. Dus ik moest ja, en maar dan begint het echte werk.
Speaker 2:Eigenlijk zit het huiswerk er nog in dan
Speaker 3:toch?
Speaker 2:Je moet eigenlijk van alles doen, maar ja, ergens in de processen is afgesproken je moet een depia doen. Dus als je die dan af hebt dan is natuurlijk ook fijn een soort euforie. Ja, het is nu klaar weet
Speaker 3:je wel. Ja, dan begint het.
Speaker 2:Ja, dat is het niet echt een populaire boodschap ook denk ik dan.
Speaker 3:Nee, nee, nee dat is het en ja dat is het moeilijkste van privacy. Je kan nog en ook van informatiebeveiliging. Je kan echt de bio uit je hoofd kennen, de AVG uit je hoofd kennen maar dan maak je nog geen goede f g, PO of CISO. Je moet de organisatie meekrijgen.
Speaker 2:Ja, ben in mijn hoofd bezig met een, ik doe dit werk nu ongeveer 10 jaar, ik ben in mijn hoofd bezig met een blog schrijven met 10 vragen die ik een gemeente zou willen stellen en op basis daarvan zou ik heel goed kunnen inschatten hoe ver een gemeente is. En ver bedoel ik meer van hoe volwassen is een gemeente op het gebied van informatiebeveiliging en of privacy. Dan zou dit ook een van mijn vragen zijn denk ik. Hoe monitor je de opvolging van maatregelen uit risicoanalyses in DPA's? Want dat is echt een achilleshiel volgens mij.
Speaker 3:Nee, dat is het allermoeilijkste.
Speaker 2:Het staat in een stuk papier, maar als je geen managementsysteem hebt, als je geen ISMS hebt, je hebt niks, moet daar iemand op gaan jagen, achteraan gaan vangen of je moet een FG hebben die daar heel strak op zit. Maar iemand moet natuurlijk de boel in beweging houden omdat die aandacht er natuurlijk in het begin wel is, maar die verslapt natuurlijk na verloop van tijd omdat die proceseigenaar die wil waarschijnlijk ook verder met zijn primaire werk en dat is namelijk nieuwe dienstverlening neerzetten of wat dan ook. En al die randvoorwaarden die uit die DPIA rollen, ja, die zijn niet altijd, die komen niet altijd goed uit.
Speaker 3:Nee, nee, en dan heb je een aantal lagen, aantal zaken die noemen we dan laaghangend fruit. Dat is gewoon het afsluiten van een verwerkersovereenkomst of dat gebeurt nog wel, maar vaak inderdaad de rest en daarop sturen, dat is lastig.
Speaker 2:Ja, heb je dan ook nog vanuit jouw werkervaring tips of dingen gezien waarvan je denkt 'dit werkt dan wel'?
Speaker 3:Nou, hebben sowieso een vast format om FG advies te geven. En vervolgens hebben we ook een vast format is dat we een uitspraak willen van de proceseigenaar. Dit zijn de adviezen. Wat ga je ermee doen? Ga je ze accepteren?
Speaker 3:Ga je ze mitigeren? Ga je ze negeren? En vervolgens als dat enigszins wordt genegeerd of het risico wordt anders ingeschat, dan wil ik daarvan een uitspraak hebben van de proceseigenaar.
Speaker 2:Ja, dus die moet zijn verantwoordelijkheid tonen daarin.
Speaker 3:Ja, en dat is vaak een teammanager. Dan wil ik gewoon uitspraak van de teammanager waarin een teammanager op schrift gewoon per e-mail aangeeft dat die een bepaald risico accepteert.
Speaker 2:Ja, want wat we nog niet benoemd hebben is dat jij ook in de rol van FG vaak actief bent hè? Dus jij bent ook degene die die FG-adviezen dan schrijft.
Speaker 3:Ja, zit ik zit aan alle kanten van de tafel.
Speaker 2:Maar je zit niet aan beide kanten hoop ik toch? Dus dat je aan de ene kant een DPA maakt en die dan daarna aan jezelf voorlegt en zegt nou dat ziet er eigenlijk best wel goed uit.
Speaker 3:Nee, nee, nee, dat dat gelukkig niet. Moet ik wel zeggen is dat het dat ligt ook een beetje aan de organisatie. Hoe groot is de organisatie en hoe volwassen. Je kan als FG kun je natuurlijk heel kan je wel adviseren. Ja.
Speaker 3:Dus je kan wel meedenken maar uiteindelijk moet je jezelf des avonds wel in de spiegel kunnen aankijken en denken ja ik ben niet van deze DP'er. Ja,
Speaker 2:precies. Een paar afleveringen geleden heb ik daar ook over gepodcast met de FG van de gemeente Hardenberg ging het ook hierover van hé hoe toen die AVG net kwam dan ben je een soort alles in 1, maar dat moet wel door ontwikkelen naar een zuivere scheiding in uitvoering en toezicht. Dat kan je niet de hele tijd in 1 hand houden.
Speaker 3:Nee, zeker. Dat duurt een aantal jaar voordat je inderdaad van de eerste naar de deadline kan.
Speaker 2:Heb jij ook nog lastige DPA's lopen
Speaker 3:dan
Speaker 2:waar je wat over mag zeggen? Of leuke DPA's? Moeten niet zo lastig te zijn natuurlijk.
Speaker 3:Nee, elke DPA die is leuk. Nee, ik heb momenteel ben ik bezig voor een DPIA over de digitale gehandicapten parkeerkaart.
Speaker 2:En daar heb je hem weer.
Speaker 3:Ja daar heb je hem weer. Dat is inderdaad een een een initiatief van het SAPV. Dat is een coöperatie opgericht door gemeente. Die houdt zich bezig met de digitalisering van de parkeerketen. De parkeerketen is al digitaal in Nederland op 1 onderdeel na en dat is de gehandicapten parkeerkaart.
Speaker 2:En met digitaal bedoelen we dan even heel praktisch voorbeeld je kunt kenteken parkeren.
Speaker 3:Je kan je kan op basis van kenteken parkeren, ja. En als je of in ieder geval de de handhaving is gedigitaliseerd. Dus dat wil zeggen is dat de scan auto's rondrijden of men kijkt inderdaad op basis via een handheld of jij een parkeervergunning hebt. Dus en dat is allemaal digitaal.
Speaker 2:Dat is dus een speciaal register waarin de zogenaamde parkeerrechten allemaal bijgehouden worden. Ik parkeer mijn auto in een bepaalde zone, die app die zegt mij nou dat kost dan in deze zone dit. Ik zeg start parkeer beurt en vervolgens als ik dan geparkeerd ben, dan komt er een handhaver langs per fiets lopen, per auto, wat dan ook. Dus een scanauto is natuurlijk de meeste vergaande digitale vorm, die scant gewoon het kenteken en die zoekt op in dat nationale register of ik een parkeerrecht heb om in op die plek te staan.
Speaker 3:Ja, klopt.
Speaker 2:Nou ja. Als daar groene een groen vinkje komt, dan rijdt die door en als daar komt dan krijg je een boete. Zo simpel is het
Speaker 3:toch? Ja, en het enige wat nog ontbrak is de digitale parkeerrechter van houders van een GPK, een gehandicapten parkeerkaart.
Speaker 2:Want die hebben letterlijk een een een kaart die je gewoon voor het raam neerlegt, toch?
Speaker 3:Juist en als er dan een scanauto langskomt, ja, die ziet niet dat er een GPK onder de voorruit ligt, want die kijkt naar het kenteken.
Speaker 2:Wordt dan een gereinigde parkeerkaart hebben niet een hele dure hobby zeg maar?
Speaker 3:Ja, nee zeker zeker.
Speaker 2:Dan kan de gemeente wel winnaars rondrijden.
Speaker 3:Ja, ja. Ik denk dat sommige houders inderdaad wel de medewerkers van bezwaar en beroep persoonlijk kennen ondertussen. Maar gelukkig, er is nu een oplossing en dat betekent dus dat er een app komt, een digitale app waarin houders via DigiD kunnen inloggen en vervolgens voorkeurskentekens kunnen opgeven. Nou ja, en dat proces daaromheen mocht ik een DPIA uitvoeren. Wel in de rol als verwerker, maar dat is ontzettend leuk.
Speaker 2:Ja, verwerker omdat de verwerkersverantwoordelijke de gemeente zelf is. Ja, ja, precies.
Speaker 3:Dus heb zo meteen Ja, er zijn 342 gemeenten volgens mij momenteel. En die zijn de verwerkingsverantwoordelijke.
Speaker 2:En de verwerker is de SAPv.
Speaker 3:Ja, met daarachter weer de RDW als IT-leverancier.
Speaker 2:Ja, voor de duidelijkheid een gehandicaptenparkeerkaart vraag je op persoon aan, maar is in meerdere voertuigen te gebruiken. Dus dat maakt hem ook lastig denk ik.
Speaker 3:Ja, zeker.
Speaker 2:Dat maakt hem denk ik moeilijker. Zal ook misschien de reden zijn waarom deze manier van parkeren nog niet gedigitaliseerd is.
Speaker 3:Nee klopt, klopt. Neem
Speaker 2:ons eens mee. Wat doe je Ik
Speaker 3:ben ergens vorig jaar zomer begonnen met de DPIA en ik denk dat ik nu op ja versie 16 zit van de DPIA. Hoppa. Ja. Daar heb je allerlei conclusies aan verbinden. Ja, ja dat nee.
Speaker 3:Nou ja, dat 1 van de conclusies is is inderdaad is dat we op tijd zijn gestart. Want we zijn begonnen op het moment dat men ging ontwikkelen. We zijn begonnen op het moment dat er plannen werden werden gemaakt. En die plannen worden heel vaak gewijzigd voornamelijk voor zo'n enorme, het is een enorm project. Dus elke keer inderdaad die DPIA updaten en er waren ook nog een heleboel vraagtekens.
Speaker 3:In het begin hadden we, wisten we nog niet goed wat de bewaartermijnen zouden zijn en die app moest nog, het functioneel ontwerp moest nog komen.
Speaker 2:Dus dat
Speaker 3:dan weet je ook Dat
Speaker 2:is vooraan inderdaad.
Speaker 3:Ja, ja, dus daar begin je de DPIA mee.
Speaker 2:Dat zien we ook wel eens anders, hè? Dus dat is heel
Speaker 3:groot Gelukkig wel, gelukkig wel, ja. En vervolgens blijft het dan even stil, dan kan het zomaar 2 maanden stil zijn, maar dan is er weer een update, dan is er weer nieuws vanuit de app leverancier of dan is er weer nieuws vanuit de contracten die we met de gemeente gaan sluiten. En zo volg je dat hele project eigenlijk met die DPIA.
Speaker 2:Maar wat is dan, leg mij eens uit waarom dan een verwerker een DPIA gaat maken en gaat opleveren aan al de verwerkersverantwoordelijke, zijnde de gemeentes in dit geval.
Speaker 3:Dit is
Speaker 2:niet een hele gebruikelijke constructie.
Speaker 3:Nee, het gebeurt eigenlijk veels te weinig in Nederland. Snap dat vanuit de verwerkers snap ik dat echt totaal niet, want ik weet zeker dat mijn contactpersoon de SZP niet heel vrolijk wordt van mailtjes van een 342 CISO's, PO's en FG's. Zo, want laten we wel wezen een verwerker is wettelijk verplicht om mee te werken aan een DPIA.
Speaker 2:Ja, mee te werken. Maar in dit geval hebben ze het initiatief echt genomen.
Speaker 3:In dit geval hebben ze het initiatief genomen om ervoor te zorgen dat de implementatie binnen de gemeente vloeiend gaat.
Speaker 2:Ja, dus het is ook in hun belang natuurlijk.
Speaker 3:Dat is ook zeker.
Speaker 2:Als huiswerk
Speaker 3:gedaan is.
Speaker 2:Een vorm van verantwoording afleggen zou ik bijna Ja.
Speaker 3:En het is het is het proces is zo uniform, want het is allemaal gedigitaliseerd, dat het proces eigenlijk ook voor alle gemeenten hetzelfde is.
Speaker 2:Ze zijn blij met jou bij SAPV?
Speaker 3:Ja, dat hoop ik ja.
Speaker 2:Wel versie 16 al.
Speaker 3:Ja, ja, ja, ja, ja, dat wel.
Speaker 2:Sorry, die was te makkelijk. Maar dit is wel een voorbeeld van een niet voor de hand liggende, niet gebruikelijke, ietwat complexe DPA, toch?
Speaker 3:Nee. Dat deed hij wel. Nee, dit is wel dit is wel een pionier en dit is inderdaad ook inderdaad We hebben de eerste FG adviezen hebben we ook al gehad.
Speaker 2:Omdat je al een soort concept hebt voorgelegd dan?
Speaker 3:Ja, ze zijn bezig met een pilot. Wat wil zeggen inderdaad is dat we van die gemeente al bezig zijn. En daarin zie je inderdaad daar komen nog weer wat extra adviezen uit en dan ga je de grondslag nog weer wat dieper uitwerken. Dus het is ook geen standaard DPIA of in ieder geval. Ik zie een heleboel documenten, daarboven staat DPIA.
Speaker 3:Kijk ik naar het aantal pagina's en hoewel dat niet belangrijk is het aantal pagina's, maar als ik 5 of 6 pagina's zie inclusief voorblad dan denk ik
Speaker 2:dat wel wat dun hè?
Speaker 3:Dat is wel wat dun en dan zie ik allemaal standaard vragen met voorafgevulde antwoorden en dan kun je gewoon een kruisje zetten bij het juiste antwoord en dan denk ik ja, nee dit is geen, dit is geen risico inventarisatie voor de betrokken. Laten we dat niet vergeten.
Speaker 2:Ja, want dat is hoe ik een DPA zie. Eigenlijk moet die DPA het krachtenveld zeg maar tussen de verwerkersverantwoordelijke aan de ene kant en de betrokkene, dus op wie de gegevens betrekking hebben, aan de andere kant. Die moet dat krachtenveld eigenlijk beter in balans brengen of houden. Dus die DPA die moet ook die belangen van die betrokkenen onderstrepen. Voor mij is dat een belangrijk onderdeel van zo'n DPA.
Speaker 2:Daarom ben ik ook een groot voorstander van dat DPA's openbaar worden gemaakt. Omdat je de betrokkene dan kan zien van ja, ben eigenlijk? Hallo, wie ben ik? Het gaat over mij, het zijn mijn gegevens. Ik vraag die gehandicapte keerkaart aan bijvoorbeeld.
Speaker 2:Hoe ben ik meegenomen? Hoe is mijn perspectief meegenomen in alles wat er afgewogen is en besloten is? Dus het is ook een vorm van verantwoording afleggen. Ja, en ik denk
Speaker 3:dat daar het vaakst het nog misgaat. Een heleboel DPIA's of in ieder geval helaas een heleboel DPIA's die ik zie dat is meer een compliance check vanuit de gemeente. Wat is de En dat is gewoon antwoord geven op
Speaker 2:op compliance in de zin van hey ik moet dit doen vanuit de AEG.
Speaker 3:Nee, nog geeneens. Meer de compliance wat is de grondslag? Hebben we een Wat is de bewaartermijn? Zijn we hierover transparant, is het systeem veilig. Dus dat is gewoon
Speaker 2:Het zijn op zich ook prima vragen.
Speaker 3:Ja, vragen maar er wordt niet de bril opgezet vanaf vanaf de betrokkene en dat mis ik wel vaak.
Speaker 2:Ik moet ook wel zeggen, stel je voor je bent projectleider, moet een resultaat leveren en die betrokkene gewoon die standaard burger, die inwoner raadplegen, dat is wat lastig in te schatten. Welke kant dat op gaat? Dat kost tijd, dat vertraagt. Het is heel makkelijk denk ik. Verleidelijk misschien wel om die stap over te slaan.
Speaker 3:Ja, maar dan, ik zie ook heel vaak is dat een DPIA wordt geroepen en dat we een DPIA gaan doen omdat iemand, ja dat vinden we nou eenmaal dat dat de bedoeling is. Maar een DPIA doe je pas als het een hoog risico is voor de betrokken. En voornamelijk binnen de gemeente als je bezig bent met een uitvoering van een wettelijke regel. Dan hoef je heel vaak ook geen DPA uit te voeren.
Speaker 2:Ja, en juist als je dan een hoog risico hebt voor de betrokkene is het ook juist heel logisch dat je die betrokkene dan dus betrekt, want het gaat over hem of haar. Ja. Is hoe, ik weet niet of je daar iets over kan zeggen hoor, maar hoe doe je dat dan bijvoorbeeld bij de DPA voor de gehandicaptenparkeerkaart?
Speaker 3:Nou ja, dat was het, dat is het moeilijkste onderwerp. Om te bedenken welk risico heeft dit nou voor de betrokkene. En toen dan moet je echt de bril op gaan zetten van de betrokkene en dan moet je echt een paar nachtjes over slapen voordat je met risico's naar boven komt. En een van de risico's die we hadden dat zijn mensen zonder BSN en dat zijn voornamelijk mensen vanuit het buitenland die naar Nederland komen om hier te werken of om.
Speaker 2:En die zouden dan niet kunnen inloggen op de app omdat ze geen idee Omdat
Speaker 3:ze geen idee hebben.
Speaker 2:En dan houdt het meteen op eigenlijk.
Speaker 3:En dan houdt het op. En dan heb je als risico is dat die mensen worden uitgesloten en dat ze financieel nadeliger uit zijn. Want ze gaan wel betalen omdat ze niet weten dat je er gratis kan parkeren.
Speaker 2:Zo kan er wel van alles bij komen kijken. Bij zo'n mooie vragen opwerpen die ook wel wat verlammend kunnen werken. Maar natuurlijk wel hele goede vragen zijn zeker voor een overheidsorganisatie die er toch is voor de inwoner.
Speaker 3:Ja, en je zit ook met een generatie die nog niet digitaal vaardig is. Dus als je dan een app verplicht gaat stellen, hoe ga je daarmee om? Nou, dus daar hebben we allemaal over nagedacht en daar zijn dus mitigerende maatregelen. In is inderdaad dus dat er een landelijk loket komt waar mensen vanuit het buitenland zich kunnen aanmelden om alsnog in het register opgenomen te kunnen worden.
Speaker 2:Dus eigenlijk zit er een soort loket voor zodat die digitalisering van die gehandicapte parkeerkaart wel helemaal door kan gaan, maar dat ook mensen die daar niet kundig in zijn of dus niet over een BSN beschikken op die manier toch digitaal kunnen parkeren.
Speaker 3:Ja, en mensen die wel gewoon in Nederland wonen en dus een BSN hebben. Daarvoor is men bezig om dat via de lokale bibliotheek te regelen. Dat ze daar terecht kunnen voor de digitale vaardigheid.
Speaker 2:Wel interessant hoor. Leuk traject. Ik snap ook wel dat bij versie 16 bent, omdat het gewoon constant in beweging is op een voortschrijdend inzicht. Ik werk zelf ook voor gemeentes. Ik kan even bij mijn collega's al aangeven, er komt een leuke DPIA aan, stuur hem even naar mij door zodra die binnen is.
Speaker 2:Dus dat ga ik sowieso doen. Heb je ook nog met de AP te maken?
Speaker 3:Nee. Je natuurlijk de mogelijkheid om de AP te vragen voor een voorafgaande raadpleging en eigenlijk wil dat inhouden is dat je hebt je DPR gedaan, je hebt hoge risico's geconstateerd en je komt erachter hé, ik kan geen maatregelen treffen om die risico's te mitigeren.
Speaker 2:Ze blijven eigenlijk bestaan?
Speaker 3:Ze blijven bestaan.
Speaker 2:Maar je wil wel verder?
Speaker 3:Maar je wil wel verder. Dan kun je de AP vragen en wat mij betreft is dat een beetje Ik hoop dat de AP niet al te veel luistert, maar dat is een beetje een loze letter in de wet. Ik ben toen ook bij het op de dag van de FG ben ik toen ook geweest bij dit onderwerp. Als je ziet er zijn ongeveer 10 à 15 voorafgaande raadpleegingen landelijk per jaar. Waarvan er driekwart worden afgekeurd omdat men gewoon geen grondslag heeft.
Speaker 3:Dat is dus dan Zo,
Speaker 2:best wel heftig al. Ja, ja. Ja,
Speaker 3:maar daarvoor is die voorafgaande raadpleging niet, het is een hoog risico voor de betrokkene en geen compliance risico voor de organisatie zelf.
Speaker 2:Ja, dus daarom worden ze afgewezen.
Speaker 3:Daarom worden ze afgewezen. En eigenlijk als jij als organisatie al geen maatregelen kan verzinnen om een risico te mitigeren, uit welke hoge hoed moet de AP dan die maatregelen wel halen?
Speaker 2:Nou ja, ik denk dat je op zoek bent naar een soort excuusbriefje ofzo.
Speaker 3:Ja, maar dat gaat de AP natuurlijk niet doen. Want als het, de AP kan niet zeggen nou ja Zo
Speaker 2:ken ik ze niet.
Speaker 3:Nee, nee, ik ook niet. Maar ze hebben niet de mogelijkheid om te zeggen nou ga toch maar door. Nee.
Speaker 2:Maar wat wat wat hoe ja, wat wat is dan de functie hiervan?
Speaker 3:Want Nou ja.
Speaker 2:Bedoel je ook wat jij
Speaker 3:Ja, point teken. Ja. Het is het is juist is dat de a p kan eventueel aangeven als je de volgende maatregelen nog doorvoert dan is het kan je doorgaan met deze verwerking. Maar ja, daar heb je zelf natuurlijk ook al over nagedacht.
Speaker 2:Ja, je bent je bent waarschijnlijk zelf ook veel meer thuis in de materie. Ik bedoel ja. De AP moet het doen met wat je aanlevert en als je een goede DPI aanlevert dan komen ze een heel eind. Maar als je goede privacy officers of goede FG of goede privacy mensen hebt, dan kom je natuurlijk ook een heel eind. Daar heb je niet per se de AP voor nodig.
Speaker 3:En en en inderdaad. Het is maar de vraag hoeveel de AP weet of kennis heeft van het proces waar die DPIA over gaat.
Speaker 2:Ja, ja. En heb je nog iets anders leuks in het vat?
Speaker 3:Ja, is allemaal nog geheim.
Speaker 2:Ja, daar was ik al bang dat je dat ging zeggen.
Speaker 3:Nou je je je noemde het inderdaad. Vooral het publiceren van DPS dat dat te weinig gebeurt. Nu heb ik wel een aantal Woo verzoeken heb ik her en der al wel op mijn naam staan. Maar het kriebelt ergens nog wel een keer. En ik snap nog niet dat dat niet gebeurd is, is dat nog niemand een, nou ja, gewoon een wow-verzoek landelijk heeft gedaan en tegen alle gemeenten zegt nou publiceer maar.
Speaker 2:Ja, volgens mij loopt er wel wat hoor. De journalist heeft volgens mij wel grootschalig woën bij meerdere gemeenten wel op verzoek ingediend op DPA's en ook op geen adviezen die dan daarmee samenhangen. Dus ik weet er het fijne niet van, maar er loopt wel
Speaker 3:wat. We gaan het zien.
Speaker 2:We gaan het zien. Hey en over we gaan het zien, ga ik jou volgende week ook nog zien op het congres van de VPR?
Speaker 3:Ja, Want
Speaker 2:daar zien we ook de AP elk jaar.
Speaker 3:Daar zien we de AP.
Speaker 2:Dus die komt niet op veel congressen. Ja, het is wel wat meer geworden in de afgelopen jaren, maar ik weet nog jaren geleden dat Aleid Wolfsen het vuur aan de schenen gelegd wordt. Ik heb de popcorn klaar staan en ik ga daar weer genieten een hele Ja,
Speaker 3:ja, maar dat is dan de de de publieke kant. Ik heb de AP vorige week ook nog bij het ministerie gezien en dat is veel meer informeel.
Speaker 2:Ja, nee, dat genoegen dat heb ik dan niet. Maar ja, dus voor mensen die dat niet kennen, de VPR vereniging Privacyrecht kan je lid van worden en zij organiseren onder andere 1 keer per jaar een congres in de fabriek in Utrecht. Ik zou zeggen ja, voor privacy mensen echt echt een geslaagde dag toch?
Speaker 3:Het is is het het VPR dat is echt hoogstaand wat mij betreft. Ja, het gaat echt ergens overheen. En dat zijn echt hele goede sprekers die ze altijd vinden.
Speaker 2:Ja, dus nou ja, dan sluiten we daar met deze warme Ja, het is vast al vol en zo, dus mensen die nu helemaal enthousiast zijn, die komen erachter dat ze dit jaar al niet meer kunnen deelnemen, maar misschien dan volgend jaar. Ik kan me voorstellen in het privacy vak dat je ook wel op die manier bij moet blijven bij bijvoorbeeld het optreden van de AP. Hoe gaat AP met situaties om? Jurisprudentie, boetes, last onder dwangsom hadden we of hebben we al die instrumenten die zo'n toezichthouder tot zijn beschikking heeft. De apen heeft ook al een aantal keren toezichthoudend opgetreden en is ook weer teruggefloten.
Speaker 2:Dus dat is natuurlijk leuk om ook eventjes zo'n toezichthouder mee te confronteren op zo'n congresdag. Maar ik kan me voorstellen dat voor een privacy professional misschien de noodzaak om naar dergelijke congressen te gaan om bij te blijven wel groter is dan voor een security professional.
Speaker 3:Ja, de ontwikkelingen gaan enorm snel en ik probeer alles bij te houden maar
Speaker 2:Dat vind je leuk.
Speaker 3:Ja dat vind ik leuk maar dat is echt een echt een echt een utopie en ik volg nu ook weer een een een zelf een opleiding om ook inderdaad weer bij te weer bij te blijven. En onlangs sprak we een docent mevrouw Klingerberg, professor en hoogleraar aan de Rijksuniversiteit Groningen. En die begon een beetje met de anekdotes dat ze tot 5 6 jaar geleden tegen de studenten die ze les gaf op de universiteit kon zeggen nou dit zijn de 6 uitspraken van het Europese Hof over privacy.
Speaker 2:Dat overzien.
Speaker 3:Dat was te overzien. Dit is gewoon alles. Dus ja, je kan elke uitspraak. En nu dat is echt ongekend. Dat zijn dat zijn tientallen uitspraken en inderdaad om over het VPR te spreken, het congres van volgende week.
Speaker 3:Vorig jaar was Hercke Kranenburg die was daar ook en die ging eventjes doornemen met ons wat er allemaal aanhangig was. Dat waren gewoon 20, 30 zaken.
Speaker 2:Ja, weet het nog, ja. Was wel Ja, ik ik sta daar al iets verder vanaf dan, maar ik denk ben dan ook ergens blij dat ik er iets verder vanaf zou want ik denk shit als ik het allemaal moet weten en onthouden, woeh.
Speaker 3:Ja, ja, ja, nee, dat is hard werk, maar wel ontzettend leuk.
Speaker 2:Hey, Gosse, dank je wel dat je met mij hier wat tijd voor wilde maken. Ik vind het een leuk onderwerp, DPA's, en ja, ik moet zeggen, het gebeurt me niet vaak, maar als ik met jou hierover praat krijg ik bijna zin ook in het in het uitvoeren van een DPA, dus dat dat is die eer is al voor jou. Dank je wel voor je tijd.
Speaker 3:Ja, helemaal goed. Graag gedaan. Ik ja, als jij het inderdaad zo leuk vindt. Ik moet zeggen de technische maatregelen heb je altijd wel weer wat last. Ja,
Speaker 2:precies. Daar heb je dan een SISO voor dat je er kan heen sturen en nou ik zou zeggen tot volgende week dan.
Speaker 3:Oké, helemaal goed. Succes.
Speaker 2:Ja, leuk zeg dat je tot hier gehaald hebt en dat je weer geluisterd hebt naar Talking aflevering 14. Over een maand is er uiteraard weer een nieuwe aflevering en in deze aflevering verwezen we naar het de VPR congres in Utrecht en het ja, vervelende nieuws is dat inderdaad dat congres dit jaar al vol is zoals volgens mij ieder jaar. Dus zorg ervoor dat je volgend jaar eerder bent en niet te wachten op onze podcast aflevering. Tot over de maan.
