#17 - Privacy uitdagingen van een programmamanager (met Wilco van de Vosse)
Ja, toegeven, je hebt er even op moeten wachten, maar eindelijk is er weer een nieuwe aflevering van Keep Talking. Aflevering 17 en in deze aflevering een hele leuke gast. Leuk omdat het ook teruggrijpt op een eerdere aflevering. Zoals je uiteraard nog weet ging het in aflevering 14 over DPIA's met Gosse Bijlenga en nadat we op stopdrukte kwamen erachter dat we een gedeelde kennis hebben en dat is de gast van deze nieuwe aflevering. En die gast dat is Wilco van der Vossen.
Speaker 1:Hij vertelt hoe het is om aan als programmamanager aan de kant van het SHV om te gaan met privacy vraagstukken en hoe hij dat organiseert. Wilco wilde wel met mij het spits afbijten voor wat betreft het opnemen van de podcast. Die zegt ja, een podcast dat is natuurlijk audio. Dat is helemaal waar, maar het leek me leuk om ook wat promofilmpjes te maken om het bereik van de podcast dat te vergroten en dat dat zag hij wel zitten en ik ook dus check het op LinkedIn of op onze website en dan zie je ons achter die microfoon zitten. Ja, voor wat het waard is.
Speaker 1:Nou goed, deze intro is alweer lang zat. Leuk dat je weer luistert naar Keep Talking en heel veel plezier met deze nieuwe aflevering met Wilco van der Vossen. Wat veel mensen niet weten is dat ik oorspronkelijk uit Weien kom. Weien is een plaatsje tussen Zwolle en Deventer aan de IJssel en als je in Weien de IJssel oversteekt.
Speaker 2:Naar de goede kant.
Speaker 1:Naar de goede kant dan, kom je daar in een plaatsje waar we nu ook een aflevering voor Keep Talking opnemen en tegenover mij zit een inwoner van het prachtige dorpje Voorkton en dat is?
Speaker 2:Ja, Wilco van der Vossen.
Speaker 1:Wilco van der Vossen. Het was een lang gekoesterde wens om met jou te podcasten, dus toch dat dat nu kan. We zitten in in jouw woonkamer. Ja, klopt. Zelfs voor het eerst ook met video.
Speaker 1:Dus we worden allebei nu wereldberoemd. Dat kan bijna niet anders. Precies. En ja, de aanleiding om jou te vragen voor de podcast is 1. We kennen mekaar al aardig wat jaren en ten tweede hebben we heb ik eerder een aflevering opgenomen met Gosse, Gosse Bijlinga en dat ging ook onder andere over de de DPA die hij uitvoert voor de gehandicapten parkeerkaart.
Speaker 1:Ja, maar voordat we de inhoud ingaan is misschien wel even leuk Wie zit daar tegenover mij? Wie is Wilco?
Speaker 2:Ja, nou je zit in mijn kamer. Dat is een oude boerderij en dat vertelt ook wel veel over mijn roots. Mijn vader was boer hier in Vorte. Ik heb mijn carrière gestart in de landbouw en uiteindelijk ben ik via omwegen in parkeren terecht gekomen. Als je me dat 30 jaar geleden gezegd zou hebben, zou ik het niet geloofd hebben, maar ik zit helemaal in de parkeerwereld en doe dat bij een heel kleine coöperatie, SHPV, Service, Huis, Parkeer en Verblijfrechten.
Speaker 2:Een coöperatie van en voor gemeenten die met betaald parkeren bezig zijn.
Speaker 1:Is dat dan een soort belangenbehartiger of zo? Hoe moet ik dat zien? SABV staat voor? Service Huis,
Speaker 2:dus dat is eigenlijk een vertaling van Clearing Instituut, parkeren en verblijven. Ik vergelijk ons wel eens met een fintech bedrijf. Het is een infrastructuur achter het betaald parkeren. Je gebruikt misschien ook EasyPark of Park Mobile als parkeerapp.
Speaker 1:MKB Brandstof in mijn geval.
Speaker 2:MKB Brandstof is een partij die heeft een contract met SAPV. Op het moment dat jij op 'start parkeren' drukt in je MKB Brandstof App dan wordt jouw parkeertransactie in het Nationaal Parkeer Register vastgelegd met een starttijd en als je stopt drukt dan stopt de tijd. NPR rekent dan uit hoeveel parkeerbelasting jij op dat moment moet betalen.
Speaker 1:Dat zie je in jouw app. En de NPR is het Nationaal Parkeer Register?
Speaker 2:Ja, staat bij de RDW. En dat is
Speaker 1:de Rijksdienst. Waar staat RDW voor? Rijksdienst Wegverkeer. Wegverkeer, oké. Maar hoe beland je nou in de parkeerwereld aan Willeco?
Speaker 1:Dat is
Speaker 2:een beetje wel hoe mijn leven in elkaar zit. Dat hangt van toevalligheden aan elkaar en mijn oortje valt uit.
Speaker 1:Ja, je zit even achterlangs.
Speaker 2:Dat hangt van toevalligheden achter elkaar. Ik zat in de revalidatietechniek. Dat is een hele andere tak van God.
Speaker 1:Ja, ik vind dat nog niet aannemelijker worden nu.
Speaker 2:1 stap daarvoor is dat ik was boerenzoon, boerenopleiding, 12 jaar LTO. Ik dacht van ja jeetje, er is meer in de wereld, dus ik ga eens wat anders doen. En toen kwam de revalidatietechniek op mijn pad, ook met heel veel jaren plezier gewerkt. Het kriebelde toch nog weer en toen kwam ik bij een bedrijf wat zich met informatietechnologie bezighield. Dat was ook mijn reactie van wat houdt
Speaker 1:dat dan precies in? Dus
Speaker 2:daar ingestapt en ja, stapte echt in een hele bijzondere wereld en 1 van mijn eerste klanten was de gemeente Utrecht. De gemeente Utrecht, en dan praten we over 2007, dus dat is een flink aantal jaren terug, die ging mee in het digitaliseren van de parkeerketen.
Speaker 1:Daar zijn ze best wel actief in toch?
Speaker 2:Maar de G4 hield zich er toen al mee bezig. Dat was parkeren.
Speaker 1:En G4 voor de duidelijkheid, dat zijn de 4 grote steden natuurlijk dan.
Speaker 2:Ja, is parkeren maar dan ervoor zorgen dat je parkeerrecht in een centrale database komt. Dus kenteken als uniek kenmerk, start- en stoptijd en de locatie. Als je dat in een database stopt, dan wordt het handhaven veel makkelijker.
Speaker 1:Dat ook, dat vind ik dan wel even leuk om te noemen, zijn hebben wij, daar moet je eigenlijk nog bij vertellen, uiteindelijk ben jij overgestapt naar de gemeente Utrecht?
Speaker 2:Ja, ben ik in dienst. Ik was eerst als adviseur ben ik in dienst gekomen van de gemeente Utrecht.
Speaker 1:Oké, ja, en toen kwam daar op een gegeven moment bij die afdeling waar je toen kwam werken, de afdeling vergunningen, toezicht en handhaving, daar kwam daar een decentrale information security officer ofwel een DISO kwam daar binnen sjouwen en dat was ik.
Speaker 2:Ja, maar het grappige, Remco, er was eigenlijk nog 1 fase voor waar we elkaar aankillt moeten hebben. Jij kwam trainingen geven over
Speaker 1:security. Bewustwording, hele afdeling VTH moest verplicht een training volgen over de WPG toen nog en ook over informatiebeveiliging.
Speaker 2:Ik weet nog dat ik dacht van ja, jeetje, dat werd hartstikke druk. De hele middag waren er kussens en daar stond Remco.
Speaker 1:De standaard reactie op voorhand.
Speaker 2:Maar ik, ja, ik was wel door je uitstraling en die bevlogenheid was ik wel gegrepen hoe je dat deed. Dat is leuk om te horen. -Dus daar was de eerste klik al wel en toen werd inderdaad later ook nog een soort van collega.
Speaker 1:Ja, precies en toen hebben we een tijd met elkaar samengewerkt. We zaten allebei in het IPM team, het i-team waar alle informatie gerelateerde functies in zaten van die afdeling vergunningen, toezicht en handhaving. Uiteindelijk ben jij vanuit de gemeente Utrecht, heb je later de overstap gemaakt naar het SAPV.
Speaker 2:Die stap ging heel natuurlijk, want SAPV is een hele kleine organisatie en toen was die eigenlijk nog kleiner. Medy van Bilzen was toen directeur en heeft heel veel voor SAPV betekend, maar de inhoudelijke kennis, was niet haar cup of the. Dus zij begon mij steeds vaker te vragen van wil je daar eens naar kijken, mogen mensen bij je in Utrecht komen kijken hoe je het doet'. Dus zo ben ik langzaam daarin gegroeid en die overgang ging heel natuurlijk. Dat is uiteindelijk in 2019 geweest.
Speaker 1:Daar ben je overgestapt.
Speaker 2:Eerst nog gedetacheerd vanuit Utrecht, maar na 4 jaar moest ik al steeds meer gaan uitleggen wie Van der Vossen was en
Speaker 1:dat ik ook een collega van Utrecht was. Toen zei -Hadden we wel je kerstpakketten op, die incasseerde ik nog wel,
Speaker 2:maar uiteindelijk zei Utrecht van: ja, je moet over. Het was voor SAPV wel een dingetje, want de kleine coöperatie leunde eigenlijk op het personeel van gemeenten. Dus ik was, ik ben de eerste, ik heb personeelsnummer 1 gekregen.
Speaker 1:Oké, dat wist ik helemaal niet. En jij kwam, nou niet jij misschien, maar de SZP kwam dus in een eerdere aflevering ter sprake. Dat was met privacy adviseur NFG Gosse Beijliga. Die werkte aan een DPA, daar heb ik hem toen uitgebreid over bevraagd en dat dat is de DPA op zeg maar de de digitale variant van de gehandicapten parkeerkaart, de GPV afgekort en nou ja, volgens mij heb ik het niet onerg gezegd, dat weet ik eigenlijk niet eens meer, maar ik zei nou ja, als jij als jij aan een DPA voor de gehandicapten parkeerkaart werkt voor het SZP, dan ken jij Wilco van der Vossen. Nou, hij zei dat is mijn opdrachtgever.
Speaker 1:Dat was heel grappig, dus toen zei ik al na afloop van nou, nou moet ik ook met Wilco podcast, dus ik vind het heel leuk om jou ook eens wat vragen te stellen over privacy en informatiebeveiliging. Hoe jij nou als opdrachtgever- noem jij jezelf projectleider? Wat is jouw functie binnen SAPV?
Speaker 2:Hoe heet dat? Het is accountmanager en projectleider staat op mijn kaart, maar binnen het GPK-traject zie ik mezelf eigenlijk meer als programmamanager.
Speaker 1:Ja, want jij stuwt eigenlijk dat hele digitaliseringsproces en alle haken en ogen die eraan zitten, dat stuw jij de hele tijd verder.
Speaker 2:Precies, en ik heb echt een super team van mensen die die daarop meehelpen. Weet niet of het, het GPK is wel een heel groot ding, maar of je het echt een programma kan noemen, maar het heeft programmamanager achtige trekjes.
Speaker 1:Dus ieder onderdeel heb ik zo een eigen collega. Alles wat je doet en wat je digitaliseert, dat heeft straks natuurlijk een impact, hopelijk heel veel baten voor alle gemeentes in Nederland.
Speaker 2:Ja, dat is het echt het leuke van dit project, dat het zo'n enorme impact gaat hebben in Nederland.
Speaker 1:Ja, want dat meen ik ook dat Gossen zei van ik maak 1 DPA, die wordt straks ook gewoon gepubliceerd en dat is dus eigenlijk een DPA ook waar alle gemeenten dan dus gebruik van kunnen maken of inzage op zijn minst in hebben. Want ja, dat is dus het effect. De multiplier is heel groot. Is nou in de hele parkeerwereld is nou de gehandicaptenparkeerkaart nog de enige ouderwetse nog te digitaliseren variant? De rest is allemaal al over.
Speaker 2:De rest is allemaal al te digitaliseren in parkeren, maar die gehandicapten parkeerkaart is echt vals speler in het het hele spel.
Speaker 1:Ja, en wat ik ook wel vernomen heb, is dat er ook mee gefraudeerd wordt omdat de gehandicapten parkeerkaart in zijn huidige vorm niet gebonden is aan een kenteken. Ja, klopt. Wat ook natuurlijk de handhaving weer lastig maakt, want er wordt door de steden steeds meer gehandhaafd op basis van ja, van die scan auto's die natuurlijk kenteken uitlezen, maar ook, ja, je zei al eerder die afkorting SZP, die 'v' staat voor verblijven. Er zijn ook steeds meer grote steden die binnengebieden hebben, binnensteden, dus de binnenstad waar je dan niet meer met een oude diesel zeg maar naar binnen mag. Dat is eigenlijk, dat hoort er ook bij begrijp ik, toch?
Speaker 2:Ja, ook de verblijfrechten. Je hebt parkeerrechten dus en verblijfrechten, die komen allemaal in het Nationaal Parkeer Register. De parkeerkaart slaat echt op het parkerendeel. Gemeenten zijn gaan doen parkeren is een enorme businesscase voor gemeenten. Wordt geld verdiend toch?
Speaker 2:Ja, ik weet niet, dat gaat een gemeenteambtenaar niet zo zeggen dat er geld mee verdiend wordt, want het is een belasting. De businesscase is wel heel gunstig. Ik weet nog dat ik, en zeker in handhaving toen ik in Utrecht startte in 2007, werd de parkeerhandhaving ongeveer door 60 mensen gedaan. Zelfs nog een deel door politie en door gemeente, dat is toen bij elkaar gekomen. Juli Verheul heeft dat toentertijd gemanaged.
Speaker 2:Dat deed dus met 60 mensen. Ik denk Utrecht nu doet het met 8 mensen.
Speaker 1:Moet je kijken wat een verschil. Dus met scanauto's
Speaker 2:dan. Met een scanauto, je hebt een chauffeur nodig die op de scanauto rijdt. En de laatste ontwikkeling, waar de G4 al even voorop loopt, is dat je niet meer de opvolging op straat doet. Scan-out rijdt voorbij en we hebben nog lang gewerkt dat daar dan een scootertje achteraan reed om te kijken van ja klopt dit?
Speaker 1:Ook om de zogenaamde 'false positive' natuurlijk te voorkomen, dat je iemand zou beboeten omdat hij geen parkeerrecht heeft, terwijl er omstandigheden zijn waarom die auto daar net geparkeerd staat. Of dat hij een ontheffing heeft of een gehandicaptenparkeerkaart heeft.
Speaker 2:Stel nu dat je, en dat is wat steden nastreven, dat alle geparkeerde auto's een recht moeten hebben. Dan krijg je dus een hit, dus er wordt een auto gevonden zonder een recht. Wat nu gebeurt is dat iemand gewoon op kantoor achter een beeldscherm kijkt van wat is hier aan de hand? En dus met een muisklik de boete oplegt.
Speaker 1:Maar hoe ziet hij dan wat er aan de hand is? Ik bedoel, hij kijkt de camera uit van die
Speaker 2:jurk Hij kijkt de camerabeelden uit. Dat voelt heel heel vreemd, want dat kan ook de volgende ochtend zijn. De volgende ochtend loopt hij al die filmbeelden als het ware langs.
Speaker 1:Met al die hits zeg maar?
Speaker 2:Ja, en kijk dus van hier stapt iemand in of uit, of laden lossen, laden lossen situaties. Op het moment dat die boa besluit van nou dit is gewoon iemand die niet betaald heeft, kan die met een muisklik de boete opleggen. 'Deskforce' heet dat met een mooi woord. Daarna
Speaker 1:gaat het CJB dat dan Hoe werkt dat dan?
Speaker 2:Nee, het is een belastingmaatregel. Het is mijn gemeentelijke en die krijgt een naheffing van de parkeerbelasting.
Speaker 1:Dat klinkt toch al beter, naheffing. Dat is niet zo'n naar woord.
Speaker 2:Wat die G4 deden op die gehandicaptenparkeerkaart, is dus een fysiek ding waarachter je ruit ligt, je vindt die scanauto niet. Dus wat die gemeenten deden, Amsterdam, Utrecht, Arnhem, is dat ze zeiden: fijn dat je een kaart hebt, maar je moet bij ons ook een vergunning aanvragen. Dus je moet ook een gehandicaptenparkeerkaart vergunning aanvragen. En die vergunning, die kun je weer op kenteken zetten in het MPR brengen. Daarmee is lokaal de cirkel weer rond.
Speaker 1:Ja, en ervan uitgaande dat dat ook weer dezelfde auto is
Speaker 2:dan. Want als je een eigen hebt, Ja,
Speaker 1:maar als je zegt tegen de buurman 'breng mij even ergens heen'.
Speaker 2:Maar die vergunning systemen kunnen daarmee overweg. Dus die gemeente geeft jou een app en in die app mag jij dan voorkeurskentekens aanklikken. Ik ben met die auto. Maar dit is een lokale oplossing. Stel dat jij een kaarthouder bent en veel reist in Nederland, dan betekent dat je overal een bezoekersvergunning moet aanvragen.
Speaker 1:Want die hypotheekrente parkeervergunning is gewoon in het hele land geldig. Het maakt niet uit waar je parkeert.
Speaker 2:Dus als ik in Amsterdam ben, moet ik daar een bezoekersvergunning aanvragen. Dus voor je het weet moet je -er zijn 120 gemeenten in Nederland die aan betaald parkeren doen- gechargeerd moet je 120 apps op je telefoon hebben.
Speaker 1:Ja, daar word je niet vrolijk van.
Speaker 2:Dus 30 gemeenten hebben gezegd: deze weg moeten we niet op.
Speaker 1:Dus dat is eigenlijk de business case voor dit hele project, om die gehandicaptenparkeerkaart dus ook ver gaander te digitaliseren. Ja, ja, ja. Nou en jij bent als zeg maar programmamanager staat aan het roer zeg maar van dat hele traject en alles wat erbij komt kijken en 1 van de dingen waar jij mee te maken hebt, is zoiets als privacy. Hè, dus grondslagen hè, dus wie mag nou die gegevens op grond waarvan gebruiken hè verwerken en ben je dan verwerkersverantwoordelijke? Wie is dan de verwerker?
Speaker 1:Jullie zijn een coöperatie, jullie handelen in opdracht van al die gemeenten, werken samen met de RDW, hebben misschien nog software die je bij de RDW betrekken, misschien nog andere software partijen waar je mee samenwerkt. Die vraagstukken landen allemaal op jouw bord. We weten natuurlijk nu al dat je dan samenwerkt met Gossen, maar kan je daar iets over vertellen? Hoe ga je daarmee om? Denk je gewoon hup, ik organiseer wat expertise bij elkaar of is het een hoofdpijndossier voor jou of word je er wel enthousiast van?
Speaker 1:Het mag ook diplomatiek zijn. Ik
Speaker 2:was in Utrecht dus verantwoordelijk voor de introductie van de van de scanauto. We hadden die aanbesteding gedaan op Scan Auto en uiteindelijk moest hij rijden. Dat was het leuke van dat werk, aanbestedingen, ook zorgen dat hij geïmplementeerd wordt. Utrecht is net als veel gemeenten heel erg gedreven om de privacy goed georganiseerd te krijgen. Ik zeg dat alle steden dat niet doen, maar Utrecht, als grote stad, voelde die verantwoordelijkheid van we moeten dat goed gaan doen.
Speaker 1:Heeft ook een raad die daar best wel scherp op is.
Speaker 2:Zeker als het op
Speaker 1:cameratoezicht gaat, daar wordt altijd scherp op toegezien door de raad ook.
Speaker 2:Dus vanuit die tijd wist ik dat het werken met privacygevoelige informatie, dat het een niet onderschatte klus is. In die tijd heb ik Mischa van der Vliet
Speaker 1:gevraagd. -Audith-Connect.
Speaker 2:-Audith-Connect, ja. Die heeft voor mij die DPA toentertijd georganiseerd. -Op die scanauto. Dat is mij heel goed bevallen om voor echt hele gevoelige trajecten daar een extern bureau voor in te schakelen. Ik weet dat ook heel veel gemeentelijke medewerkers een DPA invullen, maar voor zulke complexe trajecten voelt het toch een beetje als slager keurt zijn eigen vlees.
Speaker 2:Je wilt als projectleider graag snel door, dus ik had daar direct al een voornemen van daar gaan we naar een externe partij voor uit.
Speaker 1:Doe je dacht ik, ik vraag niet mijn eigen DISO, weet je wel. Die heb ik wel bewustwordingsessies zien geven, maar zo'n DPIA, dat zie ik hem niet doen.
Speaker 2:Nee, dus dat moet gewoon en dat echt externe kunnen zijn, ook om die DISO zeg maar de gelegenheid geven om er wat van te vinden. Dus zo kwam ik bij Mischa. Mischa kende Gossen goed en zo zijn we al vroeg met Gossen van start gegaan.
Speaker 1:Maar jij zag dus al meteen de noodzaak om hier budget voor vrij te maken, expertise op in te huren omdat je vanuit je ervaring wist, ja dit zijn gewoon complexe vraagstukken. Daar komen wij zelf niet uit als SAPV zijnde.
Speaker 2:Nee, nee. Je wilt dat ook niet aan gemeenten overlaten, dus ik had direct al wel het idee van wij moeten een toolbox maken, alles rond rond privacy. Want de DPA is er 1, maar misschien in privacy land is de verwerkersovereenkomst nog wel een belangrijke. Ook die heeft GOss voor opgesteld.
Speaker 1:Want jullie sluiten voor alle duidelijkheid die verwerkersovereenkomst met RDW of met andere partijen, maar in ieder geval namens al die gemeenten.
Speaker 2:Het is een keten, gemeenten sluiten een verwerkersovereenkomst met SAPv. Dat is de stap verwerkersverantwoordelijke. De gemeente is de verantwoordelijke. SAPV is verwerker. Er komt 1 overeenkomst tussen verantwoordelijke en verwerker.
Speaker 2:Vervolgens, dat is de tweede stap, SAPV heeft een verwerkersovereenkomst met RDW. Zij heeft mij geleerd dat er geen subverwerkers zijn, dus je bent verwerker en daarna is iedereen verwerker. Dus wij hebben een verwerkers overeenkomst. Precies. Dus veel.
Speaker 2:We gaan straks 342 gemeenten gaan meedoen aan Parkerenplus. Dat is de naam voor gehandicaptenparkeerkaart die we gaan digitaliseren. Die sluiten 342 overeenkomsten met SAPV en SAPV heeft er 1 met RDW.
Speaker 1:Ja, klinkt allemaal wel overzichtelijk, maar je zult als programmamanager in dit traject een aantal hoofdpijndossiers hebben. Is privacy er ook eentje daarin of zeg je nou, ik heb echt wel grotere lastigheden als programmamanager?
Speaker 2:Nee, ik denk dit hele traject, toen ik eraan startte, dan denk je aan de app en de functionaliteiten. Maar al vrij snel qua wat erachter en we zijn denk ik nu zo'n 2 jaar bezig, dat de techniek het makkelijkste onderdeel is in dit traject.
Speaker 1:Dus gewoon de functionaliteit, het kunnen bouwen van, het kunnen maken van.
Speaker 2:De RDW heeft al een gehandicapten kaartenregister, dus alle kaarten komen al bij de RDW terecht.
Speaker 1:Dus de gemeentes geven dat door aan de RDW als zij zo'n kaart verstrekken?
Speaker 2:Maar er zitten geen persoonsgegevens in. Dus er zit geen BSN in dat register. Kijk, die kaart die wilden we en zo is een soort waterval van dingen waar je mee te maken krijgt. We wilden die app in de app stores gaan zetten. Die kunnen jij en ik ook gewoon downloaden, maar er moet ergens een mechanisme zijn die vaststelt van mag jij ook dan parkeerrechten inschieten.
Speaker 2:Want je mag gratis parkeren in heel veel gemeenten. Dus het gaat over geld. We hadden al vrij snel bedacht, dit moet met een DigiD autorisatie de app werken. De app geeft dus dan eigenlijk het BSN door aan de backoffice. Op het moment dat wij al die kaarten voorzien van een BSN, dan kan daar de match plaatsvinden.
Speaker 1:Dus dan kan ik alleen die app actief gaan gebruiken op het moment dat vastgesteld is dat ik over zo'n gehandicaptenparkeerkaart beschik. Exact.
Speaker 2:Wordt het heel complex en dus dan heb je DPIA's en verwerkersovereenkomsten nodig, omdat je eigenlijk voor een kwetsbare groep mensen, mensen met een beperking, op een centrale plek een database gaat maken.
Speaker 1:Ik weet niet of dit rare vragen zijn, maar hoeveel gehandicaptenparkeerkaarten zouden er ongeveer zijn in Nederland?
Speaker 2:Waar praten we over? Zo'n 250000.
Speaker 1:Dat is echt wel een serieuze groep. Dus
Speaker 2:de techniek, je vraag terug te komen, is dit een hoofdpijndossier? Ja en nee. We wisten op voorhand dat dit al een belangrijk onderdeel wordt. Je wilt dit ook gewoon goed geregeld hebben. Het is geen bal als je wilt.
Speaker 2:Dat maakte ook wel dat we continu gezegd hebben, hoe gaaf zou het zijn als de RDW de partij wordt om dit te doen. Denk, er is niemand in Nederland die twijfels of vraagtekens heeft bij de manier hoe de RDW het doet. Daar liggen alle rijbewijzen en alle kentekens. Dus het is een partij die gewend is om met privacygevoelige informatie om te gaan.
Speaker 1:Het zou ook misschien een wat raar signaal geven als je dan niet met de RDW zou werken in deze. Wat zegt dat dan?
Speaker 2:Het Kaat register ligt bij de RDW, het Nationaal Parkeer register ligt bij de RDW.
Speaker 1:Deze niet.
Speaker 2:Het is het meest beveiligde bolwerk van Nederland, zou je misschien wel kunnen zeggen, dus dat moet hier gewoon in terecht komen. Maar de samenwerking met RDW is soms ook best wel complex.
Speaker 1:Ik kan ik me niet meer voorstellen dat je wat zoekend bent naar Wief, naar welke rol in deze samenwerking. Hoe ziet die keten er dan uit en wie mag dan wat vinden en sturen?
Speaker 2:Want 2 jaar geleden was dat eigenlijk waar de discussie mee startte. De RDW doet alles in opdracht van het ministerie en dat is dan bij wet vastgelegd. Al haar taken worden door de minister aan de RDW gegeven.
Speaker 1:Dus als grondslag voor al die verwerking hebben ze dus ook een wettelijke taak.
Speaker 2:Exact. Dus al vrij snel kwam die vraag of we hebben niet van de minister de opdracht gekregen om een gehandicaptenparkeerkaart register bij
Speaker 1:te gaan nemen. Ik dat dat wel de gebruikelijke manier van werken was.
Speaker 2:Dus heel ingewikkeld voor RDW En het is echt leiderschap van de directie RDW dat ze gezegd hebben: wij gaan dit als maatschappelijk Het is zo'n belangrijk maatschappelijk aspect, die gehandicaptenparkeerkaart. Wij gaan dat wel oppakken.
Speaker 1:Ondanks dat de minister daar niet expliciet een opdracht toe geeft.
Speaker 2:We hebben daar wel met het ministerie van I&W een gesprek over gehad, dus zij weten dat speelt. Vond RDW ook belangrijk, dat I&W hierbij betrokken is. Waar de grondslag in ligt, dat de gemeente de heeft.
Speaker 1:Die heeft de wettelijke taak.
Speaker 2:Ja, in een parkeerbelastingverordening, vastgesteld door de raad. En in die parkeerbelastingverordening hebben wij dan opgenomen dat je vrijstelling krijgt van parkeerbelasting met een kaart.
Speaker 1:Dat heeft niks met jouw project te maken, dat hadden die gemeenten al? Nee, moet nu ook gebeuren.
Speaker 2:Dus de gemeenten die mee gaan doen Dat is een voorwaarde. -Een voorwaarde is dat zij hun parkeerbelastingvordering aanpassen. En in die parkeerbelastingverordening staat ook dat je nog steeds vrijstelling van parkeerbelasting krijgt als kaarthouder, mits je je aan nadere regels houdt. Dit was ook al een stap, hier hebben we Pels Rijcken, de landsadvocaat, mee laten kijken.
Speaker 1:-Niet de minste.
Speaker 2:-Ook niet de minste. Want de vraag was: veel gemeenten werkten met een vergunning. Dat is een besluit. We leggen regels op, ook om die fraude te beperken. Dus dat werd nu in de besluiten vastgelegd.
Speaker 1:Het besluit om een vergunning te verstrekken?
Speaker 2:Het besluit, je krijgt dus vergunning en in die vergunning voorschriften staat bijvoorbeeld dat de auto op jouw naam moet staan als je een bestuurderskaart hebt en dat je maar 3 voorkeurs kentekens mag hebben. Dus allemaal maatregelen die gemeenten in de loop der jaren bedacht hebben om misbruik te beperken, die werden in dat besluit opgenomen. Ja, wij wilden af van die vergunning vertelde ik al.
Speaker 1:Ja precies, omdat hij dat dan een keer het aantal steden waar je wil parkeren moet hebben. Precies dat. Dus
Speaker 2:we hebben Pels Rijge gevraagd van is het mogelijk om die beperkende voorwaarden ook bij -verordening op te leggen?
Speaker 1:-Dus dat is eigenlijk best wel juridisch veel uitzoekwerk ook, want je zit eigenlijk te pionieren aan iets. -Dit was nog niet
Speaker 2:eerder gedaan.
Speaker 1:Is nog niet eerder gedaan, dus ik kan me ook voorstellen dat de jurist ook even achter zijn oren
Speaker 2:krap zat. Ze vonden dat heel interessant. Maar uiteindelijk heeft Pels Rij gezegd: mag, maar je zult het in de verordening op moeten nemen. Gemeenten zullen met elkaar een convenant moeten tekenen waarin ze met elkaar die spelregels bevestigen en onderling afspreken. Dat kon vanavond door het college van burgemeester en wethouders getekend worden.
Speaker 1:Nemen jullie daar het initiatief in als SAPV?
Speaker 2:Dat lijkt me logisch. Ja, Berends, een jurist die we ook ingehuurd hebben, die heeft voor ons dat hele traject van dat convenant opgepakt en die spelregels. We er denk ik wel een jaar over gedaan om die met elkaar op te zetten.
Speaker 1:Die komt ook in het setje straks als voorwaarde om mee te doen. Dan moet je dit ook tekenen, dit convenant.
Speaker 2:Het convenant moet getekend worden. En in de convenant hebben we het over controleregels. Dat zijn die spelregels
Speaker 1:die eerder in die vergunning stonden.
Speaker 2:Ja, het wordt nu heel technisch, dus ik weet niet of jouw kijkers nog wakker zijn.
Speaker 1:Als ik
Speaker 2:Moeten ze maar even doorscrollen, maar die controleregels hebben we met elkaar afgesproken, maar het is allemaal zo nieuw, we weten nog niet wat er gaat gebeuren. We hebben gezegd als je een passagierskaart hebt, mag je 3 voorkeurskentekens. 3 kentekens waar je tussen tussen mag wisselen.
Speaker 1:Maar dat zijn bijvoorbeeld kentekens van de buurman of
Speaker 2:Tot de Jannie, de buurvrouw en
Speaker 1:de zoon. Exact, ja.
Speaker 2:Daar hebben we ook van gezegd: wil je eentje eruit halen en de ander erin zetten, dan moet je 3 dagen wachten voordat dat andere kenteken
Speaker 1:ja, -Ook te ontvouwden natuurlijk.
Speaker 2:Anders zit iemand op de bank en die met een appje zegt maar: ik sta nu in Amsterdam, zet mij even Dus ook die wachttijd is 1 van die controleregels. Het convenant wordt door het college van burgemeester en wethouders vastgesteld. We bedacht hebben is dat we die controleregels los van het convenant maken. Want je wilt niet op het moment dat er een controleregel aangepast wordt, er 344 colleges, zeg maar, weer langs moeten.
Speaker 1:Dat wil je überhaupt eigenlijk al niet, maar zeker niet als het niet anders kan.
Speaker 2:Dus daarvoor hebben we bedacht dat daar SAPV, de Algemene Vergadering SAPV, het mandaat krijgt om die controleregels
Speaker 1:aan Precies, en in die coöperatie, natuurlijk die gemeenten, zijn
Speaker 2:lid van die coöperatie. Dus de grondslag zit in de parkeerbelastingverordening en in het convenant. En dat was dus voor de NDW best lastig. Dat is ook wel met IEW zo afgesproken. We gaan iets doen vóór gemeente, zonder dat ze daar een echte wettelijke taak voor hebben.
Speaker 2:Ik kan
Speaker 1:me voorstellen dat dit voor jou als programmamanager er dus inderdaad een hele grote juridische component zit aan jouw werk, omdat je aan het pionieren bent. Je probeert iets voor mekaar te krijgen wat er gewoon nog niet is, wat ook nooit is geweest, maar wel een maatschappelijke opgave ligt zou je kunnen zeggen.
Speaker 2:Onder een vergrootglas, want iedereen Ik
Speaker 1:kan me voorstellen dat zo'n autoriteit persoonsgegevens zich op een gegeven moment nog wel proactief hier tegenaan bemoeit of heb je wel eens wat voorgelegd daar? Ik krijg daar wat gemengde geluiden over zeg maar van in hoeverre de AP echt daadwerkelijk bij een voorafgaande raadpleging een zienswijze geeft. Dat doen ze vaker niet dan wel. Heb je dat wel eens overwogen om de AP actief te betrekken?
Speaker 2:Nee, maar hier vaar ik op Gosson. Gosson is voor mij echt mijn adviseur en op het moment dat hij zegt we moeten dit doen, dan volg ik hem blind. Maar wat ik van Gosson terug hoor is dat hij is denk ik goed ingevoerd. Hij zegt van ja, je moet het vooral zelf doen. De AP gaat niet zeggen van je moet het op deze en deze manier
Speaker 1:Dat is ook hun taak natuurlijk eigenlijk niet als toezichthouder.
Speaker 2:Nee, dus die stap hebben we met elkaar niet gemaakt.
Speaker 1:Maar je bent je denk ik wel bewust van dat die AP zich op een zeker moment nog actief zou kunnen bemoeien op hun eigen initiatief. Misschien zeggen ze wel van nou laat maar eens even zien hoe dat allemaal in elkaar steekt.
Speaker 2:RDW vindt dit ook om privacy technische reden ingewikkeld dossier, ook omdat ze die wettelijke taak niet hebben. Dus van begin af aan hebben hebben we echt heel veel juristen vanuit de RDW meegekeken. Dat is soms als programmamanager lastig, want
Speaker 1:je wil leveren. Zo ken ik jou ook. Je bent gewoon gedreven dat resultaat neer te zetten, maar je wordt wel afgeremd door dit soort juridische uitzoekwerk eigenlijk.
Speaker 2:Ja, ik probeer zelf het woord afgeremd niet te gebruiken.
Speaker 1:Wat wordt het antwoord gebruik jij dan? Dat het steeds beter wordt, zeg maar.
Speaker 2:Dus ik probeer mezelf continu voor te houden van ja, goed dat deze vraag gesteld wordt. Hadden we inderdaad niet aan gedacht.
Speaker 1:-En houd je dat een beetje vol?
Speaker 2:Ja, dat gaat met vallen en opstaan. Nu doe ik er heel vrolijk over. Dat kunnen momenten zijn dat ik in een hoekje aan het huilen ben omdat het weer een maand uitgesteld moet worden. Ja, je probeert continu haakjes te vinden, hè, maar dan gaat het live. Ik heb de website al 3 keer aangepast met de verwachte live datum.
Speaker 2:Want er is veel vraag bij gemeenten en ook eindgebruikers vragen van 'is het er al zover?' Maak een inschatting, dan komt er toch nog weer iets boven water waardoor het nog weer meer uitzoekwerk vraagt.
Speaker 1:Waardoor de live datum weer opgeschort wordt.
Speaker 2:Denk ik dat, we weten het nooit zeker, dan gaan we als we live zijn en nog weer andere mensen kritisch mee gaan kijken, gaan we daar achter achter komen of we het goed gedaan hebben. Maar ik denk met de kennis van nu, beter dan dit kan het op dit moment denk ik niet.
Speaker 1:Het onderwerp, zo komt het op mij over althans ook mede door het gesprek met Gossen, het onderwerp heel serieus genomen. Heel veel uitzoekwerk gedaan, heel veel expertise bij betrokken. Op een gegeven moment moet je dan ook zeggen wat had je dan nog meer moeten doen? Zijn er dan ook nog dingen die je gelaten hebt? Nou, daar heb ik geen zin in, weet je wel?
Speaker 1:Zo klinkt het niet. Wilco, slot, ik ben ook actief op het gebied van security. We hebben vooral gehad over privacy en de juridische kant van alles wat jullie onder wat jullie proberen neer te zetten in het digitaliseren van die gehandicapten parkeerkaart. Is informatiebeveiliging ook een item wat bij jou speelt?
Speaker 2:Zeker, zeker. Ik moet je eerlijk bekennen dat ik dat wel veel aan de techneuten van de EDW gelaten heb, want daar zit heel veel techniek aan. Kijk wat we met het NPR afgesproken hebben en dat is ook bij het GPK, is dat de data is van gemeenten en daardoor ligt de hele privacybescherming veel meer bij gemeenten en dus ook direct bij mij. Maar de techniek, de infrastructuur en de security, dat is echt RDW expertise. Dat is waar zij goed op zijn.
Speaker 2:Dus ik heb daar minder op te vinden en te begeleiden. Maar het was wel grappig hè, gemeente Eindhoven zal 1 van de eerste gemeenten die live gaat. Eindhoven werkt nauw samen met de Autoriteit Persoonsgegevens. Dat is publiek dat ze dus onder verscherpt toezicht staan. Ik vind
Speaker 1:toch zeggen 'werk nauw samen met' dat vind ik toch wel heel stuk beter klinken.
Speaker 2:Dus Eindhoven doet stinkend haar best om het perfect voor elkaar te krijgen. In zo'n tijdsgewricht komt dan een GPK voorbij, dus je snapt dat daar ook heel veel security en privacy mensen dit nauw volgen. Precies, die
Speaker 1:vinden daar wat van, die lezen daarop mee, die
Speaker 2:adviseren daarover. Zij deden zeg maar 2 A4'tjes met dat is helemaal jouw wereld waarschijnlijk, 2 A4'tjes met alle audit rapporten en waar dan die beveiliging aan moest voldoen. Dus die hadden ze, even in rapigheid, ze hadden alles verzameld in 2 A4'tjes en zeiden tegen de Zeg maar of jullie hieraan voldoen.
Speaker 1:Nou, het klinkt als een lat waar niet aan te voldoen is.
Speaker 2:Ik weet dat die projectleider RDW, die werd helemaal gek, jongen. Zij kan niet zeggen van ja, ga ik niet naar kijken. Dus die kreeg een puist werk, jongen. Die heeft 2 weken lang met een team alles doorlopen. Ik weet nog wel dat zij zij kwam terug en er stond zelfs een eis bij.
Speaker 2:Er was een Amerikaanse eis over Amerikaanse systemen en daar vonden ze wel grappig dat ze dat gevonden hadden. Wij doen niks met de Amerikaanse databases, alles is Europees.
Speaker 1:Dus dit was niet van toepassing dan? Was niet van toepassing,
Speaker 2:dus Eindhoven had zoveel verzameld en over de schutting geflikkerd, dat
Speaker 1:ze ook gewoon
Speaker 2:niet goed gekeken hadden wat daar dan precies in stond.
Speaker 1:Dat was misschien ook ingegeven door die toezichthouder die natuurlijk over hun schouder meekijkt en dat je als je dan ook nog de launching customer bent zullen we maar zeggen, de eerste dan wil je natuurlijk je huiswerk wel heel goed doen.
Speaker 2:Maar nu heb ik een prachtig document hé dus EDW heeft die 2 A4'tjes helemaal doorgespit, alles gecontroleerd overal ja op een groen vinkje op kunnen kunnen zetten.
Speaker 1:Eigenlijk is het voor jou als programmamanager natuurlijk heel fijn dat dan is misschien even schrikken toen Eindhoven met dat lijstje kwam, maar je hebt natuurlijk vooral door de RDW dan heb je nu eigenlijk ook je huiswerk gewoon op orde. Dus de eerstvolgende gemeente die jou lastige vragen stelt.
Speaker 2:Ik heb nu een prachtig in mijn toolbox als het om security gaat, heb ik nu een prachtig overzicht.
Speaker 1:Je hoeft je niet ongemakkelijk te voelen over die vraag. Je kunt gewoon zeggen nou, weet je, terechte vraag, hier heb ik het antwoord. Exact.
Speaker 2:Ik ben niet helemaal in die techniek, maar wat we dus samen met de app bouwen, dat is Associate voor de RDW, zit geen data in de app bijvoorbeeld. Dus alles, de app is zonder persoons.
Speaker 1:De app is alleen maar zeg maar de voordeur naar cloud waar het staat. Dat zal dan het rekencentrum van de RDW zijn. Dus
Speaker 2:op security is het zeker een aspect. We hebben daar pennen hek testen uitgevoerd, heeft de RDW uitgevoerd hierop. Ook weer een paar paar weken, 3 weken daarmee bezig geweest.
Speaker 1:Ik moet wel zeggen, kijk als security en privacy adviseur, ik word hier wel natuurlijk vrolijk van hé. Je hebt wel het gevoel dat het hier gewoon, je vak wordt gewoon serieus genomen en ja, dat is natuurlijk soms, dat is niet altijd zo. Er zijn natuurlijk ook trajecten waarbij de nood om iets live te brengen om wat voor reden dan ook, of die nou politiek, financieel of anderszins gemotiveerd is, iets moet er gewoon komen en je voel je aan alles als adviseur van ja, ik ben een soort obstakel. Ik word wel gedoogd, maar ik ben eigenlijk ook een lastpak. Mensen zeggen wel ja, dit moet ook allemaal, maar ik hoor ze erachteraan denken ja, maar het komt nu niet zo heel goed uit.
Speaker 1:Dus dat vind ik leuk aan dit, aan dit hele traject, daarom wilde ik ook graag met jou over podcast. Ik dacht ja, dit is nou een soort voorbeeld waarbij je echt het gevoel hebt dat dit allemaal serieus genomen wordt en gewoon ja, er zal ongetwijfeld jou nog wel eens tot frustratie leiden, maar ja, voor mij is het wel
Speaker 2:Ik hoop dat alles wat we nu zeg maar investeren hoop ik dat we straks voor blijven. Afbreek risico is gigantisch.
Speaker 1:Ja, is het is dat echt privacy en security bij design. Alles aan de voorkant goed doordenken, dicht timmeren en dan pas live gaan. Ik respect voor al het pionierswerk wat je doet Wilco en fijn ook dat je in de podcast zo open daarover wilt vertellen. Leuk om ook jouw perspectief natuurlijk te horen dan naast dat perspectief van Gossen wat we al eerder in de podcast hadden. Dus ik dank je hartelijk voor je, ja voor je leuke bijdrage en tot ziens denk ik wel.
Speaker 1:Ja, dat gaat zeker. En daarmee komt Keep Talking alweer tot een einde. Leuk dat je weer luisterde en volgende maand ben ik
