Gastblog Cees Zwinkels | Privacy juristen: Hun marktwaarde keldert

Gastblog door Mr.Cees.Zwinkels MPC; info@ceeszwinkels.com

De privacy jurist en ICT-toepassingen ‘Privacy juristen’ worden wekelijks door de media gevraagd hun mening te geven over nieuwe ICT-toepassingen. De steeds terugkerende vraag aan hen is ‘Mag dit juridisch wel of niet?’ De juristen hanteren een standaardaanpak. Dat gaat als volgt. ‘Is er een juridische grondslag voor het gebruiken van ICT-toepassingen in relatie met de gekozen doeleinden voor verwerking van persoonsgegevens?’ Vervolgens is er de toetsing aan het beginsel van proportionaliteit. De belangen van de verwerkingsverantwoordelijke (lees directie of opdrachtgever) en die van betrokkenen (lees de werknemer of de klant) moeten tegen elkaar worden afgewogen. En uiteraard moet getoetst worden aan het principe van de subsidiariteit (lees dataminimalisatie).

De gevolgen van de hierboven beschreven aanpak zijn inmiddels ook bekend. Het aantal beursgenoteerde bedrijven, die hun nieuwe ICT-toepassingen terugtrekt uit angst voor koersdalingen, groeit. Een voorbeeld is een groot retailbedrijf in Nederland. Deze multinational vroeg werknemers foto’s van nauwsluitend ondergoed ten behoeve van nieuwe bedrijfskleding op te sturen. De betrokken privacy jurist sprak zich in het openbaar negatief uit over deze constructie. Vervolgens trok het bedrijf de actie terug.

Een grote luchtvaartmaatschappij gaat haar werknemers online volgen bij het onderhoud van de vliegtuigen over de wereld. De privacy jurist gaf een negatief oordeel. Het bedrijf startte toch een gerechtelijke procedure en kreeg haar gelijk ruim 2 jaar verder.

En overheden anticiperen inmiddels op het gedrag van privacy juristen. Zij stellen nieuwe ICT-toepassingen uit of halen ze uit de planning!

En hoe zal de privacy jurist oordelen over het volgende praktijkgeval? Een voetbalclub in de eredivisie laat de supporters, die de wedstrijden moeten kijken vanuit de risicovakken, scannen met behulp van camera’s met gezichtsherkenning. Tevens zijn er inmiddels microfoons geplaatst om racistische opmerkingen van de aanhangers te registreren. De ‘straf’ is dat degenen, die racistische opmerkingen hebben gemaakt en herkend worden op de lijst van camerabeelden, een stadionverbod van 2 jaar krijgen opgelegd.

Ik geef alvast het antwoord van de privacy jurist. Deze zal zijn veto uitspreken over de gewenste nieuwe situatie bij de voetbalclub. De reactie daarop laat zich ook voorspellen. Er komt wederom een stuk extra nieuwe wet- en regelgeving om het registratiegedrag van de voetbalclubs uit te breiden. Tevens zullen er weer nieuwe koppelingen gelegd worden met andere databases, zoals die voor verkeersboetes, uitkeringen en huursubsidies.

Van privacy jurist naar ICT-jurist Mijn opvatting is dat de privacy jurist het uiteindelijk altijd verliest, als hij zich tegen het invoeren van nieuwe ICT-toepassingen keert in organisaties. Bedrijven en overheden kunnen zich in hun omgevingen (nationaal en internationaal) niet permitteren niet te doen, dat wat de buurman wel doet of gaat doen.

Ik pleit voor een juridische houding om het gebruik van nieuwe ICT-oplossingen gewoon wel te accepteren. De invalshoek moet zijn dat de jurist gaat beoordelen in hoeverre de informatiebeveiliging op orde is ten behoeve van de bescherming van de zwakke partij. Ja, dan heb je verstand nodig van niet alleen wet- en regelgeving, maar ook van de issues binnen informatiebeveiliging in relatie met bedrijfsvoering en ICT. Enige te beantwoorden vragen hierbij ter illustratie van deze opvatting.

Wat gebeurt er als je systemen gaat koppelen? Welke risico’s ontstaan bij de ‘achterdeuren’?

Hoe worden de dossiers beveiligd en vernietigd? Wie kunnen online toegang hebben? Welke processen worden gebruikt voor een betrouwbare dossiervorming?

Hoe is de beoordeling van de nakoming van de getroffen ‘passende’ maatregelen georganiseerd? Welke controls zitten er dus in de betrokken ICT-systemen en de ondersteunende bedrijfsprocessen?

Wat zijn de risico’s binnen een cloud omgeving, welke buiten de EU staat? Welke oplossingen moet je kiezen?

Laat dus de privacy jurist plaats maken voor de ICT-jurist. Dat is ook wat de markt steeds meer vraagt! De student met de specialisatie van informaticarecht zal zich buiten de rechtenfaculteit moeten bekwamen op de terreinen van information security, proces- en netwerkmanagement, ICT-architectuur en ICT-normen.

De juridische faculteit zelf moet een verdiepingsslag gaan maken met betrekking tot het onderwerp van de privacybescherming. In de praktijk is steeds minder vraag naar de algemene en abstracte advisering met betrekking tot de toepassing van de AVG en andere privacywet- en regelgeving.

Ik noem nog maar even een paar normen met betrekking tot informatiebeveiliging die de ICT-jurist –moet kunnen toepassen : ISO 27001 en 27002, BIO, ISO 7510-12; ISAE 3000, en SP 800-53, Deze normen zijn de concretisering van de algemene wet- en regelgeving (bijvoorbeeld de AVG) ) en de steeds belangrijker wordende sectorwet- en regelgeving. Deze bevat de specifieke paragrafen over de gegevensuitwisseling, het gebruik van nummers, etcetera. Een recent voorbeeld zijn de Wet en het Besluit Forensische zorg.

Voorbeelden van de nieuwe aanpak dienen zich al elders aan. Denk aan de master Financieel recht. Studenten moeten verplicht en minimaal één jaar vakken volgen aan de Economische Faculteit en deze succesvol afronden.

Ter afsluiting vermeld ik dat de ICT-jurist in de praktijksituaties oplossingen moet kunnen aanreiken met behulp van een goed gevulde gereedschappenkist : contracten (inclusief SLA’s), MOU’s, convenanten, protocollen, standaarden, beleids – en werkinstructies, aanvullend op de uitvoering van algemene en sectorale wet- en regelgeving middels besluiten.

Ook een gastblog schrijven? Mail je concept naar actualiteitenictrecht@gmail.com!