Privacy & de cloud in de praktijk: wetgeving

Show Notes

Hoe combineer je werken met én in de cloud met de bescherming van persoonsgegevens en de beveiliging van informatie? In de derde aflevering van de podcastserie ‘Privacy & de cloud in de praktijk’ hebben we het met Bas de Natris (Coördinerend Adviseur Cloud Security, Directie CIO Rijk) en Jacques Eding (Coördinator Privacy team CIO Rijk) onder andere over nationale en internationale regelgeving, toezicht en de verantwoordelijkheden van de CISO, CPO, CTO etc. binnen een overheidsorganisatie.

De podcastserie is mede mogelijk gemaakt door CIO Rijk. 

Transcript

Bas de Natris: De technische mogelijkheden van data analytics, profilering AI gaan ook heel hard. We moeten ook heel hard blijven lopen en bij al die nieuwe ontwikkelingen heel goed blijven kijken wat dit voor privacy betekent en als we daar niet happy van worden, wat we daaraan nog kunnen doen.

Walter van Wijk: Dit is 'Privacy & de cloud in de praktijk'. Hoe werk je met en in de cloud zonder dat het je privacy in gevaar brengt? In deze aflevering gaan we dieper in op de privacykant van cloudgebruik.

Jacques Eding: Besef dat de cloud meer is dan de gegevens die je in de cloud stopt, de cloud ook gaat over de verwerking van gegevens die voortkomen uit de cloud, dat alleen de keuze voor 'het staat in Europa' mogelijk niet logischerwijze ook de juiste keuze is.

Walter van Wijk: Te gast Jacques Eding, coördinator privacy bij CIO Rijk - de privacyman met cloudervaring - en Bas de Natris, senior adviseur Cloud Security bij Binnenlandse Zaken, de cloudman met privacyervaring. We beginnen even met het lonkend perspectief. Stel je voor dat we met z'n allen - de hele Nederlandse overheid - grootschalig in de cloud duiken en we het op de juiste manier en veilig en volgens de regels doen, welke potentie zien jullie dan voor de overheid? Jacques.

Jacques Eding: De cloud heeft de potentie om onze IT-ondersteuning op een goede manier te regelen die efficiënt en effectief is.

Walter van Wijk: Je hoeft het niet meer zelf te doen.

Jacques Eding: Eén van de onderdelen is dat je delen ervan niet meer zelf of samen kan doen. Samen één cloud oprichten voor de hele overheid dat betekent veel meer samen doen, en dat je kan gebruikmaken van de gemeenschappelijke kennis en de resources die iedereen heeft.

Walter van Wijk: Bas, hoe zie jij het? Wat is jouw long term-perspectief?

Bas de Natris: Even aanhakend op wat Jacques zegt over het gebruikmaken van elkaars resources. Je kan de computer resources die we hebben - of we die cloud nu in eigen beheer of met partners ontwikkelen, maakt even niet zoveel uit - veel efficiënter inzetten. Je hebt al je data op hetzelfde platform, waardoor je dat veel beter kan delen en veel meer ervan kan gebruikmaken. Je kan AI veel beter inzetten.

Walter van Wijk: Waartoe leidt dat dan?

Bas de Natris: Dan kom je op het mooie dilemma. Daar kan je heel veel mooie dingen mee doen. Je kan de Nederlandse burgers veel beter helpen als je al die gegevens combineert, maar er zitten ook risico's aan. Als je al die data bij elkaar brengt en AI gaat inschakelen, kun je prachtige dingen ermee doen, maar het kan ook hopeloos uit de klauwen lopen en een soort Big Brother-samenleving creëren, waardoor het doorslaat. Dat wil je niet. Ik denk dat daar een goed privacybeleid bij nodig is om te zorgen dat we wél gebruikmaken van die technische capabilities, efficiency, schaalbaarheid en interoperabiliteit van de cloud. We mogen niet doorslaan in een God mode waarbij je met één druk op de knop alle data van alle Nederlanders op allerlei mogelijke manieren gaat analyseren.

Walter van Wijk: Dat schilderij van het lonkend perspectief krijgt een stevige lijst, waar de kaders in verwoord zijn.

Bas de Natris: Ja.

Walter van Wijk: Laten we daar maar gelijk op doorgaan. Als je kijkt naar het goed werken in de cloud, wat zijn op dit moment de belangrijkste juridische haken en ogen die dat tegenhouden, beperken of vertragen?

Jacques Eding: Een van de belangrijkste is dat als we het nu over de cloud hebben, we het voornamelijk over partijen van buiten Europa hebben. Aan partijen van buiten Europa zitten kenmerken dat we gegevens buiten de jurisdictie van de Europese Unie of de Europese Economische Ruimte brengen. Daar zitten allerlei risico's aan. Risico's van gegevensbescherming en rondom privacy, soevereiniteit en autonomie.

Walter van Wijk: Daar waar de GDPR niet van kracht is.

Jacques Eding: Of de GDPR wel van kracht is of een vergelijkbaar niveau als de GDPR van kracht is, zoals in Amerika met het Data Privacy Framework. Dat rust helemaal op de jurisdictie in Amerika, die ook in de loop van de tijd kan veranderen.

Bas de Natris: Die GDPR is altijd van toepassing, ook al draaien je data in Amerika. Dat laatste is overigens bijna nooit nodig. Maar ook al is dat zo, dan is de GDPR of de AVG van toepassing, maar er is ook Amerikaanse wetgeving van toepassing. Als die conflicteert - en dat doet ze op sommige punten - kan het zo zijn dat een Amerikaanse rechter moet beoordelen welk rechtssysteem voorrang krijgt. Dat zouden we liever hier bepalen dan daar te laten bepalen.

Jacques Eding: Wat heel belangrijk is dat we het heel vaak hebben over de inhoud, de gegevens die we ergens opslaan, ook in clouddiensten. Maar een clouddienst heeft als elementair onderdeel dat hij niet alleen maar gegevens opslaat, maar ook gegevens maakt van het gebruik. Het feit dat je ergens inlogt in een cloud, levert gegevens op over dat inloggen.

Walter van Wijk: De metadata.

Jacques Eding: De metadata, de telemetriegegevens. Ondanks dat we kiezen voor opslag in Europa en dan ook nog met allerlei mooie maatregelen als versleuteling en zo eromheen - we kunnen redelijk ervoor zorgen dat andere mogendheden niet erbij kunnen - worden die telemetriegegevens nog steeds uitgewisseld in het kader van de grote dienstverleners naar Amerika.

Bas de Natris: Dat wordt nogal eens over het hoofd gezien. Dan wordt er heel goed gekeken naar de eigen data die we in de cloud opslaan en bewerken. Maar wordt er vergeten dat die telemetrie - die je niet altijd ziet - er ook is, de cloudprovider per definitie altijd toegang ertoe heeft, dit bij sommige cloudproviders ook in Amerika opslaat en verwerkt. Als je niet goed in de gaten hebt wat die gegevens zijn, heb je ineens een datatransfer naar de Verenigde Staten veroorzaakt zonder dat je je daarvan bewust bent.

Walter van Wijk: Dat zijn ook data en als die te herleiden zijn naar natuurlijke personen, heb je te maken met persoonsgegevens. Voor de duidelijkheid: als wij via de cloud informatie uitwisselen of toegankelijk maken vanuit Nederland naar bijvoorbeeld Amerika, dan zijn wij in Nederland nog steeds gehouden aan de regels van de GDPR.

Bas de Natris: Zeker.

Walter van Wijk: Er zijn landen - zoals Brazilië en een aantal andere - die redelijk in de buurt komen van de GDPR qua nationale wetgeving, maar in Amerika ligt dat anders. Wat zijn de belangrijkste verschillen tussen de Amerikaanse en Europese wetgeving?

Jacques Eding: We hebben een fiks aantal landen waarbij er een adequacy besluit geldt, waarbij de Europese Commissie heeft gezegd: we hebben het rechtssysteem in dat betreffende land beoordeeld en de bescherming die dat rechtssysteem in dat desbetreffende land biedt, ligt op het niveau van de AVG. Japan is zo'n land. Amerika is ook zo'n land. Daar hebben we het Data Privacy Framework mee. Het Data Privacy Framework betekent dat organisaties die zich in Amerika hebben ingeschreven voor dat raamwerk en gecontroleerd worden door de Consumentenautoriteit, zeg ik zo uit mijn hoofd, maar ik kijk Bas ook even aan.

Bas de Natris: Dat zou ik even moeten nakijken.

Jacques Eding: Die in ieder geval gecontroleerd worden en waar ook in Amerika via een presidentieel besluit een specifieke rechtbank, een toezichthouder voor opgericht is. Dat betekent dat we in principe daarmee ook gegevens mogen uitwisselen, omdat die organisaties voldoen aan het AVG rechtssysteem. Dat betekent op dit moment dat er juridisch gesproken geen probleem is met het uitwisselen van gegevens met die specifieke Amerikaanse partijen vanuit AVG-optiek.

Bas de Natris: Dat vind ik niet altijd voldoende. Je kan zeggen: het mag van de wet, dus ik doe het. Je kan ook denken: moet het? Kan ik maatregelen nemen dat die data toch in Europa blijven, ook al zou ik ze naar Amerika mogen verplaatsen? Dat zou mijn voorkeur zijn als dat niet echt moet. In veel gevallen denk ik dat het ook helemaal niet hoeft. Hou het dan toch lekker hier, want dan heb je meer afstand tot die Amerikaanse wetgeving, ook al kan die in dat soort gevallen toch nog in de buurt komen. Als jouw provider uiteindelijk een dochterbedrijf van een Amerikaans bedrijf is, dan nog kan die wetgeving ook binnen Europa een effect hebben dat je niet wil en ook niet altijd kan voorkomen.

Walter van Wijk: We hebben het nu over de huidige status van de AVG, de GDPR, die redelijk stabiel is. In Amerika zijn de wetten en regels wat dynamischer van aard. Zijn er nog concrete verwachtingen ten aanzien van wetten of regelgeving vanuit Europa die dit nog verder gaan beïnvloeden: GDPR, Data Act, AI Act?

Jacques Eding: Er leven sowieso heel veel dingen rondom wetgeving en de Amerikaanse juridische situatie, waarbij er nu niet direct een uitspraak te doen is over hoe dat uitwerkt. Als je ziet hoe de Amerikaanse overheid reageert op boetes die bijvoorbeeld aan Twitter worden gegeven - sorry, X heet dat tegenwoordig - dan kan dat een specifieke uitwerking hebben. Het formele juridische standpunt is nog steeds dat we een juridisch raamwerk hebben waarbij we juridische maatregelen hebben genomen om gegevens goed te beschermen als ze naar Amerika worden verplaatst. Dat is er nu nog. We kunnen niet vooruitlopen op wanneer dat er niet meer is. Het is een presidentieel besluit van Biden, gemaakt met de autopen. Het schijnt dat daarover nu wat ophef is.

Bas de Natris: Zolang het geldt, geldt het en kan je er gebruik van maken.

Jacques Eding: Precies.

Bas de Natris: Mijn stelling blijft dat je moet kijken of het nodig is. Als je het niet nodig hebt, loop je de risico's als dat eventueel zou wijzigen alvast niet, want de data hou je binnen Europa of helemaal formeel de Europese Economische Ruimte.

Jacques Eding: Dan komt het neer op twee dingen. Eén: een goede risicoafweging vooraf. Willen we onze gegevens wel naar een externe buitenlandse commerciële partij brengen?

Walter van Wijk: Dat klinkt als DPIA.

Jacques Eding: Een DPIA, een risicoanalyse, een afweging van IT-sourcing. Twee, een goed exitplan. Of we het nu hebben over Amerika of andere landen, adequacy besluiten worden elke drie jaar opnieuw beoordeeld. Ze kunnen ook weer worden ingetrokken. Dat betekent dat zo'n land niet meer adequate is, niet meer hetzelfde beschermingsniveau biedt. Dan moet je je gegevensverwerking ook weer uit zo'n land terughalen. Dat hebben we ook al eerder gezien met Schrems II. We hebben een periode gehad waarbij we geen gegevens meer mochten uitwisselen met Amerika. Het zou nu weer kunnen gebeuren - of met Schrems III of op een andere manier - dat we op een punt komen dat we moeten zeggen dat er geen gegevens meer naar Amerika mogen.

Bas de Natris: Daarover zou ik geen voorspellingen durven afgeven, maar de kans is niet nul. Dan denk ik dat je moet voorbereid zijn. Ga na welke data - inclusief, waar Jacques over begon, de metadata - er in Amerika staan en maak een plan voor als dat ineens niet meer zou mogen. Je hoeft het plan nog niet uit te voeren, maar dan weet je in ieder geval wat je moet gaan doen als het wél zover komt.

Walter van Wijk: Kunnen wij in dit kader nog iets leren van andere landen die misschien iets verder of slagvaardiger hierin zijn dan wij?

Bas de Natris: Als je binnen Europa kijkt, zie je dat de discussie over soevereiniteit in een aantal landen al eerder begonnen is en ook wat verder doorgevoerd is. Frankrijk is misschien altijd wat patriottischer dan wij en daardoor zijn er daar ook meer Franse oplossingen, Franse cloudleveranciers, soms in combinatie met Amerikaanse leveranciers met grote cloudproviders. Maar dan wél lokaal gemanaged door een Franse partij, waardoor er toch wat meer grenzen en mogelijkheden zijn om data binnen het land en meer in eigen hand te hebben. Nederland is een erg open economie, erg georiënteerd op de hele wereld. Dat vind ik fantastisch, maar we moeten soms ook kijken naar landen die dat wat minder hebben en wat we daarvan kunnen leren. Dan zie je dat die discussie loopt in Frankrijk.

Bas de Natris: Zij zijn echt al een stuk verder. Die loopt ook in Duitsland. We hebben contact met Zwitserland, waar ze zich op dit moment aan het voorbereiden zijn om tot een Swiss Government Cloud te komen in een overheidsdatacenter, gemanaged door de overheid, waar in principe de hele Zwitserse overheid - van gemeenten, kantons tot de federale overheid - haar meest kritische data en processen kan onderbrengen.

Walter van Wijk: Dat betreft landen die vooral de bescherming van hun eigen nationale belangen wat meer op het netvlies hebben.

Jacques Eding: Ja. Wij liepen vóór. In 2011 is er ooit het idee geweest om een Rijkscloud in te richten. Dat was ver vooruit. À la Frankrijk en Duitsland, die nu heel druk bezig zijn, hadden wij dat idee ook al. Alleen zijn er toen allerlei belemmeringen geweest, onder andere in de overheidsinrichting, waardoor dat niet gelukt is.

Walter van Wijk: Even de praktijkstap van als dingen verkeerd gaan. Stel dat er gegevens op straat belanden - of misschien nog erger, op het darkweb - waar beginnen en eindigen de verantwoordelijkheden dan van de leverancier en die van de gebruiker?

Jacques Eding: Een datalek vind ik niet het grootste risico dat we hebben met internationale clouddiensten. Het zijn onder andere dingen als profilering door externe overheden. Het risico op een gegevenslekkage is niet groter bij een grote Amerikaanse provider dan bij een Nederlandse provider of dan als we het zelf doen.

Walter van Wijk: Deel je die mening, Bas?

Bas de Natris: In zoverre. Heel veel datalekken werden - en worden nog steeds - verweten aan cloudproviders, omdat dan een storage-functionaliteit wordt gebruikt als een manier om even snel wat grote bestanden over te dragen. Die zijn te groot voor de e-mail. Wat doe ik? Ik maak bijvoorbeeld op Amazon een storage bucket aan. Dat heet een S3 bucket. Die zet ik open en ik stuur een link naar Jacques en zeg: "Hé, Jacques, hier staat het bestand dat je wilde hebben."

Walter van Wijk: In goed Nederlands een opslagemmer.

Bas de Natris: Ja, een opslagemmer. Vervolgens vergeet je allebei hem weer dicht te zetten. Nu staat hij open. Er is altijd wel iemand die een tooltje draait waarmee hij scant op open buckets. Die vindt hem en publiceert: kijk eens, hier staat een enorme spreadsheet van de overheid met allemaal persoonsgegevens. Is dat een lek van Amazon, Microsoft of Google of is dat een lek van een gebruiker die de drie waarschuwingen die je online krijgt voordat je die bucket hebt openstaan naar het internet genegeerd heeft, het toch gedaan heeft en vergeten is om hem daarna dicht te zetten? Ik denk het tweede, maar het is heel makkelijk om dat aan de cloudprovider toe te wijzen.

Walter van Wijk: Even terug naar jouw opmerking, Jacques, over het verhaal van profilering. Waarom is dat een groter risico?

Jacques Eding: Bas onderschrijft wat ik zei. Het is configuratie. Configuratie kan je zelf ook fout doen. Wat profilering betreft, gaat op het moment dat we gegevens naar Amerikaanse partijen sturen Microsoft niet direct in al onze data kijken. Wat er wél gebeurt, is dat ook telemetriegegevens de plas over gaan. Die telemetriegegevens kunnen toegevoegd worden aan een profiel dat al van ons bestaat. Een profiel dat van ons bestaat, kan omgebouwd worden. Op het moment ik dan in Nederland websites bezoek die mogelijk in Amerika vreemd worden gevonden, zou het zomaar kunnen dat ik, als ik aan de grens kom, ermee word geconfronteerd dat ik die websites heb bezocht. Dat is - denk ik - een veel groter risico van gegevensverzamelingen, even los van datgene dat we formeel regelen.

Jacques Eding: Het klinkt heel stom, maar de meeste datalekken komen voort uit foutjes van mensen. Ergens in het proces of in het systeem is er een foutje gemaakt door een mens. Die fouten kunnen heel groot of heel klein zijn, maar dat is niet afhankelijk van de leverancier van de dienst die ik heb.

Walter van Wijk: De mens is de zwakste en tegelijk volgens sommigen ook de sterkste schakel.

Jacques Eding: De mens is de sterkste schakel, ook binnen het verwerken van persoonsgegevens.

Walter van Wijk: We hebben het elke keer over Amerika, maar die horen niet per se in het lijstje van de bad guys met statelijke actoren. Ik hoor geen China of Rusland of Korea. Hoe is het risico van de cloud ten aanzien van dat soort landen?

Jacques Eding: Je ziet dat het gebruik van Yandex - de Russische cloud - of het gebruik van de Alibaba Cloud in Nederland heel klein is.

Bas de Natris: Om je vraag op een andere manier te beantwoorden: als je drie jaar terugkijkt, kwam uit dat hackers vanuit China - of het vanuit de Chinese overheid was, weten we niet, maar in ieder geval hackers die zich fysiek in China bevonden - een enorme hack op Microsoft hadden gedaan, diep in de haarvaten van het systeem zaten, in de mailboxen zaten van ambtenaren en politici die zich bezighielden met het buitenlandse beleid gericht op China. Hoe erg kan je het hebben? Dat is ook allemaal uitvoerig gedocumenteerd in een rapport van de Amerikaanse overheid, die dit gesignaleerd heeft en allerlei adviezen heeft uitgebracht aan Microsoft hoe zij van alles technisch en ook in hun cultuur moeten verbeteren. Dat heeft Microsoft ook allemaal aangenomen en uitgevoerd, maar op die manier zie je dat die grote cloudproviders een zeer aantrekkelijk doelwit zijn voor dit soort hackers, want daar gebeurt het.

Bas de Natris: Als ik mijn eigen e-mailvoorziening draai, ben ik veel minder aantrekkelijk. Daar kan je niet zoveel halen, of je moet heel gericht net mijn e-mails willen hebben.

Jacques Eding: Tenzij ik weer de Nederlandse overheid ben. Wij zijn ook een interessante partij om te hacken. Het blijft te allen tijde dat je een goede afweging aan de voorkant moet maken van wat je nodig hebt en waar je dat wil onderbrengen. Er zijn diensten. Het snel schaalbaar zijn van een grote cloudprovider biedt heel veel voordelen. Een website als crisis.nl draait tijdens normale dagen misschien één of twee bezoekers per maand. Die moet in één keer kunnen opschalen naar 10 miljoen gebruikers in een uur, bij wijze van spreken. Ik weet niet of ze zo groot schalen, maar in ieder geval gigantisch, van een hele kleine website naar een hele grote website in no time. De vraag is of we dat ooit voor elkaar krijgen met eigen resources, anders dan het dusdanig bouwen dat dat kan. Dan staat er weer een datacenter de hele dag te niksen.

Bas de Natris: De informatie op crisis.nl is toegankelijk. We hoeven ons geen zorgen te maken dat die informatie gehackt wordt. Iemand die die informatie wil hebben, kan beter crisis.nl intoetsen en het zelf lezen.

Jacques Eding: Het enige gevaar dat je dan nog hebt, is dat de informatie niet gelezen, maar veranderd wordt.

Walter van Wijk: We buigen ons even over de privacy. Ik hoor jullie allebei praten over afspraken die gemaakt zijn met andere landen buiten de Europese werkingssferen van de wet. Is het toepassen van privacy enhancing technologies een oplossing daarvoor? Meer met encryptie werken, het versnipperen van data over verschillende soorten bestanden en servers.

Jacques Eding: Elke vorm van privacy enhancing technologies waardoor veroorzaakt wordt dat je geen persoonsgegevens meer verwerkt , maar gegevens verwerkt, biedt voor heel veel zaken een oplossing. Niet voor alles. Dat is wel heel groot. Absoluut. Op het moment dat we multiparty complementation gaan toepassen en een van de partijen in het geheel een Amerikaanse cloudprovider is, heeft die geen inzichten meer in het geheel. Alle andere dingen die we hebben, dan heb ik het over MPC: hoe gaaf zou het zijn als we homomorphic encryptie grootschalig zouden kunnen uitvoeren binnen onze dienstverlening met de Amerikaanse cloudproviders?

Bas de Natris: Ik denk dat we de komende jaren echt dingen in de realiteit moeten gaan testen en doen, want ik denk dat we daar heel veel mee kunnen bereiken.

Walter van Wijk: Ook daarin loopt Nederland redelijk voorop in de gelederen, ook internationaal gezien. Mocht je meer willen weten over dit soort toepassingen, kijk dan eens op de site van nicpet: N-I-C-P-E-T punt nl. Functionarissen die met privacy bezig zijn: wat is de gedroomde rol van een CPO - een Chief Privacy Officer - ten aanzien van cloudtoepassingen? Hoe moet hij of zij betrokken zijn bij het starten en het bewaken van de samenwerking?

Jacques Eding: Een CPO is een tweedelijnsfunctie. Als het goed is, is een Privacy Officer de eerste lijn. Hij doet dingen als risicoanalyse, DPIA's, het goed en gemotiveerd keuzes maken voor de sourcing van middelen. Hij is de eerste lijn. Hij is in principe de verantwoordelijke partij. Een CPO heeft vanuit de tweede lijn een monitorende functie en dan heb je de derde lijn - de FG - als controlerende functie. Het is niet meer dan logisch dat bij grote IT-sourcingsvraagstukken - of dat een cloud is of een nieuw groot IT-systeem kopen en het in huis bouwen - de eerste, tweede en derde lijn van informatiebeveiliging en van privacy erbij betrokken zijn.

Bas de Natris: Ook tijd en energie steken in een soort van kruisbestuiving. Wat ik zelf ook in mijn vorige banen gemerkt heb, is dat de juristen met veel privacykennis en -ervaring lang niet altijd heel veel verstand van IT hebben en IT'ers zelden veel verstand van privacywetgeving hebben. Daardoor zie je dat er oplossingen gebouwd worden die uiteindelijk niet deugen. Dat is niet omdat de IT'er niet deugt, maar omdat hij het niet weet. Dat wordt soms niet herkend door de privacymensen, omdat ze onvoldoende van de techniek kennen. Die twee clubs moeten veel meer elkaars taal leren spreken. Je zou best meer tijd kunnen steken in elkaar goed begrijpen en nieuwe ontwikkelingen - of dat nu technische zijn of ontwikkelingen op privacygebied - gezamenlijk bespreken. Wat betekent dit voor elkaar?

Jacques Eding: Dit klinkt bijna als een venndiagram tussen die twee. Laten we dat venndiagram dan vooral ook uitbreiden met andere functionarissen: de architect, de informatiemanager, de CEO of iemand vanuit de business. Het is een vreselijk modewoord, maar heel veel dingen rondom dit soort problemen vergen een multidisciplinaire aanpak en vooral multidisciplinair kijken naar hetzelfde object.

Walter van Wijk: Als je verder uitbreidt naar meerdere organisaties toe - want heel veel overheden werken in allerlei verschillende soorten ketens met leveranciers, met andere overheden - hoe haalbaar is dat dan nog? Dat klinkt als een heel complex verhaal met heel veel betrokken medewerkers idealiter. Zien jullie dat in de praktijk goed werken, dat de verschillende disciplines elkaar goed verstaan en ruimte krijgen en elkaar ook begrijpen, ook als ze van verschillende organisaties zijn?

Bas de Natris: Het is gevaarlijk om ja daarop te zeggen.

Jacques Eding: Precies.

Bas de Natris: Ik werk nog niet zo heel lang voor de overheid. Binnen de overheid zie je dat er heel veel overleg wordt georganiseerd. Er zijn intern voorlichtingsmiddagen, waar je naartoe kan gaan, waar mensen vertellen: wat komt er nu weer uit Brussel op ons af? Wat was de Nederlandse positie daarin? Wat is het geworden? Als ik de tijd kan vinden om erheen te gaan, zie ik er mensen vanuit uitvoeringsorganisaties, vanuit justitie, techneuten zitten. Die gesprekken zijn er. Is het voldoende? Misschien nog niet. Zeker als je een nieuw project begint, zou ik zorgen dat die diverse stakeholders uit dat grote complexe venndiagram elkaar eerst goed begrijpen voordat je heel diep de inhoud induikt.

Jacques Eding: Dan hebben we de problemen in één kolom binnen de Rijksoverheid, niet zozeer de privacykolom, die B-kolom, maar binnen één organisatie. Wat je hebt over ketens, overstijgt vaak organisaties. We hebben nu de NDS gelanceerd, juist om meer als één overheid te gaan acteren. Dit is typisch iets waarin we vaker en meer als één overheid moeten gaan acteren. Het idee dat iets dat bij het ene departement is ontwikkeld ook goed kan zijn voor mijn departement of dat wat bij een gemeente vandaan komt ook goed kan zijn voor mijn departement of dat wat een waterschap maakt ook goed kan zijn voor een gemeente. Dat is die ene overheidsgedachte, die we de komende jaren veel meer body en inhoud moeten geven, ook vanuit privacy.

Walter van Wijk: We gaan afronden. De wereld is steeds complexer. Er is veel meer regelgeving, ook vanuit Europa, de cloud met allerlei aangesloten landen die niet per se onderwerp zijn van de GDPR, technologie in ontwikkeling. Hoe hoopvol zijn jullie ten aanzien van het beschermen van persoonsgegevens met al dit soort technologische, juridische en maatschappelijke ontwikkelingen?

Jacques Eding: Het is niet zozeer dat ik bij het opstellen van de OSD-principes al heel veel in privacy deed. Dat was een beetje aan het begin van mijn leven. Je ziet wél dat vanaf het moment dat we meer zijn gaan nadenken over de privacy, met de vorige regelgeving en nu met de wetgeving, we grotere stappen maken. We kunnen steeds meer, maar we beseffen ook steeds meer dat - wat Bas ook al zei - het feit dat iets mag niet altijd betekent dat het goed is. Dat besef komt steeds meer. Het zit niet zozeer in documenten. Het zit veel meer in het besef van: is datgene wat we nu doen met persoonsgegevens nog verantwoord? Is dat nog eerlijk en netjes?

Walter van Wijk: Het groeiende besef is voor jou in ieder geval voeding voor een behoorlijke hoopvolle blik, als ik het zo hoor.

Jacques Eding: Ik denk dat we nog heel veel klagen over allerlei dingen die er niet zijn qua bijvoorbeeld DPIA's, maar ik denk dat als we terugkijken er heel veel meer is dan er tien, vijftien jaar geleden was.

Walter van Wijk: Bas?

Bas de Natris: Ik ben het helemaal met je eens. Er is een enorme verbeteringsslag gemaakt. Ik geef een voorbeeld. Toen ik bij een cloudprovider werkte en de AVG inging, waren we in eerste instantie klanten aan het bellen om te zeggen dat ze nu een verwerkersovereenkomst met ons moesten afsluiten. Die heb ik, want daarover kan je niet onderhandelen. Je krijgt een standaard. Die kan ik je sturen. Die moet je tekenen en terugsturen. We kregen bijna geen klanten zover om dat te doen. Uiteindelijk hebben we ze onderdeel gemaakt van de gebruikersovereenkomst, want het werkte niet en het leefde niet. Ik denk dat dat behoorlijk gewijzigd is. Er is veel meer aandacht voor. Er wordt veel meer rekening mee gehouden. Daar hebben we een hele goede slag gemaakt.

Bas de Natris: Alleen gaan de technische mogelijkheden van data analytics, profilering AI ook heel hard. We moeten ook heel hard blijven lopen en bij al die nieuwe ontwikkelingen heel goed blijven kijken wat dit voor privacy betekent en als we daar niet happy van worden, wat we daaraan nog kunnen doen.

Walter van Wijk: Goed dat we wakkerder zijn, maar vooral wakker blijven. Wat zijn tot slot jullie belangrijkste tips of suggesties om mee te geven aan privacy professionals ten aanzien van privacy en cloud? Bas.

Bas de Natris: Snap wat die cloud te bieden heeft. Dat je de techniek niet van A tot Z begrijpt, lijkt me logisch, maar de meeste cloudproviders bieden ook cursussen aan voor de niet-techneut. Doe dat en praat met je techneuten. Zorg dat je begrijpt wat er gebeurt, wat de risico's zijn. Wie heeft de sleutels als iets wordt geëncrypt? Hoe werkt dat? Hoe houden we daar control op? Het werkt soms net anders dan je zou denken als niet-techneut.

Walter van Wijk: Het klinkt ook een beetje als boerenverstand.

Bas de Natris: Ja.

Walter van Wijk: Jacques, tips voor privacy professionals?

Jacques Eding: Besef dat de cloud meer is dan de gegevens die je in de cloud stopt, dat de cloud ook gaat over de verwerking van gegevens die voortkomen uit de cloud, dat alleen de keuze voor 'het staat in Europa' mogelijk niet logischerwijze ook de juiste keuze is. Zorg dat je ook meewerkt aan of betrokken bent bij het maken van die keuze. Gegevensbescherming is een van de kwaliteitscriteria waarover in die keuze nagedacht moet worden.

Walter van Wijk: Jacques Eding en Bas de Natris, dank jullie wel voor jullie bijdragen. Deze podcast is geproduceerd door het Centrum Informatiebeveiliging en Privacybescherming - het CIP - en werd mede mogelijk gemaakt door het privacyteam van CIO Rijk. Luister ook de andere afleveringen in deze miniserie. Meer informatie kun je vinden op onze website cip-overheid.nl. Tot een volgende keer.