Nicpet

Privacybescherming met PET's: wie heeft welke rol?

Nicpet

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 31:44

De inzet van Privacy Enhancing Technologies kan het werken met vertrouwelijke en privacygevoelige data aanmerkelijk veiliger maken. Hoe mooi zo'n oplossing ook is, het raakt aan veel belangrijke keuzes binnen een organisatie: technisch, wettelijk, ethisch, privacy...

Bij het besluiten tot de inzet van deze technologie zijn er daarom meestal verschillende mensen betrokken. Welke precies, dat wordt in deze aflevering toegelicht door Martin Jonker (Belastingdienst) en Geneitha Francisco (Gemeente Rotterdam). Ze illustreren dat aan de hand van twee heel mooie toepassingen van deze PET's.

Dit is een podcast van het Nationaal Innovatie Centrum Privacy Enhancing Technologies. Bezoek onze website op www.nicpet.nl

SPEAKER_01

Gewoon het gedachtegoed dat je uit de ouderwetse manier van doen komt. Het gaat niet om data delen, maar het gaat om analyseren. En dat idee zullen we breder moeten verspreiden.

SPEAKER_00

Dit is Pets in de Praktijk, een podcast van NIPPET over de inzet en het gebruik van privacy enhancing technologies. Over de technologie en de maatschappelijke waarde ervan.

SPEAKER_02

Ik word heel vaak benaderd, ook intern, maar ook door externe, met de vraag van hoe veilig is het? Maar je ziet toch een beetje een huiverigheid om aan dataverzameling te beginnen. En dat vind ik wel heel moeilijk om te overwinnen.

SPEAKER_00

Ten gasten dit keer Genaita Francisco, projectmanager van de VE Monitor bij de gemeente Rotterdam. VE-Monitor staat voor voorschoolse educatie. En Martin Jonker, senior adviseur innovatie en strategie bij de Belastingdienst. We hebben het vandaag over de rollen en de verschillende functionarissen die bij de implementatie en de keuzes rondom privacy enhancing technologies betrokken zijn. Martin, om even te beginnen, de Belastingdienst is een van de grootste dataverzamelaars in Nederland. Welke potentie zie jij voor Privacy Enhancing Technologies?

SPEAKER_01

Ik denk dat er heel veel potentie in zit. Maar dan moet je ook even teruggaan in de tijd over hoe lang we al met privacy enhancing technologies bezig zijn. Dat we begonnen zijn allemaal met individuele experimenten. En dat we nu langzaam toe groeien naar een situatie dat je zegt van ja, weet je, we moeten misschien af van individuele puntoplassingen. Maar we moeten meer naar integratie in de systemen. En ik denk dat daar zit de potentie.

SPEAKER_00

Voorschoolse educatie, daar heb je het over lesgeven aan kinderen voordat ze de schoolgerichterte leeftijd bereikt hebben, wat heeft het met privacy te maken?

SPEAKER_02

Het gaat niet om het lesgeven aan kinderen. Het gaat om peuters tussen de twee en de vier jaar, die een kans hebben op onderwijsachterstand, ontwikkelingsachterstand. En die daar zorgen wij voor binnen voorschoolse educatie dat ze net even het opstapje krijgen om het duwtje in de rug om goed aan de basisschool te beginnen.

SPEAKER_00

En dat hebben jullie zo leuk gedaan. En zo goed gedaan, dat jullie daar zelfs een Nederlandse privacy award mee gewonnen hebben. Dat is bijzonder.

SPEAKER_02

Iedereen kent de belastingsschandaal in Nederland. Een groot deel van onze inwoners hebben daar ook last van gehad. En daardoor zijn de inwoners en ook de houders, dus de opvalginstellingen zijn daardoor heel erg onzeker geworden om data met ons te delen. En we hebben voor deze keuze gemaakt voor echt privacy. Om toch data te kunnen verzamelen over op de peuters in Rotterdam. Maar dat we ook kunnen verzekeren dat de ouders weten en ook de houders en ook het CGG. Dat we niet op de peuten, dat we geen rugnummers hebben, maar wel data kunnen verzamelen om wel voor ons beleidinformatie te hebben, maar voor data voor beleidsontwikkeling, maar toch wel de privacy kunnen waarborgen dat we de peuters niet op de persoon kunnen volgen. Dus vandaar dat we deze ontwikkeling hebben gekozen.

SPEAKER_00

Het gaat over hun persoonsgegevens. Maar die zijn niet herkenbaar waar dat niet nodig en menselijk is.

SPEAKER_02

Nee, voor ons als gemeente niet. Maar de CG heeft de data wel. De personsgegevens, maar ook de houten hebben die ook. Maar wij als gemeente hebben alleen maar de nummers.

SPEAKER_00

We gaan het hebben over rollen en functies binnen organisaties die te maken hebben met PETprojecten. Of dat zouden moeten hebben of zouden kunnen hebben? Laten we even heel praktisch zijn. Wat is jullie eigen rol bij dit verhaal, Martin?

SPEAKER_01

Voor dit verhaal trek ik een aantal casus. En kijk ik of ik. Ik ben lid van het kernteam NICPAT, de Nationaal Innovatie Centrum Privacy Enhancing Technologies.

SPEAKER_00

Degene die deze podcastserie maakt, ja, precies.

SPEAKER_01

Dus zo. En jouw rol, Genaita?

SPEAKER_02

Nou, vanuit mijn rol ben ik in de gemeente projectmanager van de VE Monitor. Ik ben ook de product owner van de VE Monitor. En ik werk op de beleidsafdeling Het Jonge Kind. En dan werken we het beleid van de VE Monitor.

SPEAKER_00

Dus je bent er vooral heel inhoudelijk bij betrokken. Ja, we hebben het net al heel even gehad over de VE Monitor. Misschien is het goed, Martin, ook aan jouw kant even te horen wat voor kaars er spelen. Ik hoor iets over de AO, dat is weer zo'n drieletterige afkorting. Aanvullende inkomensregeling en ouderomsvoorziening volgens mij. Naar mij weet is dat een van de eerste echte PET projecten in Nederland, ooit gestart door de Sociale Verzekeringsbank in samenwerking met de UWV. Wat is dit voor het project en waarom wordt de Belastingdienst daar nu bij betrokken?

SPEAKER_01

Dat is zeker al een keer succesvol gedaan. Het gaat over de aanvullende inkomensondersteuning van ouderen. Die de SVB moet aanbieden, zou ik maar zeggen. Maar ze weten niet wie daar recht op hebben.

SPEAKER_00

Het gaat over mensen die een tekort hebben bij hun AOW, doordat ze langere tijd in het buitenland hebben gewoond.

SPEAKER_01

Mensen die een klein AOW'tje hebben, geen overige inkomen en een klein vermogen. En de SVB moet op zoek. En is eigenlijk ook gevraagd in een aantal gevallen van god, doe dat nu via data-analyse. Ga niet. Want er is ook van alles geprobeerd. Er is ook met voorlichting geprobeerd en allerlei andere methoden. Maar daar kwamen ze niet uit. Dus probeer het met dataanalyse. Dat hebben ze in een casus gedaan. Dat is succesvol met SVB en UWV geweest. Er waren alleen ontbraken inkomensbestanddelen om dat te berekenen. En daar hebben ze natuurlijk de Belastingdienst gevraagd: goh, wil je daarin meedoen? En dat doen we graag. Maar goed, ook daar lopen we tegen een aantal obstakels aan nu. Waar we volop mee bezig zijn om te proberen die te slecht te halen.

SPEAKER_00

In jouw geval, de AO-casus gaat over mensen met potentieel te weinig inkomen als een kwetsbare doelgroep om daar een aanvulling op te geven. In het geval Beosje Nijtergard over kinderen die wellicht tekort schieten in hun basiseduatie, waar ze de rest van hun leven last van kunnen hebben. En om dat te voorkomen, is die voorscholde educatie in het leven geroepen om dat gat te dichten daar waar dat van kan. Oké, maar dan heb ik ook iets voor gegeven, Martin, dat er zoiets bestaat als een central liaison office project.

SPEAKER_01

Dat is een andere casus, CLO-kantoor. Central liaison office is een kantoor wat de internationale uitwisseling tussen buitenlandgegevens. Bijvoorbeeld rentegegevens, die komen uit allerlei buitenlanden naar Nederland toe. En dat loopt via het CLO-kantoor. En die hebben ook ooit geprobeerd om die uitwisselingen met match 3. Dat is een andere pettechnologieën dan de AO-casus. Dat doen we met NPC, multiparty computation. En die proberen met match 3, zo'n uitwisseling, zeg maar met minder data en veiliger te doen. Dus dat is een casus waar we nu aan werken. Het aardige is dat de CLO-casus, daar focussen we nu heel erg op de techniek. Dat is juridisch alles een keer uitgezocht met onze juristen van de Belastingdienst. We focussen daar nu op de techniek, kan het ook? Heb je de omgeving waar dat kan? Mag zo'n noden, zo'n analyse plek, mag dat binnen of buiten de ring van de Belastingdienst staan. Dus dan zitten we met architecten aan tafel, dan zitten we met data-specialisten aan tafel. Met cloud specialisten. Want dan is de vraag van ja, staat zo'n nodig binnen de grenzen van de Belastingdienst of buiten de grenzen van de Belastingdienst. Dan zitten we ergens in een cloud en we hebben weer een ander cloudbeleid. Aanpassen van cloudbeleid willen de architecten hoog in de organisatie weer architectuurplan aangepast hebben. Dus het is zo waar geen sinecure om alleen een kleine pilot, want we hebben het alleen nog maar over een pilot in een beschermde omgeving met een beperkt aantal data van de grond te krijgen.

SPEAKER_00

Ja, dat is wel een mooi bruggetje naar waar we eigenlijk naartoe willen in deze podcast. Het patroon is eigenlijk hetzelfde, voor jullie allebei, voor alle petprojecten. Er is een data-uitdaging, er is besloten tot samenwerking tussen twee of meer organisaties om die data uit te wisselen. Er is technologie beschikbaar, dat is meestal het probleem niet meer. En dan wil je aan de slag, er zijn er allerlei verschillende soorten lagen in een organisatie die betrokken zijn. Op strategisch niveau heb je de bestuurders, de CIO's. Maar je hebt ook aan de compliance kant, heb je mensen die meer aan de datakant zitten, aan de financiële kant wellicht, de privacy kant, de juridische kant. En je hebt nog allerlei architecten en adviseurs. Wat kunnen jullie zeggen over welke mensen kom je dan vooral tegen je? Wat voor mensen zijn er nog meer betrokken? Behalve jouw eigen inhoudelijke betrokkenheid binnen de gemeente Rotterdam, of misschien juist ook wel de buitenlog?

SPEAKER_02

Nou, voor mij speelt de grootste persoon waarmee ik samenwerk is de privacy officer binnen de gemeente. Juist omdat wij met data van kinderen werken, zijn we zijn gewoon heel zorgvuldig hoe we daarmee omgaan. Dus de privacy officer, bij alles wat ik doe, moet ik bij hem aftikken. Of het mag, of het kan, en in hoeverre ik de data daadwerkelijk nodig heb om in te zetten, om data te winnen, binnen te halen. En daarmee heb ik dus veel contacten met de privacy officer, de security officer binnen de gemeente. Maar ook bij het CRG heb ik ook veel contacten met hun privacy. Het Centrum voor Jeugd en Gezin. Sorry.

SPEAKER_00

We proberen afkortingen uiterlijk. Deze aflevering, dat is wel goed.

SPEAKER_02

Ja, met het Centrum voor Jeugd en Gezin probeer ik heb ik veel contact, want zij leveren ook data aan ons aan. En sommige data zijn ze ook heel voorzichtig mee. Dus het is constante wisselwerking tussen mij, de privacy officer binnen de gemeente, maar ook de officer binnen het CDG.

SPEAKER_01

En beslist zo'n privacy officer daar dan alleen in? Of heeft hij nog andere mensen nodig? Of moet hij naar buiten, naar de AP of zo? Hoe werkt dat buurder bij de gemeente?

SPEAKER_02

Nee, hij doet het met anderen. Hij wint altijd bij een adviseur. En jurist moet die informatie inwinnen. Da gaan we echt met elkaar aan tafel en dan gaan we bespreken, voornam niet alleen met de casus op dat moment, maar we gaan ook vooruitkijken in de toekomst waarvoor we de data gebruiken. Is het nodig om die data binnen te halen? Dus we bekijken van verschillende hoogpunten en hoeken om te kijken of het daadwerkelijk nodig is. De gemeente is heel voorzichtig met het winnen van data. Omdat we willen niet uitgleien en we willen ook geen data gaan inwinden en in een monitor hebben die we uiteindelijk niet nodig hebben. Dus we gaan er heel voorzichtig mee om.

SPEAKER_00

Dat is heel interessant. Want jij zegt, ik ga naar een privacy officer als ik bepaalde soorten data wil inzetten. Dat houdt dus in dat het systeem in ontwikkeling is. Dat je het uitbreidt, klopt dan? Ja, ik ben aan het uitbreiden. Wat gebeurt er dan als je naar een privacy officer toe gaat? Je zegt net al, hij heeft andere mensen nodig voor meer informatie, maar moet er dan ook elke keer een DPA worden gedaan?

SPEAKER_02

Nee, zolang het bijna de huidige DPA past, dan is het eigenlijk een overleg wat ik met hem heb. Ik wil deze kant op, pas nog binnen de DPA. Ik ben bijvoorbeeld met een stuk bezig dat ik de BRP-data binnen in de motor wil implementeren. Dat staat bijvoorbeeld wel omschreven, DPI, maar niet volledig. Dus we zijn nu aan het verkennen, moet de DPI aangepast worden, of kan ik een verdieping, of kan ik het wel gaan uitbreiden binnen de grenzen die er nu al staan.

SPEAKER_01

En wat speelt dan een belangrijke rol, de casus zelf? Want jij noemt het net wel altijd, een data-uitwisselingsprobleem. Ik zou een stap terug willen. We hebben gewoon een soort businessprobleem. De business heeft ergens een probleem wat mogelijk met data opgelost kan worden. En dat willen we dan zo veilig mogelijk doen en zo minimaal mogelijk doen. En daarom sluiten we aan op een NPC of op een match 3 op een pettechnologie. En waar ik benieuwd naar ben, is hoe speelt dan. En hoe belangrijk is dat, de casus een rol in die gesprekken met zo'n privacy officer. Gaat hij daarover of gaat hij puur over juridische aspecten?

SPEAKER_02

Hij gaat ook over juridische aspecten, maar het gaat echt om de casus bij ons. We hebben het nu over VE, over de voorschoolseducatie, twee tot vier jaar. Maar uiteindelijk in de toekomst wil je wel gaan uitbreiden om ook binnen het primair onderwijs kinderen te gaan volgen die in het begin VE hebben gedaan gevolgd. Om de leercur van de kinderen te volgen, uiteindelijk ook naar VO en verder. Dus het gaat niet om wat we nu in de monitor hebben. Uiteindelijk wil je de monitor gaan blijven uitbreiden. Dus ik haal daar wel rekening mee met de stappen die ik nu maak, ook in de DPA met de privacy officer. Om zo breed mogelijk de DP'a te omschrijven om te blijven bewegen. Want elke als je weer terug moet gaan om DPI aan te passen, dan gaan we er een paar weken overheen.

SPEAKER_00

Want met primair onderwijs heb je ook weer te maken met andere organisaties buiten de gemeente. Dus daar heb je hun toestemming ook weer voor nodig. En dan heb je ook weer te maken met hun bestuurders en hun beleidsmakers.

SPEAKER_02

Klopt. Maar daarom probeer ik nu alvast wel in te gaan zetten dat we die stap is er nog niet, maar ik denk dat je niet aan ontkomt om gewoon door te blijven gaan met ontwikkelen van die monitor om welvast voor te beduren.

SPEAKER_00

Martin, jij hebt te maken gehad met die twee andere casus die jij net beschrijven hebt, CLO en AO. Wat een soort functionaris loop jij vooral tegen, lijf?

SPEAKER_01

Of zie je dat zit er een verschil tussen? De AO-casus doen we samen met de SVB, met de Sociale Verzekeringsbank. En er was geen wettelijke grondslag. Dus de SVB die schrijft een conceptregeling, een conceptministeriële regeling. En dat gaat bovenlangs. Dat komt dus binnen bij ons op ministerie, bij wetgeving. Die dragen dan advies aan de Belastingdienst. En de Belastingdienst heeft een aantal concerndirecties, waar één juridische mensen zitten, twee uitvoering en handhavingsbeleid en drie onze club, de Innovatie en Strategieclub.

SPEAKER_00

Want die regeling die UWV en SVB hadden, die bestond al, maar er moest een nieuwe regeling komen omdat de Belastingdienst in de betrokken geraakt.

SPEAKER_01

Er moest een taak aan SVB toegewezen worden om proactief diensten te verlenen. In de zin van we gaan actief op zoek naar mensen die geen recht of die wel rechten mogelijk hebben, maar nog geen AIO hebben.

SPEAKER_00

Ja, maar in de AVG-termen heb je dus over het maken en het creëren van de rechtsgrond.

SPEAKER_01

Ja, helder. Zeker, maar ik heb dan wel verschillende lijnen. Want dat is de bovenkant lijn. Dan gaan dus die ministerie jongens dat ding beoordelen.

SPEAKER_00

Die moet eerst de licht op groen zetten voor de rest verder kan. Of klopt het parallel?

SPEAKER_01

En de tweede lijn gaat: stel dat zij, stel dat we akkoord zijn en daar hangt het nu op. Op die ministeriële regeling, dan komt de daadwerkelijke data-uitvraag van de SVB. En dat gaat eigenlijk weer onderlangs. Dan komen bij een gegevensloket, de afdeling waar de mensen zitten, die op de bakjes data zitten. En die gaan de DPI nog maken. Dus dan gaan we eigenlijk meer specifiek op de concrete gevraagde gegevens nog eens een keer het juridische verhaal.

SPEAKER_00

Jij mengt hier de data professionals, laten we eens maar even zo beclusteren en de privacy professionals bij elkaar.

SPEAKER_01

Het is meer juristen die over wetgeving gaan. Want voor die grondslag heb je een stukje wetgeving nodig. En onze collega's die doen het beleidskompastoets, wat tussen het ministeries geldt. En stellen zich de vraag van heeft SVB voor het probleem wat ze hebben wel de juiste weg bewandeld? En is de data-uitvraag wel de juiste weg om die mensen te bereiken. Kan je niet gewoon 225.000 drieven sturen, is dan de vraag gemaakt.

SPEAKER_00

Is dit anders dan bij dat CLO-project? Heb je nou een hele andere mix van betrokkenen?

SPEAKER_01

Het CLO-project loopt al wat meer jaren. Daar was dit juridische verhaal over de toepassing van match 3 al beoordeeld. En dat is vastgelopen ooit in de datalevering en in de techniek. En daar hebben we hem nu opgepakt. Van goh, kunnen we, wat ik zei, met architecten, met de IV, informatievoorziening, dus dat zijn de hardwerkkant van onze automatisering. Kunnen zo'n proefopstelling maken. Dat is de lopende discussie. Dat gaat met architecten, dat gaat met dataspecialisten, data-analisten. Wat ik zei, hè, cloud specialisten. Zeker, want als ik juridisch rond ben, dan en ik krijg het technisch niet uitgevoerd. Om we tegen die cloud problemen of tegen architectuurplannen aanlopen, werkt er niks. Hebben we nog eens een ding.

SPEAKER_00

Hoe stap bij als je een uithouder? De technische kant? Is dat iets van jou tegenaan loopt?

SPEAKER_02

Onze technische kant hebben we van aan de voorkant al uitgezocht. Bij ons loopt het net andersom. De technische kant worden eerst uitgezocht en daarna gaan we naar de privacy officer om het verder uit te werken. En op het moment dat de privacy officer en de security officer. En bij de jurist het allemaal rond is, dan ga ik bij de informatieadviseur en die gaat dan samen met mij een GLO opstellen.

SPEAKER_00

Is dat een bewuste keuze dat die volgorde andersom is? Of is het meer gebaseerd op het feit wie daar dichtst bij betrokken wil zijn of daar het karretje gaat trekken?

SPEAKER_02

Nee, de gemeente heeft echt gekozen om eerst het kan niet te doen, of het überhaupt mogelijk is en wat we daarvoor nodig hebben en dan verder af te pellen.

SPEAKER_01

Maar wist je op voorhand al of er juridische obstakels waren of niet?

SPEAKER_02

Maar daar liepen we heel erg tegenaan. Want we wilden de monitor al heel wat jaren wilde een monitor of iets hebben. En dat werden de jurist steeds tegengehouden. Omdat de privacy niet gewaarbigd kon worden.

SPEAKER_00

Inmiddels zijn jullie verder, want jij bent niet bij het helemaal eerste begin van het project betrokken geweest, maar het is wel mooi dat jij juist in de groeifase zit. Als je al deze mensen bij elkaar veegt, en het gaat niet om een volledig compleet lijst te maken van alle mogelijk betrokken mensen en functionarissen met afkortingen. Maar waar ligt dan de grootste horde, de grootste potentiële drempel, waar je in de praktijk het meeste tegenaan loopt, die kunnen vertragen. Jij noemt al even de juristen of de privacy mensen in het begin. Is dat nu nog steeds zo?

SPEAKER_02

Nee, met privacy hebben we dus ik merk dat het moment dat de privacy dus het goed uitgezocht is en je allemaal de kneuszelfde kant op hebt, dat het gewoon echt heel vlekkelijk vlekkeloos kan lopen. En met privacy loopt het gewoon geweldig eigenlijk om het zo te zeggen. Op het moment dat ik ergens tegenaan loop, is het één belletje en dan gaan we met elkaar aan tafel zitten. Omdat we met we hebben één. Het is een heel groot team, er zijn 38 mensen bij betrokken inmiddels. Maar we kennen elkaar en we kennen de casus. Dus je bent niet constant aan het zoeken naar mogelijkheden. Waar ik voornamelijk tegenaan loop, is nu de GLO. Gemeentelijke leveringsovereenkomst. Ja, en dat elke keer bijvoorbeeld nu dat ik met de BRP bezig ben, dan moet een GLO opgesteld worden.

SPEAKER_00

Dat is een overeenkomst tussen wie en wie?

SPEAKER_02

Intern, bij de gemeente. Dus dat we data van de ene bron naar de andere bron kunnen onttrekken. En daar loopt er wel vertraging op.

SPEAKER_01

Maar hoe werkt dat met je? Want doen jullie zelf de privacy Nancy Technology toepassen? Da heb je een externe voor ingehuurd?

SPEAKER_02

Ja, we hebben extern voor ingehuurd.

SPEAKER_01

En dus die zit nog ergens in het lijntje, zeg maar, van partijen die we betrekken.

SPEAKER_00

En wat is bij jou de grootste hoorde als je het per casus weer verschillend?

SPEAKER_01

Dat verschilt. En ik denk wat ik aan het begin zei dat de grootste hoorde eigenlijk is, is dat wij permanent met puntoplossingen bezig zijn. Dat wij doen zo'n casus. We proberen één probleem op te lossen op de AO. En dat is nog niet eens ons probleem, maar het is probleem van de SVB. We zingen eigenlijk gewoon als welwillende rijkspartner en proberen we daaraan bij te dragen.

SPEAKER_00

Voor aanvullende informatie, waardoor de analyse en de conclusies daarmee rijker worden. Beetig gekost door de SVB. CLO is jullie eigen ding.

SPEAKER_01

Ja, dat is onze eigen afdeling. En dat doet dan de uitwisseling met iemand anders. En daar loop je dan weer tegen andere problemen aan, bijvoorbeeld zo'n architectuur. Dus waar je eigenlijk naartoe moet, waar we binnen NikPetsverband natuurlijk ook al over praten, is moeten we nu wel al die puntoplassingen doen? Of moet je bij de inrichting van je organisatie, zeg maar, de inrichting van je datahuishouding, moet je daar niet gewoon rekening gaan houden dat je eigenlijk niet meer data wil delen. Maar dat het eigenlijk alleen maar om de analyse gaat. Dus dat je alleen maar voor de analysedata naar een analyseomgeving brengt en iets met de uitkomst gaat doen. Nou, dat is ook de opzet: het liefst, heb je in de pilot dat je dat laat zien, met zo'n werkende monitor, dat is briljant als je daar gewoon een mooi werkend voorbeeld voor hebt. Maar als je dat niet van de grond krijgt en de wereld om ons heen gaat wel een stuk harder door, met dataspaces, federatief datastelsel, data bij de bron. Dan zou je eigenlijk meer naar de inrichting van je organisatie moeten kijken. En dan kom je weer bij een kaderstellende directie toe, die de plannen op het langere termijn schrijft.

SPEAKER_00

In de vorige podcast kwam heel duidelijk naar boven dat het op zich natuurlijk als technologische toepassing geen doel is, maar een middel om te helpen bij ook in jullie gevallen maatschappelijk relevante problemen. De belangrijkste hoorde schijnt in veel gevallen te zijn dat er knopen is gehakt worden over of er wel de wil is en de bereidheid is om samen te werken met andere partijen. Herkennen jullie dat?

SPEAKER_02

Ja, we hebben heel erg verkend bezig geweest in het begin met het CG, Centrum Jeugdig Gezin, met de houders die de data van ons aan moeten leveren. En ook om duidelijk te maken waarom we de data nodig hebben. Het is alleen maar om data te verzamelen, want ja, dat is makkelijk. Maar het gaat echt gaat bij ons om ook beleidsontwikkeling, om vooruit te kijken in de toekomst. Wat gebeurt er in de stad, wat gebeurt er in onze wijken, in onze gebieden en hoe kunnen we daarop inspelen. En daar gebruiken de data voor. Maar een houder, een opvanginstelling, die is eigenlijk om kinderen op te vangen. En die is niet met database. Dus we moeten echt gaan overtuigen waarom hebben we de data nodig. Het is ook hun voordeel dat wij de data verzamelen om vooruitzicht te hebben binnen de stad. Ook het CRG bijvoorbeeld, die is eigenlijk om indicaties af te geven. En die heeft ook hun eigen data, waarom staat ze data aan ons leveren als gemeente? Dus het is inderdaad een wisselwerking, een overleg, maar ook om het heel duidelijk te maken en ook samen eigenaarschap te nemen over de peuters in de stad.

SPEAKER_01

Zo'n afdeling die dan vergunningen afgeeft, die moet ook op een hele andere manier gaan werken.

SPEAKER_02

Het is een externe.

SPEAKER_01

Maar die moet ook anders gaan werken. Dat is wat ik binnen de Belastingdienst merk en binnen het ministerie. We zitten heel erg in onze groeven, zal ik maar zeggen. We zitten heel erg in. Zo'n jurist die dan tegen mij zegt van ja, om hoeveel mensen gaat het potentieel? Welk bakje zet de SVB klaar? 225.000. Laat ze lekker een brief sturen, dan is het ook klaar. Gewoon het gedachtegoed dat je uit de ouderwetse manier van doen komt. En ook al gaat het. Het gaat niet om data delen, maar het gaat om analyseren. En dat idee, dat zullen we breder moeten verspreiden. En ik denk dat het dan ook beter gaat vliegen.

SPEAKER_00

Waar is het knopje van de automatische piloot, die kunnen we hem uitzetten.

SPEAKER_01

Ja, dat gaat ook om cultuurverandering. Dat gaat ook om: zo doen we het hier niet. Dat gaat ook om: ik ben het altijd gewend anders te doen.

SPEAKER_02

En ook om vertrouwen.

SPEAKER_01

Precies, vertrouwen.

SPEAKER_00

Even terug naar jou, Snaita. Je had het al heel even geval: vertrouwen. Die privacy enhancing technologies, encryptie, dingen, vaak een black box die mensen helemaal niet snappen. Angst. Angst voor weer een toeslagenaffaire of voor andere dingen die verkeerd kunnen gaan, jij noemde het niet voor niks. Dus blijkbaar is dat bij jullie wel een beetje een aandachtspunt. Hoe ga je ermee om? Wat moet je daarvoor doen om vertrouwen te winnen of angst overwinnen?

SPEAKER_02

Nou, ik denk dat de belastingafaire, dat is nog heel erg vers in de geheugen. Niet alleen bij de gemeentes, bij de overheid, maar ook bij de bevolking zelf. Dus op het moment dat mensen horen dat de data verzameld worden, gaan alle gevoelspieten meteen omhoog en alarmbellen gaan rinkelen. Dus met vertrouwen vanuit mijn project, waar ik mee bezig ben, is niet alleen naar de burgers toe. Maar ook naar alle houders, CGG, alle partijen die iets met data aan ons aanleveren, het vertrouwen te waarborgen dat wij zorgvuldig met de data omgaan.

SPEAKER_00

Wat doen jullie dan iets concreets naar die ouders toe, naar die burgers toe, om ze daarin mee te nemen?

SPEAKER_02

Wij informeren, we hebben zoveel mogelijk informatie ook op de website te zetten, dat burgers kunnen lezen dat er data verzameld worden en wat er met de data gebeurt. Daarnaast, het moment dat wij. Als we ergens zijn en we zijn allemaal geïnstrueerd om ook de juiste informatie te geven, zij niet direct contact met de burgers. Wij spreken de burgers niet direct. Maar het gaat wel via de houders. Dus de opvanginstellingen die data aanleveren. Op het moment dat ouders vragen stellen, dat ze ook de juiste antwoorden kunnen geven en waarom we data verzamelen en wat we de data doen. Ik denk dat vertrouwen het meest belangrijke is omdat mensen gewoon bang zijn dat hun gegevens op straat komen te liggen, of dat hun keuzes minder een rugnummer krijgen of een stempel krijgen. En dat wil je natuurlijk niet.

SPEAKER_00

Even bij jou, Marten, jij zit dan wel dichter bij de plek waar de toeslagenafaire ooit begonnen is, zie je dat nog steeds terug als een soort zwaarse dameklets waar mensen nog steeds hypervoeg zijn. Als je net hebben het over burgers, misschien speelt dat bij jullie wel meer bij de bestuurders?

SPEAKER_01

Ja, niet direct. Ik denk wel, ik zit natuurlijk niet bij toeslagen, bij herstel van toeslagen. Daar zal dat nog wel directer, wat, ervaren worden.

SPEAKER_00

Het is geen dagelijkse belemmering meer, waardoor projecties worden afgeschoten, kritisch worden bekeken.

SPEAKER_01

Niet zozeer zo'n toeslagen vooral. Kijk, we hebben best wel een ook een hele juridische organisatie. En wat bij ons beter aanslaat is, is dat je de AP laat vertellen dat je eigenlijk een pet moet gaan gebruiken, zeg maar. Dus dat je een soort van strafbaar van als je geen pet gebruikt. Dat soort beelden zouden bij de juristen veel meer overtuigend overkomen.

SPEAKER_00

Zoals een AVG-bestuurder ooit zei aan de bestuurstafel, er staat in de AVG dat je de laatste stad van de techniek moet overwegen. Als je dus pet niet overweegt, ben je illegaal bezig.

SPEAKER_01

Dus dat zou meer helpen, omdat ze te veel vastzitten in de groep, zoals we het altijd deden.

SPEAKER_00

Even omdraaien. Dit zijn de belemmeringen. Waar liggen de kansen? Bijvoorbeeld het feit dat jullie allebei al met petprojecten bezig zijn, helpt dat bij het tot stand doen komen van volgende trajecten op hele andere werkgebieden.

SPEAKER_02

Ik hoop het wel eigenlijk. Ik denk dat het moment dat er meer bekendheid is van PETprojecten of NPC. En dat het bewezen is dat het ook veilig is, denk ik dat het wel deuren gaat openen, vooral binnen gemeenteland. Want je kan er heel veel mee bereiken. Dus ik zie zeker wel kansen.

SPEAKER_01

Zeker. En wat ik wat ik zie op visie en beleidsvorming is dat het ook wel steeds dat het langzaam, zeg maar, overal ingeschreven wordt. Dat het langzaam overal meegenomen wordt, dat het inderdaad veiliger kan en dat het met minder data kan, dat je niet hoeft te delen, maar dat je eigenlijk een data bij de bron kan houden. En dat vergt wel wat overtuiging en zendingswerk, bij de mensen die die visiestukken schrijven en die de beleidsdocumenten schrijven. Maar daar zie je in de loop van de laatste twee jaar, denk ik, veranderingen.

SPEAKER_02

Ja, maar waar ik tegenaan loop is vooral de vraagstuk. Ik word heel vaak benaderd, ook intern, maar ook door externe, met de vraag van hoe veilig is het? Maar je ziet toch een beetje een huiverigheid om aan dataverzameling te beginnen. En dat vind ik wel heel moeilijk om te overwinnen.

SPEAKER_00

Maar jij zou in het geval van de gemeente Rotterdam inderdaad actief kunnen gaan praten met andere product owners. Of misschien juist wel in VNG-verband. Of in het verband van de G4 hebben andere grote gemeenten. Bij de Belasting Systemologisch Redstap, misschien naar de manifestgroep, andere uitvoeringsorganisaties om de verhalen te delen. Maar goed, jullie zitten niet van niks hier aan tafel. We gaan richting een afronding van deze podcast. Wat is er nodig voor een grootschalige doorbraak van PET toepassingen? Niet als doel, maar als standaard deel van wat je in je gereedschapist hebt zitten.

SPEAKER_02

Ik denk zelf meer bekendheid. Meer bekendheid van de resultaten die je kan behalen ermee. Meer bekendheid van de winsten die te behalen zijn. En als dat bij mensen doorden, denk ik dat er minder huiverigheid zou zijn om eraan te beginnen. Om je ook meer in de toekomst kan gaan kijken, de resultaten die dan kan gaan boeken. We kijken heel vaak in het hier en nu, of op korte termijn, vinden nu en twee of drie jaar. Maar als je dan nog verder gaat kijken, wat je met deze technologieën kan bereiken.

SPEAKER_00

En wat voor soort mensen, functionaris, moeten dan vooral die bekendheid met die technologie hebben? Waar schort het nu? Zijn dat de juristen, zijn dat de beleidsmakers?

SPEAKER_02

Beleidsmakers denk ik sowieso. Maar die zijn niet zo nabij betrokken. Maar ook juristen moeten wat is een groot woord. Maar het zou fijn zijn als juristen ook wat breder zouden gaan denken. Meer in mogelijkheden. Vaak denken we in onmogelijkheden. Of zijn we angstig van wat er mis kan gaan als het fout gaat. Maar we kijken niet naar wat allemaal wel goed gaat.

SPEAKER_01

Als er nergens staat dat het mag, dan doen we het niet. Dus dat zouden om moeten draaien, dat gedachte.

SPEAKER_00

Antwoord altijd ja tenzij.

SPEAKER_01

Nou ja, dat is dus bij juristen is het andersom. Het is nee tenzij. En dat zie ik heel erg aan die beleidskant. Zowel op de werkvloer, zeg maar, waar de data verstrekt moeten worden, van de mensen die op de bakje zitten. Als ook aan de beleidskant bovenin. En ook het ministerie overstijgend. Als ik nu kijk naar de Nederlandse digitaliseringsstrategie, dan vind ik het een gemiste kans dat daar PET niet of nauwelijks in genoemd staat. We hebben prioriteit twee over data delen. Er staan alle knelpunten in, die ooit via de Tweede Kamer afgedwongen zijn opgehaald. Maar er staat daar nergens in dat je dat met PET zou kunnen. Dus als we ergens een plek moeten hebben waar we zeggen we gaan hier centraal beleid voeren, we gaan echt nu lijnen uitzetten op langere termijn. En die koppelen we aan ontwikkelingen wat IBDS doet, het interbestuurlijke datastrategieprogramma met het federatief datastelsel. Dan moeten we daaraan koppelen dat je pet moet gaan invoeren. Rinus, de organisatie die als knoppunt data verstrekt aan gemeentes en tussen andere instellingen, die gaan nu kijken welke uitwisseling kunnen wij wellicht vervangen met een pet? Dat soort ontwikkelingen.

SPEAKER_00

De kennis verspreidt zich steeds meer. Tot slot, wat is jullie belangrijkste tip aan de luisteraars die overwege om met pet aan gaan werken, of die uit nieuwsgierigheid deze podcast hebben aangezet? Wat zou je belangrijkste tip zijn voor hen over pet?

SPEAKER_01

Geef het vraagstuk een gezicht. Als ik juristen spreek, dan stel ik ze steeds nu eerst de vraag: realiseer jij je wel dat je door een jaar lang te kisssenbissen over juridische grondslagen, gewoon een hele groep mensen verstoken laat van een aanvullende inkomensondersteuningsregeling.

SPEAKER_00

Dus kijk naar de maatschappelijke waarde ervan. Wat je mee kan bereiken.

SPEAKER_01

Of je businessprobleem, of maar geef het een gezicht en koppel daar je oplossingen.

SPEAKER_02

Mooi. Nou, ik vind het wat je net zegt, maatschappelijke waarden. Ik denk dat het moment dat we gaan inzien dat we juist met PET of andere technologieën maatschappelijke waarde kunnen vergroten, dat we dan een stuk verder zijn.

SPEAKER_00

Genaita, eens Francisco, gemeente Rotterdam. Het was je allereerste podcast, denk je wat allerlaatste woord. Martin Jonker, Belastingdienst. Dank jullie wel dat jullie mee hebben gedaan. Hopelijk is interesse in dit soort technologieën en de toepassingen van aangewakker tot deze podcast. Luister ook naar de andere afleveringen van deze serie. Meer informatie over privacy enhancing technologies en over NIPPED kun je vinden op onze website nikad.nl