De samenleving wordt steeds meer digitaal. Van een huisartsconsult tot geld overboeken en van een parkeervergunning aanvragen tot het doorgeven van een verhuizing – meer en meer diensten zijn online toegankelijk. Ook publieke organisaties zoals overheidsinstanties bieden in toenemende mate de mogelijkheid om zaken digitaal te regelen. Dat biedt kansen, bijvoorbeeld op het gebied van snellere dienstverlening, een hoger gebruiksgemak en kostenbesparing. Om bij te kunnen blijven in een veranderende wereld moet Nederland daar als samenleving ook gebruik van maken. Dat gaat echter niet zonder uitdagingen.

‘Data zijn de grondstof’

Dat wat digitalisering mede mogelijk maakt, is tegelijkertijd ook hetgeen dat een van de grootste uitdagingen met zich meebrengt: data. Hoe meer online geregeld wordt, hoe makkelijker het is om informatie te verzamelen, ordenen en opslaan. Die opgeslagen data zijn een vorm van kennis, bijvoorbeeld over de piektijden waarop men online geld overmaakt, of de hoeveelheid parkeervergunningen die in een bepaald deel van de gemeente worden aangevraagd. “Data zijn de grondstof”, vat Stijn Grove, directeur van de Dutch Datacenter Association (DDA), samen. “Daarmee kunnen we kennis creëren en delen.” Omdat kennis met betrekking tot klanten een grote rol kan spelen bij een succesvolle bedrijfsvoering en dienstverlening, verzamelt bijna iedere organisatie tegenwoordig data.

Volgens Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), is het op zich prima dat organisaties data verzamelen, opslaan en uitwisselen. Wat daarbij wel van belang is, is dat men zich aan de regels houdt, zodat het bedrijfssucces of de betere dienstverlening niet ten koste gaan van iemands privacyrechten. Dat geldt ook voor publieke organisaties. Wolfsen: “Een van de spelregels is dat er niet meer informatie verwerkt mag worden dan nodig is voor het doel.” Dat houdt bijvoorbeeld in dat een gemeente die persoonsgegevens verzamelt over de zelfredzaamheid van mensen, alleen díe gegevens mag verzamelen die direct relevant zijn voor het bepalen van iemands hulpvraag.

Er zijn genoeg voorbeelden te vinden van situaties waarin vraagtekens gezet worden bij de manier waarop dit soort regels wordt nageleefd. “Er gaat haast geen dag meer voorbij zonder dat privacyvraagstukken rondom data-inzameling, opslag en beveiliging het nieuws halen. Het speelt enorm”, concludeert Grove. Wel meent hij dat er nog een weg te gaan is voordat alles echt goed is geregeld, zowel op het gebied van digitale mogelijkheden als het wettelijke kader eromheen. Wat daarbij moeilijk is, is het feit dat de verandering sneller plaatsvindt dan de wetgeving kan bijhouden. Zo weerhoudt de huidige energiewetgeving netbeheerders ervan om de bestaande stroomnetwerken in en rondom Amsterdam op te schalen. “Dat soort zaken moeten worden aangepast naar de realiteit van het moment”, stelt hij.

Nieuwe privacywetgeving

Waar de energiewetgeving wellicht nog even achterblijft, is per 25 mei 2018 een nieuwe Europese privacywetgeving van kracht die beter moet aansluiten bij de digitale samenleving van nu. De zogeheten Algemene verordening gegevensbescherming (AVG) vervangt de nationale privacywetten van lidstaten van de Europese Unie. Een van de aanpassingen die de wet beter geschikt maakt voor een digitale samenleving is een artikel over toestemming. “Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken”, licht Wolfsen toe. Het biedt mensen meer mogelijkheden om voor zichzelf op te komen als het gaat om het verwerken van hun persoonsgegevens. Zo moeten organisaties onder de AVG kunnen bewijzen dat ze toestemming hebben gekregen voor het verwerken van gegevens en moet die toestemming tegelijkertijd weer makkelijk in te trekken zijn. Ook heeft men recht op inzage in de gegevens die bijvoorbeeld een gemeente verwerkt.

Hoewel de ontwikkeling van een digitale samenleving veel kansen biedt voor bedrijven en overheden, houdt het dus ook in dat men zich bewust moet zijn van dit soort nieuwe wetgeving. En niet alleen dat, men moet er ook naar handelen. Zo benadrukt Wolfsen dat de AP vanaf 25 mei verplicht is iedere klacht over een mogelijke overtreding van de AVG in behandeling te nemen en daar vervolgens sancties aan kan verbinden. Die kunnen in extreme gevallen oplopen tot boetes van 20 miljoen euro. Hij adviseert bedrijven en overheidsinstanties dan ook met spoed te zorgen dat medewerkers de nieuwe privacyregels kennen, vast te leggen welke persoonsgegevens men verwerkt, en te zorgen voor een gedegen datahuishouding. Indien nodig dienen ze een functionaris aan te stellen die controleert of ze de regels naleven.

Razendsnelle ontwikkeling

Het doel van de AVG is om de wetgeving aan te passen aan de moderne maatschappij. De kans bestaat echter dat wanneer deze wet van kracht gaat, hij sommige nieuwe ontwikkelingen al niet meer dekt. In een recente adviesbrief bracht de Cyber Security Raad (CSR) de ‘razendsnelle’ ontwikkeling van nieuwe technologieën zoals bijvoorbeeld het Internet of Things (IoT) onder de aandacht. Dit netwerk van ‘intelligente’ apparaten, sensoren en andere objecten verzamelt gegevens over de omgeving, wisselt deze uit en kan op basis daarvan (semi)autonome beslissingen en/of acties nemen. Volgens de CSR zal het IoT een steeds prominentere rol gaan spelen in het dagelijks leven, waarin de fysieke en digitale wereld steeds verder met elkaar vervlochten raken. “De toepassingen van het IoT zijn breed en variëren van eHealth, smart homes, smart industries, smart cities tot digitale infrastructuur. Denk bijvoorbeeld aan pacemakers, slimme stofzuigers, zelfrijdende voertuigen, zonnepanelen en sluizen”, stelt de brief. De technologische en economische kansen die het IoT met zich meebrengt, gaan echter samen met een bedreiging voor privacy en veiligheid, omdat IoT-toepassingen nu nog slecht beveiligd zijn.

Kennisvraag

Een economie die gebaseerd is op data roept niet alleen privacyvraagstukken op, maar ook vraagstukken omtrent de juiste kennis en kunde om ermee te werken, alsmede het waarborgen van de beschikbaarheid van de data. “Het verandert volledige bedrijfsmodellen. Zo zijn banken onderhand veranderd in techbedrijven met een bankfunctie, in plaats van banken die gebruikmaken van techniek”, zegt Grove. Dat heeft een grote impact op de manier waarop diensten worden aangeboden, iets wat ook binnen de overheid zichtbaar is. Waarom zou men bijvoorbeeld nog naar een loket moeten als alles online geregeld kan worden? En waarom zou je ambtenaren inzetten om gegevens te controleren wanneer dit efficiënter en beter geregeld kan worden met behulp van IT-systemen? Volgens Grove kunnen zowel bedrijven als de overheid dit soort kansen benutten om veel meer zaken standaard goed te doen op een klantvriendelijke manier. Daarbij heeft men wel de juiste mensen nodig die gespecialiseerd zijn in IT-systemen, data, privacy, wetgeving, en meer. “De kennisvraag is anders. Nieuwe kennis moet aanwezig zijn bij politici die op hoog niveau beleid maken voor de digitalisering van de samenleving, maar zeker ook bij de mensen die andere beroepen uitvoeren”, zegt de directeur.

Een duidelijk voorbeeld hiervan zijn technici. Alle digitale diensten en IT-systemen moeten draaiende gehouden worden met de juiste digitale infrastructuur. Ook moet op een slimme en goede manier omgegaan worden met alle beschikbare data. Om dit alles in goede banen te leiden is een grote hoeveelheid technische kennis nodig, die veel partijen nog niet zelf in huis hebben. Daarnaast heeft de digitalisering echter ook effect op bijvoorbeeld het dagelijkse werk binnen een advocatenkantoor. Daar moet de moderne advocaat tegenwoordig gespecialiseerd zijn in de meest recente privacywetgeving rondom het verzamelen, opslaan en verwerken van data.

Digitale toekomst

Grove concludeert dat dit bijzondere tijden zijn. Veel is aan het veranderen, waardoor men steeds meer kan wat eerst niet kon en steeds beter begrijpt hoe men uitdagingen op het gebied van een veranderende wereld kan aangaan. Wat hem betreft is er geen weg terug omtrent digitalisering en zullen we voorwaarts moeten blijven gaan. Volgens de CSR heeft Nederland een uitstekende positie om de economische kansen van deze digitale toekomst te benutten dankzij het vestigingsklimaat en de beschikbare infrastructuur. Wel moet hard gewerkt worden aan de uitdagingen op het gebied van het goed en veilig omgaan met data. Daarbij spelen de juiste wetgeving en kennis de hoofdrol.

Verwerking van persoongegevens
Organisaties mogen niet zomaar persoonsgegevens verwerken. Men moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent zes grondslagen. Kan de gegevensverwerking niet gebaseerd worden op minimaal één van deze grondslagen? Dan heeft men niet het recht om de persoonsgegevens te verwerken.

Welke grondslagen zijn er?

  • Toestemming van de betrokken persoon.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Bron: Autoriteit Persoonsgegevens

Digitalisering van de publieke sector
Technologie en ethiek van belang bij data-analyse

« Technologie en ethiek van belang bij data-analyse

Wet- en regelgeving
De twee kanten van een digitale overheid

De twee kanten van een digitale overheid »