Wordt Aleid Wolfsen de nieuwe Mister No?

08-11-2016

Ho stop, privacy geschonden. De Autoriteit Persoonsgegevens zit innovatieve ondernemers soms flink dwars. Of is het: zát? Sinds september heeft de privacy-waakhond een nieuwe voorzitter. Dít is hij van plan.

 

Het ruikt nieuw in de kantine van de Autoriteit Persoonsgegevens. Nieuw gebouw, nieuwe voorzitter. Zelf lijkt oud-burgemeester Aleid Wolfsen er ook nog een beetje aan te moeten wennen. Sinds september is hij in functie en moet zichzelf nog op de kaart zetten: wordt hij voor ondernemers de nieuwe Mister No? En kan geen innovatieve ondernemer nog met nieuwe technologieën aan de slag omdat de waakhond hem of haar dan met privacy om de oren slaat? Of gaat hij er juist voor zorgen dat bedrijven aan de toekomst kunnen werken?

 

Meneer Wolfsen, u  moet er op toezien dat bedrijven zorgvuldig omgaan met gegevens en privacy van burgers. Diezelfde bedrijven hebben nou juist die data nodig voor innovatie. Bent u niet te streng?
'Er is geen maatschappelijke verbetering of vernieuwing meer mogelijk zonder data. Voor het ontwikkelen van medicijnen, voor het doen van wetenschappelijk onderzoek. Daar ben ik me zeer van bewust. Maar bedrijven dénken vaak dat ze tegen blokkades aanlopen, terwijl die er niet zijn. Innovatie en privacy zijn twee kanten van dezelfde medaille. Ik heb laatst een gesprek gehad met de zorgverzekeraars – op hun initiatief. Ook zij willen innoveren en vernieuwen op basis van gegevens. Ik merkte dat ze worstelden met wat er wel en niet mocht. Daar willen wij hen dus bij helpen.'

 

Wie is Aleid Wolfsen? Aleid Wolfsen (Kampen, 1960) is sinds september voorzitter van de Autoriteit Persoonsgegevens in Den Haag. Hij studeerde rechten in Groningen. Na een juridische carrière, waarin hij onder meer vicepresident was van de rechtbank in Haarlem, was hij van 2002 tot 2008 Kamerlid voor de Partij van de Arbeid. Daarna was hij tot 2014 burgemeester van Utrecht.

 

Innovatieve bedrijven konden bij uw voorgangers niet altijd rekenen op sympathie of meedenken. Toen ING een paar jaar geleden overwoog om klantprofielen te verkopen, kreeg de bank direct een veeg uit de pan.
'Op het moment dat ik in het FD las dat de bank diensten wilde aanbieden door het verkopen van data van haar klanten, schrok ik. Ik zeg altijd: zoekmachines weten meer van je gezondheid dan je huisarts. Je telefoon weet meer van je dan je partner. En ook banken weten heel veel van je. Ze hebben daarom een grote vertrouwensfunctie. Als bezorgde burger heb ik me ook afgevraagd: wat zullen we nu krijgen? Gaan ze mijn data verhandelen?'

 

Mét toestemming van de klant. Het helpt toch niet om een proefballon direct lek te steken? Dat schrikt bedrijven af.
'Ik kan me de bezorgde reactie van mijn voorganger voorstellen. Het zou veel effectiever zijn als bedrijven dezelfde stappen zouden nemen als de zorgverzekeraars. Dus bij ons langskomen om hun idee voor te leggen. Dan krijg je ook geen gesprek in de media over wat wel en niet kan. Of stel een gegevensfunctionaris aan. Dat is ook straks verplicht onder de nieuwe Europese regelgeving die in 2018 ingaat. Als die ons belt, nemen we altijd op. Ik wil bedrijven heel graag melden waar ze aan toe zijn.'

 

'Als je een schat aan informatie hebt, bewaar het dan als goud'

 

Dat lijkt een breuk met het verleden. Nú kunnen ondernemers met een innovatief idee niet bij u terecht.
'Dat is echt een verandering die ik wil doorvoeren. Ik vind nog steeds dat we geen consultant of persoonlijk adviseur zijn, maar we willen wel actief algemene voorlichting geven over wat mag en wat niet. Op dit moment zijn we heel schaars bezet en we zullen moeten groeien om dat ook te kunnen doen. Nu moeten we woekeren met de middelen die we hebben. Iedereen heeft belang bij innovatie, heeft belang bij een goed functionerend bedrijfsleven. Daar wordt de winst gemaakt. Daar betalen we onze publieke voorzieningen van. Als de politiek ons daartoe in de gelegenheid stelt, denken we graag mee.'

 

Hoe groot moet u daarvoor worden dan?
'Of we twee, drie keer zo groot worden, dat kan ik niet zeggen. Dat is nu aan het kabinet en de Tweede Kamer. Maar dat we moeten groeien: dat staat voor mij vast.'

Als bedrijven nog zorgvuldiger moeten worden met gegevens van burgers, kunnen ze dan nog wel innoveren?
Als bedrijven nog zorgvuldiger moeten worden met gegevens van burgers, kunnen ze dan nog wel innoveren?
Foto: Jeroen Poortvliet

Aan de ene kant is dat fijn voor het bedrijfsleven. Maar wie groter wordt, kan toch ook meer onderzoeken doen, meer vinden en meer ondernemers op de vingers tikken.
'Elke euro geïnvesteerd in de autoriteit rendeert in het kwadraat voor het bedrijfsleven. Groter worden betekent voor mij: meer ruimte om mee te denken en te kijken. Ik adviseer bedrijven vaak ook om gedragscodes uit te schrijven. Dan kunnen wij er een goedkeuringsstempel op zetten en dan ben je privacy-proof als je die werkwijze volgt. Al die denkkracht zit bij ons en daar kunnen zij gebruik van maken als ze eerst zelf goed nadenken over hoe zij omgaan met hun gegevens. Dat laatste is wel een voorwaarde. Want vergis je niet: privacy is een grondrecht. Lichte schendingen bestaan niet, het is geen parkeerovertreding. Ook die taak nemen we heel serieus.'

 

Kent u veel bedrijven die onzorgvuldig met data omgaan ?
'Ik zeg niet dat ze dat doen: bedrijven zijn van goede wil. Maar ik vind wel dat er onvoldoende aandacht voor databeveiliging is in het bedrijfsleven. Als burger wil je er zeker van zijn dat je grootste geheimen in goede handen zijn en niet gelekt of gedeeld worden. Daarom vind ik het ook onbegrijpelijk dat sommige mensen roepen dat bedrijven datalekken niet zouden moeten melden aan ons. Dat is toch het meest onhandige advies dat je kunt geven. Wees transparant.'
'Als je veel informatie hebt en vraagt van je klanten, besef dan dat dat goud waard is. Bewaar het dan ook als goud! Soms ben ik echt onthutst. Dan komt er hier een melding over een datalek binnen over een computer met gevoelige gegevens zonder enige beveiliging. Nul! Ook bij gemeenten hoor, echt niet alleen bij bedrijven. Ik kan dat echt niet snappen. Daar is de meldplicht mede voor. Als wij sterke aanwijzingen hebben dat de beveiliging niet op orde is, kunnen wij optreden.’

 

Wat verandert er als er één privacywet is voor heel Europa? Over anderhalf jaar (25 mei 2018) geldt er één privacywet voor heel Europa. De General Data Protection Regulation, zoals de nieuwe wet heet, moet een einde maken aan gefragmenteerde privacyregels in Europa. Bedrijven die het verwerken van persoonsgegevens als 'kernactiviteit' hebben of  persoonsgegevens van gevoelige aard verwerken, moeten een data privacy officer aanstellen. En de regels voor het gebruik van persoonsgegevens worden strenger. Bedrijven die onzorgvuldig omgaan met persoonsgegevens, worden zwaar beboet.

 

Als een bedrijf gehackt is en daardoor gegevens op straat komen te liggen, kan het er dan op rekenen dat de hacker wordt opgespoord?
'Dat is de strafrechtelijke kant. Nee, de opsporing van internetcriminaliteit is zeker nog niet op orde. De minister van Veiligheid en Justitie gaf onlangs in  de Tweede Kamer aan dat de aanpak van cybercrime nog niet onder controle is en dat er de komende jaren fors moet worden geïnvesteerd in een effectieve aanpak. Dat herken ik wel. Daar kan dus echt nog een grote slag gemaakt worden. Diefstal van geld is erg, maar diefstal van een grote berg data is erg in het kwadraat. Die schade is veel groter.'

 

'Privacy is een grondrecht. Lichte schendingen bestaan niet'

 

Hoort u dat vaak van bedrijven: we melden het wel, maar er gebeurt niks?
'Dat hoor ik ook en daar hebben ze een punt. Maar dat ligt niet binnen onze competenties. Ik hoop dus oprecht dat de politie en de minister voortvarend uitvoering geven aan die goede voornemens,  zeker met het oog op de nieuwe Europese regels die in 2018 ingaan.'

 

Staat bij de nieuwe Europese privacywetgeving wel voorop dat bedrijven met data werken aan innovatie?
'Zeker. En er worden ook veel zaken makkelijker voor het bedrijfsleven. Bedrijven die grensoverschrijdend werken, hebben nu nog te maken met verschillende autoriteiten. Dat is ondoenlijk. Straks is er één autoriteit voor elk bedrijf. Hoe fijn is dat? Daardoor wordt het voor bedrijven veel makkelijker om binnen Europa gegevens uit te wisselen. Dat komt ook de innovatie zeker ten goede. Maar bedrijven krijgen ook meer verantwoordelijkheden. Ik begrijp hoe belangrijk informatie is, dat je data ook moet kunnen uitwisselen, maar dan zeg ik ook: Alsjeblieft, koester die data en ga er zorgvuldig mee om.'