NORA Gebruikersraad/2017-01-17
Bijeenkomst van NORA Gebruikersraad op dinsdag 17 januari 2017, 13.00-17.00, locatie: 7AM Den Haag, Buitenhof 47, 2513 AH DEN HAAG. .
Opening vergadering (13.30 – 13.40 uur)[bewerken]
Mededelingen:
- Paula van der Schoot is aanwezig namens opdrachtgever Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
- Verslag en actiepunten vorige bijeenkomst
Het verslag wordt niet meer vooraf door de sprekers gecontroleerd voor publicatie van het concept, gewenste wijzigingen kunnen direct (nora@ictu.nl) of in de Gebruikersraad er na worden ingebracht. Het verslag van de vorige bijeenkomst is vastgesteld zonder wijzigingen.
- Op 5 december was de eerste workshop over overerving van NORA-elementen naar de eigen architectuur, automatisch of met de hand. Er komt nog een tweede sessie voor hen die de eerste keer verhinderd waren. Wil je hierbij aansluiten, neem dan even contact op met Joris Dirks via nora@ictu.nl. Het verslag van de eerste bijeenkomst is inmiddels gepubliceerd.
- Robert van Wessel geeft een update van de Afgeleide Principes Revisited: voor AP19 ligt er inmiddels een formeel Request for Change: (PDF, 35 kB), dat het Principe omwerkt van 'Perspectief Afnemer' naar 'Perspectief Gebruiker.' In de bijbehorende Presentatie (PDF, 440 kB) toont hij de belangrijkste wijzigingen, gaat in op het proces en verzoekt de leden van de Gebruikersraad om binnen hun eigen omgeving en achterban uit te dragen dat AP19 gewijzigd is en waarom. De Revisit gaat verder met AP16 en AP17, wie mee wil doen kan zich nog opgeven via nora@ictu.nl of bij Robert.
Reacties vanuit de Gebruikersraad: Klinkt goed. Is allemaal leesbaar (verbetering ten opzichte van oude AP).
- Relatie NORA en dochters vervolg 2017, Dominique De Wijn.
Na de enquete en het rondje dochters van vorig jaar zijn we binnen het team NORA verder gegaan met de vragen: Wie en wat zijn 'dochters' of familieleden van NORA en hoe kunnen we de samenwerking intensiveren? De volgende stappen zijn een gesprek met de opdrachtgever (BZK) en in de Gebruikersraad.
- Terugkoppeling Regieraad. De afgelopen Regieraad heeft het NORA Jaarplan besproken. Het verslag is nog niet eschikbaar, maar wel is het signaal doorgegeven dat de Regieraad graag (een of twee) vertegenwoordigers van de NORA Gebruikersraad in de Regieraad zou zien de komende Regieraad, om de alignment met het bestuur beter op te pakken.
- Vergaderschema 2017: Voor de komende Gebruikersraden worden nog gastheren gezocht, waarbij onderwerp en locatie idealiter bij elkaar passen. Voor de Gebruikersraad van april denken Sacco en Menno op dit moment aan twee onderwerpen: de relatie van NORA met dochters en andere familieleden, en de GDI. Voor de voorbereiding van het onderwerp GDI is de vraag welke behoeften er leven bij de leden. Ter plekke wordt genoemd:
Meer dan alleen bijpraten: de uitvoeringstoetsen zijn al gestart. De prioriteit van de GDI ligt op eID, dus de link met Beveiliging & Privacy is sterk. Privacy by Design is juist hier relevant. Wat wil NORA met de GDI?
De Architectuurraad van de Manifestgroep is bezig met de afweging / discussie Berichtenbox versus Portalen, een discussie hier hoe daar mee om te gaan is nuttig. Twee infrastructuren naast elkaar, het is belangrijk het daar over te hebben.
Volgende keer is dus een mix van GDI en NORA Familierelaties - het zou mooi zijn dat bij een dochter 'thuis' te doen. Wie bereid is de Gebruikersraad te ontvangen kan zich melden.
CIP en Privacy (13.40-13.50 uur)[bewerken]
- iBestuur januari 2017
- weblog iBestuur Overheid en Privacy best ingewikkeld
- iBestuur Symposium Grip op Privacy op 7 februari (uitverkocht)
- Analyse Richard Claassens over impact Privacywetgeving voor architecten (op Via Nova Architectura)
- Lezing Privacy by design en certificeringsmechanismen door Richard Claassens op 22 februari 2017 (georganiseerd door NGI-NGN)
Introductie op het thema door Ad Reujl (zonder sheets). Het CIP (Centrum Informatiebeveiliging en Privacybescherming) is een netwerkorganisatie die is ontstaan in het kader van de Compacte Rijksdienst en zich primair richtte op uitvoeringsorganisaties. Als trekker was het UV aangewezen en vijf jaar later is dit nog steeds een van de grootste trekkers, samen met Belastingdienst, SVB, DUO, Politie en Defensie. Er zijn echter veel meer organisaties en individuen aangesloten: 400 organisaties vormen een netwerk van zo'n 1700 deelnemers.
Netwerk CIP is sterk gericht op kennisdelen, bijvoorbeeld in domeingroepen op kennisgebieden, Practitioners communities (waaronder een over Privacy) en met twee jaarlijkse conferenties. Daarnaast publiceert CIP producten, zoals papers, normenkaders, awareness materiaal et cetera. Deze informatie is vrijelijk te gebruiken (Creative Commons licensie) binnen en buiten de overheid. Omdat veel kennis juist in de private sector wordt opgedaan is het CIP convenanten aangegaan met private partijen die actief mee willen werken in het kennisnetwerk.
De kennis en producten van CIP wordt op dit moment vooral ontsloten via de eigen website en de Pleio-community (voor overheidsmedewerkers en private partijen die een convenant hebben getekend). Inmiddels is er een begin gemaakt met het vullen van de ISOR (Information Security Object Repository) in de NORA wiki.
Interessant op het gebied van Privacy is de komende bijeenkomst van de Practitioner's community Privacy, waarin de Authoriteit Persoonsgegevens vragen vanuit de community komt beantwoorden. Wil je een vraag toevoegen, dan kan dat via de Pleio community.
CIP concentreert zich bij Privacybescherming nog vooral op de activiteiten van de overheid waarbij dit relevant is.
- Aafke Stuijt (Financiën)
- Jaap van der Veen (BD)
- Hatice Dogan (SVB)
- Max Booleman (CBS)
- Marcel Koers (CIP-Sloterdijk)
- Ad Reuijl (CIP-Sloterdijk)
Tegelijk zijn er zoveel ontwikkelingen in de maatschappij als geheel die de betekenis van het woord privacy raken en veranderen, zoals de mogelijkheid van hackers om jouw privé-apparaten (van smartphone tot garagedeuropener) te gebruiken voor illegale DDOS-aanvallen. Als je als overheid goed om wilt gaan met de gegevens van burgers moet je die bredere ontwikkelingen met belangstelling volgen, zonder je te laten afleiden van je eigen taak.
Voor CIP is de 'bloedgroep' architecten heel belangrijk: inkopers en contractmanagers (die nu de kern uitmaken van de practitioners groep) zijn vooral op de proceskant gericht, maar inhoudelijk weinig betrokken. Architecten kunnen het gesprek aangaan wat je moet vragen aan leveranciers, zodat inkopers en contractmanagers dat in de praktijk kunnen realiseren en controleren. CIP kan dat dan vervolgens weer verwerken in de lijsten met eisen die ze leveren voor inkooptrajecten et cetera.
Grip op Privacy 13.50 – 14.15 uur)[bewerken]
Marcel Koers geeft een presentatie over Grip op Privacy (PDF, 1,79 MB), waarin een set praktische handreikingen is ontwikkeld voor verschillende kennisgebieden en doelgroepen. De privacy wetgeving is ontrafeld en omgezet naar criteria in de Privacy Baseline. De criteria zijn zo opgezet dat ze hanteerbaar zijn gemaakt voor de bedrijfsvoering. Twee handreikingen ondersteunen daarbij hoe dit te doen. De handleiding Privacy Governance beschrijft dit voor de invoering in de organisatie. De handleiding Privacy by Design beschrijft hoe dit te doen bij het ontwikkelen en verbeteren van de verwerking van persoonsgegevens.
Als je voldoet aan de eisen van de Privacybaseline voldoe je ook aan de Wet Bescherming Persoonsgegevens en grotendeels ook aan de Algemene Verordening Gegevensbescherming (AVG). Het gaat hier om Afscherming, Corrigeerbaarheid en Transparantie.
Vraag: Hoe kijk je in het kader hiervan aan tegen het gegeven zelf, bijvoorbeeld het eigenaarschap van het gegeven? Nee, de wet gaat niet in op eigenaarschap, maar gaat uit van verantwoordelijkheid en plichten als je gegevens verwerkt, ongeacht eigenaarschap.
Het voordeel van de vertaling van wet naar Baseline is dat ze beter bespreekbaar zijn met en door niet-juristen. De eisen in de Baseline zijn consistent en logisch beschreven volgens de SIVA-methodiek die het CIP in alle normenkaders hanteert.
Privacybescherming bestaat niet in een vacuum: er is in de praktijk al een hoop in organisaties geregeld dat raakt aan prvacy. In Privacy Governance en het Maturity model gaat het dan ook in eerste instantie om het op elkaar aansluiten en benutten van bestaande maatregelen en resources in de organisatie.
Vraag vanuit CBS: Het startpunt vanuit Privacy is geen gegevens verwerken (dataminismalisatie). Komt dat ook terug in deze producten? Ja, zeer nadrukkelijk: heb je deze gegevens wel nodig? Je ziet dat het nu koppelen van gegevens steeds gemakkelijker wordt de tendens 'omdat het kan' wordt. Maar de eerste vraag moet altijd zijn 'is het nodig'? en zo nee dan moet het misschien ook niet kunnen.
Vraag: Aangezien we als overheden heel veel inkopen in plaats van zelf te bouwen en jullie ook contact hebben met de leveranciers, is het dan nog nodig om als architect zelf te blijven kijken en controleren? Is er bijvoorbeeld een CIP-stempel, dat aangeeft dat de leverancier zich aan de regels houdt? Het CIP is geen certifiverend instituut. In de AVG staat dat de nationale autoriteiten hierin voorzien, dus stel deze vraag nadrukkelijk aan de Autoriteit Persoonsgegevens, die kan een certificeringsinstituut aanwijzen. Overigens blijft het wel altijd nodig om zelf eisen te stellen aan leveranciers en te controleren of die eisen serieus worden genomen, of het nu gaat om je eigen bouwer of een clouddienst. De risico-analyse zul je nadrukkelijk zelf moeten uitvoeren. Opmerking: Het zou meerwaarde hebben als overheden hun beoordelingen van partijen zouden delen, zodat je geen dubbel werk aan het doen bent.
Vraag: Het ontwerp van privacy begint nadrukkelijk al bij het maken van beleid. Is dat niet de plek om te beginnen met extra awareness en praktische handreikingen, meer dan bij de techniek? Waar het gaat om het formuleren van privacybeleid (onderdeel van Privacy Governance) richten we ons wel degelijk op bestuurders en beleidsmakers.
Vraag: Wat moet je als architect die een PSA opstelt doen met het onderwerp Privacy? Twee dingen:
- Zorg dat je de principes van Privacy kent
- Kijk naar de ontwerpstappen in Privacy By Design, hierin staat wat je wanneer mee moet nemen.
In de presentatie staan nog 'Privacy Officers' genoemd als doelgroep, deze term is verouderd. De AVG verplicht elke organisatie om een FG aan te stellen, een Functionaris voor Gegevensbescherming. Dit staat al wel goed in de Baseline zelf.
Algemene Verordening Gegevensbescherming (14.15 – 14.40 uur)[bewerken]
Hatice Dogan geeft in haar presentatie (PDF, 483 kB) een introductie in de Algemene verordening gegevensbescherming (AVG) en gaat in op de impact die implementatie gaat hebben in de organisatie. Vragen en opmerkingen bij de presentatie:
Per 1 januari 2017 moet in elke organisatie een Functionaris voor Gegevensbescherming zijn aangesteld (FG). De FG treedt op als toezichthouder binnen de eigen organisatie, zoals de Autoriteit Persoonsgegevens dat op nationaal niveau doet.
De AVG is een a-typische Europese Verordening: waar een Verordening normaal gesproken direct volledig geldig is in de hele EU (zonder omzetting in nationale wetgeving), is er in de AVG ruimte gelaten voor nationale invulling van sommige bepalingen. De AVG is dus direct geldig, maar daarnaast komt er ook nationale wetgeving. Voor de implementatie van de AVG zijn deze beide onderdelen relevant, dus zowel de Europese laag als de nationale laag.
Opmerking bij sheet met doelen van de AVG: het doel om de administratieve lasten te verlagen lijkt, in ieder geval voor de Nederlandse situatie, niet echt bereikt te worden.
Vraag: Wat zijn in dit geval derde landen? Alle landen die geen EU-lidstaat zijn. Verandert er dan iets door deze wet in de situatie dat bijvoorbeeld Frankrijk met de Verenigde Staten gegevens uitwisselt die oorspronkelijk in Nederland zijn verzameld? Ja, in principe wel: Frankrijk moet aan Nederland melden dat ze de gegevens delen èn dat mag alleen wanneer de criteria voor doelbinding gehaald worden. In de praktijk moeten internationale verdragen de komende jaren worden aangepast aan de nieuwe verordening, al staat doelbinding over het algemeen nu ook al in de internationale verdragen. De Belastingdienst deelt bijvoorbeeld alleen informatie met andere belastingdiensten als er een goed genoeg beschermingsniveau is, waarbij ze zelf naar alle OESO-landen die informatie willen uitwisselen een auditteam sturen om de 'competent authority' te keuren. Het is de verwachten dat dit in meerdere sectoren gebeurt.
Een verschil met de WBP is dat in de AVG de rechtvaardigingsgrondslag 'rechtvaardig belang' verdwijnt voor overheden: voor de publieke taak mag de overheid de grond 'rechtvaarig belang' niet meer gebruiken. Dat kan overigens nog wel voor de eigen bedrijfsvoering, zoals de personeelsadministratie.
Een ander verschil is de bredere invulling van de term 'verdere verwerking,' bijvoorbeeld voor onderzoek en statistiek.
Waar de melding bij de AP voorheen vooral een formaliteit was, is elke organisatie nu verplicht een eigen register op te tuigen. Je moet zicht hebben over welke gegevens je voor welk doel waar verwerkt en aan wie die gegevens verstrekt worden. Elke organisatie gaat dit register zelf maken en invullen. Er is een applicatie in omloop vanuit Economische Zaken die door meerdere overheidsorganisaties gebruikt wordt. Vraag: Is hier een architect bij betrokken? Gezien het raakvlak met processen, systemen en informatiestromen lijkt dat zeer wenselijk. In de praktijk zijn ze waarschijnlijk alleen betrokken om vragen te beantwoorden: wat is er al bekend?
Pauze (14.40 – 15.00 uur)[bewerken]
AVG en NORA (15.00 – 15.30 uur)[bewerken]
Aafke Stuijt is privacy-jurist en neemt de vergadering in eerste instantie mee terug naar de basis: het is in Nederland (en EU) VEBODEN om persoonsgegevens te verwerken. Tenzij de wet de mogelijkheid biedt het toch te doen. Dit is een essentieel verschil tussen het Europese en Amerikaans systeem: in de Verenigde Staten mag je persoonsgegevens verwerken tenzij de wet dat verbiedt.
De eerste vraag die je dan ook altijd moet stellen als je van plan bent persoonsgegevens te gebruiken is dan ook: Is het wel echt noodzakelijk om persoonsgegevens te verwerken? Kan ik mijn doel ook bereiken zonder dat te doen?
Pas als het antwoord nee is (ik heb echt persoonsgegevens nodig, anders kan ik mijn doel niet bereiken) ga je kijken naar de risico's voor de personen waarover de gegevens gaan: wat is het risico dat die gegevens onrechtmatig verwerkt worden? Met welke mogelijke gevolgen? Het gaat hier nadrukkelijk niet om risico's voor de organisatie (slechte publiciteit, sancties).
Vraag: Er is nog wel eens discussie wat als een persoonsgegeven zou moeten tellen en wat niet. Zie je daar nog ontwikkelingen in die in de praktijk belangrijk kunnen worden? Nee, in principe is het heel duidelijk: een persoonsgegeven is elk gegeven dat herleidbaar is tot een persoon. Daarbij moet je uitgaan van de informatiepositie van de verwerker: als jij als ambtenaar met twee kliks of een telefoontje naar een collega kunt achterhalen wie iemand is op basis van een bepaald gegeven dan kun je er van uit gaan dat anderen dat ook kunnen. Realistisch gezien geldt dit voor bijna alle gegevens over burgers, tenzij ze degelijk geanonimiseerd zijn.
Hoe beantwoord je de vraag of het wel nodig is persoonsgegevens te verwerken? Je zult dit multidisciplinair moeten aanpakken. Eerst moet je je doel heel zorgvuldig formuleren en vervolgens moeten veel mensen meedenken: wat zijn er voor alternatieven? hoe doen anderen dat? zijn er radicaal andere mogelijkheden (out of tehe box) hoe belangrijk is dit doel?
Vraag: hoe breed is de definitie van 'verwerken?' Breed: ook als je persoonsgegevens vernietigd, archiveert of ongeopend doorgeeft van de een naar de ander tel je als gegevensverwerker.
Wanneer je de risico's in kaart hebt en zeker weet dat je je doel niet kunt bereiken zonder persoonsgegevens wordt het tijd voor de belangenafweging. Je eigen doel en belangen moet je afwegen tegen die van de betrokkenen. Als je het govroam-netwerk als voorbeeld neemt zijn de betrokkenen niet alleen de medewerkers (wiens inloggegevens, mailadres en in- en uitloglocaties worden verwerkt), maar ook de mensen waarover de gegevens gaan die verder via govroam worden uitgewisseld.
Je kijkt niet alleen naar de gekozen oplossing, maar ook naar de alternatieven die je afwijst: alles wat de risico's voor de betrokkenen verkleind moet serieus overwogen worden. Dat betekent niet dat het ten allen kost moet worden geïmplementeerd: in tegenstelling tot de WBP geeft de AVG de mogelijkheid te hoge kosten aan te voeren als argument in de belangenafweging. Die moet je dan echter wel goed onderzocht hebben, net als je rekening moet houden met de huidige stand van de techniek.
Vraag: Valt die belangenafweging niet een maand of een jaar na dato anders uit, omdat de techniek, context, beschikbare open datasets et cetera zijn veranderd? Dat je een goede afweging maakt op dat moment is afdoende, dat er na afloop iets verandert is niet te voorkomen. De kwaliteit van je afweging moet je kunnen aantonen, dus je zult het proces en de betrokkenheid vast moeten leggen. Een bestuurder zal zijn handtekening moeten zetten. De rechter zal kijken of je afweging (inclusief de maatregelen die je hebt genomen op basis van de risicoanalyse) passend is. Waar dat nodig is moet je durven zeggen 'we kunnen het niet afdoende beveiligen dus we moeten het niet doen.' Bepalen wat 'passend' is blijft mensenwerk. Je kunt dan ook nooit helemaal zeker zijn dat je afweging goed genoeg is, net zomin als je altijd kunt voorkomen dat gegevens in onvoorziene omstandigheden toch lekken. Wat is de consequentie wanneer het achteraf toch foutloopt? Dat moet (voor overheden) nog worden vastgesteld in de nationale wetgeving.
Met een belangenafweging en een conclusie 'ja, we moeten het toch doen' ben je er nog niet: doe (en documenteer) een serieuze poging om de risico's te verkleinen, bijvoorbeeld door minder persoonsgegevens vast te leggen, door te kiezen voor minder gevoelige persoonsgegevens of door beveiligingsmaatregelen te nemen.
Vraag: wat is de samenhang van de AVG met de vervanging van de Wet Openbaarheid Bestuur? Persoonsgegevens zijn op dit moment al uitgezonderd voor de WOB en mogen onherkenbaar gemaakt worden. Wanneer je na een goede afweging moet concluderen dat bepaalde gegevens niet anonimiseerbaar zijn, dan is dat een weigergrond in de WOB. De grens van de WOB is de WBP, dus daar verandert niets. Overigens is de vervanging van de WOB teruggestuurd naar de Tweede Kamer, dus het is nog lang niet duidelijk of en in welke vorm dit uiteindelijk wet wordt.
Een grotere impact is te verwachten van de vergroting van het inzage- en correctierecht in de AVG: elke organisatie kan een groei van inzage- en correctieverzoeken verwachten en moet daar op ingespeeld zijn.
Discussie en conclusies Privacybescherming en AVG t.a.v. NORA (15.30 – 16.30 uur)[bewerken]
AVG en NORA: hoe raakt dit aan onze NORA principes? Het is deels gerelateerd aan, maar niet hetzelfde als de Beveiligings afgeleide principes zoals we die juist hebben bekrachtigd. Het raakt bovendien aan het thema Zaakgericht Werken - veel zaaksystemen zijn niet ingesteld op of geschikt voor het beantwoorden van WBP-verzoeken. In bredere zin eist de AVG een goed overzicht van je gegevenslandschap: wie heeft er welke informatie. Daarmee raakt het ook aan het Nationaal Semantisch Vlak en het gloednieuwe thema Data op het web. Ter illustratie, het ministerie van Infrastructuur en Milieu heeft zo'n 3000 verwerkingen van persoonsgegevens.
Vraag: wat is het raakvlak met de BIR, heb je dan nog een PIA nodig? Ja, in de meeste gevallen wel. Er is een pre-scan vanuit de BIR om te kijken of een PIA nodig is, als je die goed invult krijg je bijna altijd het advies een PIA te doen.
Waar heb je NORA kennisdeling / versnelling bij nodig? Sommige zaken ontbreken nu nog in NORA, andere staan wel deels beschreven in bijzinnen en voorbeelden van Afgeleide Principes, maar het staat nog niet bij elkaar. CIP is zelf ook bezig met het overhevelen van normenkaders naar de NORA wiki (ISOR), daar gaan de privacynormen ook landen. Wat nog ontbreekt is een overzicht op één plek. De wiki leent zich hier goed voor, maar er moet inhoudelijk worden aangegeven wat er dan getoond moet worden op deze pagina.
- → Actiepunt 2017-01/1: Bram, Sergio: lopen met NORA Beheer de bestaande NORA inhoud door en geven aan waar de raakvlakken met privacy liggen, zodat dit weergegeven kan worden in de View Privacy.[1]
CIP en NORA beter met elkaar verbinden online is een goede stap. Er zijn echter nog meer organisaties / kennisbronnen die je in dat netwerk wilt meenemen. [NOREA (beroepsgroep van IT-auditors) is een interessante partner, zij werken zelf ook weer samen met de Autoriteit Persoonsgegevens. SURF, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland, is ook een interessante partner.
De principes die in Privacy by Desgin zijn ontwikkeld kunnen we als architecten beschouwen als een cadeautje, maar dan moeten we er wel wat mee doen. Wat we er precies mee kunnen en hoe de AVG het architectuurproces raakt en wijzigt kunnen we alleen bepalen door het document goed door te nemen en er dan samen over te praten.
- → Actiepunt 2017-01/2: allen: Lezen het document Privacy by Design en bereiden discussie voor in een volgende Gebruikersraad.[2]
Afsluitende borrel (16.30 – 17.00 uur)[bewerken]
Actiepunten[bewerken]
- ↑ Actiepunt 2017-01/1: Bram, Sergio: Lopen met NORA Beheer de bestaande NORA inhoud door en geven aan waar de raakvlakken met privacy liggen, zodat dit weergegeven kan worden in de View Privacy.
- ↑ Actiepunt 2017-01/2: allen: Lezen het document Privacy by Design en bereiden discussie voor in een volgende Gebruikersraad.