De AVG, de Algemene Verordening Gegevensbescherming. Het is het gesprek van de dag in menig organisatie. Vanaf 25 mei aanstaande wordt de Europese privacy richtlijn van kracht. Veel bedrijven en overheidsorganisaties zijn bezig om te zorgen dat ze dan ook voldoen aan de richtlijn, want de boetes die bij overtreding worden opgelegd zijn niet mals.
Vaak richt die inspanning zich op IT. Systemen worden aangepast om “verboden” handelingen onmogelijk te maken. Dat kan heel nuttig zijn. Zo is het verstandig om de aansluitingen op de gewone werkplekken zo te configureren dat het gebruik van een USB-stick niet mogelijk is. Je weet immers niet wat er via die USB-sticks het netwerk op kan komen. Ook wordt regelmatig de toegang tot Dropbox, Gmail en vergelijkbare sites geblokkeerd. Gegevens die op die sites terechtkomen zijn niet veilig, al is het maar omdat niet duidelijk is waar de gegevens fysiek worden opgeslagen. Wat niet kan, kan ook niet fout gaan.
Blokkeren van onveilige opties kan risico’s geven
Maar er zitten ook risico’s aan het blokkeren van onveilige opties. Het kan voor problemen zorgen in noodsituaties.
In een gemeente heeft men de gewoonte om in het weekend de wifi op het gemeentehuis uit te zetten om te voorkomen dat ze gehacked kunnen worden. Tijdens een weekend doet zich een calamiteit voor. Er wordt een crisiscentrum opgezet voor de hulpdiensten, maar de hulpverleners kunnen de eerste uren niet met elkaar communiceren door het ontbreken van een signaal. De systeembeheerder moet opgetrommeld worden om de verbindingen te herstellen.
We moeten om kunnen gaan met uitzonderingen – gevallen waarin door de software niet wordt voorzien. Of misschien wel situaties waarin ook de wet niet heeft voorzien. In het geval van de spreekwoordelijke brand is het wel handig als ook de jongste bediende de buitendeur voor de brandweer kan openen.
Als het kan, mag het dan ook?
Maar er is nog een groter risico aan het automatiseren van privacy. Het kweekt namelijk een klimaat waarin “alles wat kan, ook mag”. Als de deur niet op slot zit, mag je hem openmaken.
Begin deze maand werd bekend dat medewerkers van het Hagaziekenhuis in Den Haag het dossier van Samantha de Jong, beter bekend als Barbie, zonder toestemming hadden ingezien. De medewerkers in het ziekenhuis hebben allen een login voor het systeem waarin de dossiers van patiënten staan. Daarmee kunnen ze in principe alle dossiers inzien, maar de afspraak is dat men alleen de dossiers raadpleegt van patiënten waarbij men functioneel betrokken is.
Meer logins staat de toegankelijkheid in de weg. En dat wil je als patiënt ook niet: dat de arts, terwijl je ligt te happen naar adem, eerst door een lijst van loginschermen met wachtwoorden moet voordat duidelijk hoe je het beste geholpen kan worden.
Privacy is vooral een cultuurverandering
Als je persoonsgegevens deelt of raadpleegt, moet je daar een goede reden voor hebben. En als je een bijzonder persoonsgegeven (zoals bijvoorbeeld etniciteit of religie) deelt, moet er zelfs sprake zijn van een expliciete wettelijke grondslag. Dan kun je niet het argument gebruiken dat “de software het toeliet”.
Wat nodig is voor een goede uitvoering van de AVG is dat alle medewerkers zich realiseren wat het belang van privacy is. En zich daar ook verantwoordelijk voor voelen. Er is een cultuur nodig waarin je elkaar (ook je baas) durft aan te spreken op zaken waar je over twijfelt. Een cultuur waarin fouten vooral moeten dienen om te leren, niet om elkaar op af te rekenen. En waarin het dan ook veilig is om fouten te melden.
Wat daar niet bij helpt is een grote hoeveelheid IT-maatregelen, die de medewerkers beschermen tegen het maken van fouten. Natuurlijk willen we voorkomen dat er al te grote fouten worden gemaakt en bijbehorende risico’s worden gelopen. Maar als dat leidt tot een klimaat waarin je niet meer zelf hoeft na te denken, zijn we verkeerd bezig. Dat laatste staat trouwens ook in de AVG.