Digitalisering en privacy - een onverenigbare combinatie?
Geschreven door Ronald Kubbe op 17-11-2015

Er is een sterke ontwikkeling gaande bij gemeenten om steeds meer digitaal te werken, dit wordt ook gestimuleerd vanuit het ministerie van BzK (zie onder andere de visiebrief digitale overheid van 23 mei 2013). 

Een gevolg hiervan is dat steeds meer gegevens digitaal vastgelegd (en gecombineerd kunnen) worden. Bij het digitaal vastleggen van gegevens komen aspecten als beveiliging en privacy aan de orde. Zijn de steeds verdergaande digitalisering en de privacy eisen met elkaar te combineren? 

Het belang van een goede omgang van de beveiliging van persoonsgegevens wordt aangehaald door bijvoorbeeld Jos de Mul in zijn essay 'GEMEDIEERD VERTROUWEN IN DE OVERHEID - Een wijsgerig-antropologisch perspectief op veiligheid en vertrouwen'.

Jos de Mul constateert een paradox tussen de wens van de Nederlandse burger om alles digitaal te regelen en het lage vertrouwen in de deugdelijkheid van de digitale dienstverlening van de overheid. De constatering over het lage vertrouwen wordt gestaafd door artikelen in de media die aangeven dat de beveiliging van de persoonsgegevens bij gemeenten vaak niet op orde is (zie bijvoorbeeld dit bericht in de privacybarometer).  

Gegevens centraal stellen
Het centraal stellen van de gegevens die vastgelegd worden zal primair als benadering gehanteerd dienen te worden. Met andere woorden de gegevens die in je organisatie verzamelt, vastlegt en beheert dienen in totaliteit gemanaged te worden. Vanuit deze gedachte kan vervolgens invulling gegeven worden aan het ontwerp van een deugdelijke inrichting van de digitale dienstverlening. De gegevens kunnen gecategoriseerd worden naar bijvoorbeeld de mate van privacy gevoeligheid en het beoogde gebruik. 

Metadata en meta-informatie toevoegen
Na het categoriseren van de gegevens kan bij elk (soort) gegevens dat verzameld wordt metadata en meta-informatie vastgelegd worden. Voorbeelden daarvan zijn wettelijke bewaartermijnen, de privacy gevoeligheid, en welke applicaties het gegeven vastlegt, bewerkt en gebruikt. 

Identificeren welke processen de gegevens gebruiken
Inventariseer in welke processen de gegevens geregistreerd worden, door welke processen ze bewerkt en aangevuld worden en welke processen zorg dragen voor het archiveren en verwijderen van gegevens. Vergeet hierbij niet de sturende processen in de inventarisatie mee te nemen. 
Een bijkomend voordeel van deze inventarisatie is dat inzichtelijk gemaakt kan worden op welke plekken dezelfde gegevens meerdere keren vastgelegd worden (vanuit verschillende processen). Dit levert inzichten op die gebruikt kunnen worden bij het optimaliseren van de processen. 

Identificeer welke applicaties de gegevens vastleggen. 
Naast de inventarisatie van de processen zal ook een inventarisatie gedaan moeten worden van de applicaties die de gegevens vastleggen en bewerken. Let hierbij op dat naast het direct vastleggen en wijzigen van gegevens in de applicaties er ook gegevens gekopieerd worden tussen applicaties onderling. Hierdoor kunnen ook privacy gerelateerde gegevens in applicaties terecht komen. 

Organiseren van gegevensbeheer 
Naast de voorgaande aspecten zal ook de organisatie rondom het beheer van gegevens vorm moeten krijgen. De beheerprocessen rondom gegevens dienen ingericht te worden. Hier moet gedacht worden aan gegevensbeheer processen om de kwaliteit van de gegevens te borgen. Dit kan zijn in de vorm van het wijzigen van de invoermogelijkheden in de applicatie om een correctere invoer te krijgen, maar ook controle- en herstelprocessen om foutief ingevoerde gegevens te ontdekken en te herstellen.

Transparante communicatie
Communiceer ten slotte transparant met de burger/ klant op welke manier met zijn/ haar privacy gevoelige data omgegaan wordt.