Gegevensbescherming verdient een eensgezinde en multidisciplinaire aanpak
De laatste weken verschijnen in de pers regelmatig signalen over spanningen binnen de Gegevensbeschermingsautoriteit (GBA). Meningen kunnen verschillen, zeker. Maar over de uitgangspunten en de basisvisie zou dat niet mogen. De GBA moet ervoor zorgen dat burgers terecht vertrouwen kunnen hebben in de verwerking van hun persoonsgegevens door om het even wie. In de overheid en de private sector.
Moderne technologieën kunnen enorme voordelen en toegevoegde waarde bieden. Maar ze moeten worden ingezet met de juiste waarborgen voor het grondrecht op gegevensbescherming. De GBA heeft de belangrijke opdracht om hiertoe bij te dragen en hierop toe te zien. Ze werkt preventief, door adviezen en aanbevelingen over ontwerpregelgeving of gegevensbeschermingseffectbeoordelingen. Ze werkt controlerend door inspecties, en zo nodig handhavend door het opleggen van sancties.
Het is belangrijk dat de Gegevensbeschermingsautoriteit daarbij, zoals haar naam zelf aangeeft, gezag uitstraalt. Dat bereikt ze niet door interne verdeeldheid. Burgers en ondernemingen moeten kunnen rekenen op een eenheid van visie, over de verschillende geledingen heen. Onvoldoende gecoördineerde standpunten ondermijnen de rechtszekerheid en de impact van de GBA.
Internationale verdragen en de Belgische grondwet voorzien in een hele reeks grondrechten. Naast het recht op gegevensbescherming is er ook het recht op een eerlijk proces, het recht op sociale bescherming, het recht op kwalitatief hoogstaande gezondheidszorg… Burgers mogen van de GBA verwachten dat ze hun recht op gegevensbescherming verzekert op een manier die ook hun andere grondrechten respecteert. De Algemene Verordening Gegevensbescherming (AVG of GDPR) voorziet daartoe een zeer gedegen kader. Risicobeheer en gegevensbescherming-door-ontwerp zijn sleutelbegrippen.
Risiscobeheer houdt in dat we voor elke verwerking van persoonsgegevens nagaan welke risico’s er kunnen optreden, hoe we ze vermijden en hoe we ze, indien ze zich voordoen, maximaal kunnen inperken. Dat moeten we doordacht doen, met een maximale informatieveiligheid en gegevensbescherming, maar ook zonder de toegevoegde waarde van de gegevensverwerking onnodig in het gedrang te brengen. Dat is een basisingesteldheid, die een multidisciplinaire aanpak vereist. We kunnen risico’s immers vermijden of beheersen op meerdere manieren: organisatorisch, ICT-technisch, juridisch… Een te eenzijdige juridische benadering dreigt op een onverantwoorde wijze de mogelijke toegevoegde waarde van moderne technologieën te fnuiken.
Gegevensbescherming-door-ontwerp betekent dat de beschermende maatregelen al vanop de tekenplank worden opgenomen in de ICT-systemen, en dus ingebakken liggen in de architectuur zelf. En er niet achteraf als opsmukwerk aan worden toegevoegd.
Enkele concrete voorbeelden. Het recht op een effectieve en efficiënte sociale bescherming betekent dat een persoon met een handicap of met recht op een leefloon, automatisch kan genieten van het sociaal tarief op gas, elektriciteit, water en openbaar vervoer. Zo moeten kwetsbare personen niet overal gaan ‘bedelen’ om hun recht te verkrijgen en niet telkens opnieuw met papieren attesten rondzeulen. Maar de aanbieders van de sociale tarieven moeten ook niet meer weten over de situatie van de betrokkene, dan het loutere feit dat zijn of haar situatie recht geeft op het sociale tarief. Ze moeten niet weten of het om een handicap gaat, laat staan welke handicap, of om een leefloon.
Het recht op kwalitatieve gezondheidszorg betekent dat belangrijke informatie over eerdere onderzoeken of allergieën beschikbaar kan zijn voor alle zorgverstrekkers die een zorgrelatie hebben met de betrokkene. Maar diezelfde informatie mag niet toegankelijk zijn voor artsen van verzekeringsmaatschappijen of andere artsen die geen zorgrelatie hebben met de patiënt. Resultaten van Covid-19 testen moeten op de meest snelle en eenvoudige wijze toegankelijk zijn voor de patiënt en voor de artsen belast met de zorg aan de patiënt en met het bestrijden van besmettingshaarden, maar mogen niet toegankelijk zijn voor bijvoorbeeld de werkgever.
Om een correct evenwicht te vinden tussen de grondrechten, op basis van een degelijk risicobeheer en gegevensbescherming-bij-ontwerp, moeten we multidisciplinair, leergierig en lateraal denken. We moeten de mogelijke nadelen kunnen vermijden, maar de voordelen niet onnodig verhinderen.
Alle regeerakkoorden in dit land beklemtonen het sociaal en economisch belang van relance, vereenvoudiging en digitalisering. Deze doelstellingen kunnen we effectief en efficiënt bereiken met respect voor het grondrecht op gegevensbescherming. Dit vereist een sterke, eensgezinde GBA die met een grondige, interdisciplinaire kennis aangeeft hoe we informatiesystemen kunnen ontwerpen die én veilig zijn én de vooropgestelde objectieven ondersteunen.
Zelf promoot ik al meer dan dertig jaar consequent deze beginselen. Ik help mee om ze op het terrein vorm te geven in mijn dagelijkse job als beheerder van de Kruispuntbank van de Sociale Zekerheid (KSZ) en het eHealth-platform, en als extern lid van het Kenniscentrum van de GBA. De KSZ en het eHealth-platform zijn bij uitstek instrumenten van gegevensbescherming-door-ontwerp. Ze worden aangestuurd en gecontroleerd door beheersorganen samengesteld uit vertegenwoordigers van diegenen waarover gegevens worden verwerkt, en door een Informatieveiligheidscomité aangesteld door het Parlement. De resultaten werden meermaals erkend door internationale instanties, van de Verenigde Naties tot de Europese Unie.
Ik hoop van harte dat iedereen die betrokken is bij de Gegevensbeschermingsautoriteit de moed vindt om samen eensgezind te focussen op haar belangrijke inhoudelijke rol, met de nodige collegialiteit en met het belang van de burger voorop.