Het leven van de DPO ondersteunen, dat was de onderliggende intentie van de eerste DPO studiedag die de Vlaamse Toezichtcommissie (VTC) eind november organiseerde. Hoewel DPO’s en toezichthouders andere taken hebben in het kader van de Algemene Verordening Gegevensbescherming, hebben ze een gemeenschappelijk doel: de gegevensbescherming vrijwaren van burgers. Bijna vijf jaar na de oprichting van de Vlaamse Toezichtcommissie, was het daarom hoog tijd voor kennisdeling en overleg.
Een centraal thema dat onder de aandacht kwam, was de vraag onder welke voorwaarden overheidsinstanties persoonsgegevens van burgers mogen verwerken. Het was te verwachten dat dit onderwerp besproken zou worden, gezien de belangrijke adviserende rol van de VTC in het kader van nieuwe Vlaamse wetgeving over persoonsgegevens. De VTC beoordeelt of dergelijke wetgeving voldoende bescherming biedt voor de gegevens die verwerkt worden. Met deze advisering helpt de VTC burgers te beschermen tegen een overheid die te veel op ‘Big Brother’ lijkt. Ook de DPO wordt met deze regelgevende kaders geconfronteerd, omdat ze geconfronteerd worden met de effectieve verwerkingen die in de regelgeving zijn opgenomen. Door de lezing van Prof. em. Dr Franky Schram kregen de aanwezigen een beter begrip van ’taken van algemeen belang’ en de relatie met een verwerking die gebaseerd is op een wettelijke taak.
Een thema dat zeker niet mocht ontbreken op deze studiedag is de centrale vraag of het ‘ok’ is dat een Vlaamse (overheids)instelling persoonsgegevens in een niet Europese cloud onderbrengen. Die vraag lijkt wat achterhaald, want de Vlaamse Overheid heeft in februari 2019, een maand voor de oprichting van de VTC, haar Cloudstrategie gepubliceerd. Kort door de bocht en vertaald naar de praktijk, zet ze daarbij het gebruik van Amerikaanse cloudinsfrastructuur op één. Tijdens de studiedag zet de VTC hierbij wel enkele belangrijke uitroeptekens. Een eerste belangrijk aandachtspunt zijn de technische en organisatorische maatregelen die de leverancier van zo’n omgeving voorziet. Het is algemeen bekend dat cloud-omgeving zeer goed uitgerust zijn met de meest moderne veiligheidstechnieken. Echter, het is nog steeds gangbaar om voor deze veiligheidsmaatregelen extra kosten te rekenen. VTC ziet maar al te vaak dat deze ‘veiligheidsopties’ worden ontzien bij de aanschaf van een cloudomgeving. Maar er zijn nog andere bezorgdheden. Denk maar aan de afhankelijkheid van de overheid ten aanzien van, in praktijk, zelfs geen hand vol bedrijven (Microsoft, Google, Amazon). Deze afhankelijkheid, ook wel ‘vendor lock in’ genoemd, kan betekenen dat de afhankelijkheid tussen klant en leverancier zo groot wordt dat het onmogelijk is om de diensten later onder te brengen bij een andere leverancier. Een huwelijk voor het leven dus. Dat kan bijvoorbeeld problematisch worden wanneer de overheid omwille van geo-politieke reden niet meer wenst gebruik te maken van niet Europese aanbieders, om maar één probleem te noemen.
De mistery guest van de dag, Max Schrems, ging dieper in op de problematiek. Tijdens zijn sessie ging de privacy activist dieper in op de cloud problematiek door onder meer in te zoomen op de Amerikaanse regelgeving en praktijken inzake mass surveilance. Dat is een praktijk waarbij de Amerikaanse overheid (niet Amerikaanse) burgers afluistert, bijvoorbeeld omwille van nationale veiligheid. Volgens zijn betoog is de keuze van een overheid om gegevens van burgers in handen te geven van een Amerikaans bedrijf, automatisch een keuze om haar burgers bloot te stellen aan dit soort risico’s. Technieken die overheden gebruiken om dit gevaar te bestrijden, indien beperkt tot risicoanalyses op papier (de zogenaamde Transfer Impact Assessments) hebben helemaal geen effect en zijn volgens hem verloren moeite. Enkel diepgaande technische maatregelen kunnen een effectieve bijdrage leveren om dit risico te beperken. Of om het met de woorden van Bert Gabriëls te zeggen (die met een ludieke tussenkomst voor een vrolijke noot zorgde): cloud betekent ‘wolk’ en wolken lekken altijd.
Tijdens de namiddagsessies waren de DPO’s aan het woord. Via workshops werden goede praktijken uitgewisseld en gaf men aanbevelingen, ook aan de VTC. Prof. Marc Neyssen (lid VTC) deed ter voorbereiding van zijn workshop een grondige studie van alle inbreuken die bij de VTC werden gemeld. Hij beklemtoonde onder meer dat er verdere vertalingen nodig zijn van wat nu wel en niet moet worden gemeld bij een inbreuk. Bovendien zou er bij de overheid veel meer de externe communicatie moeten worden gevoerd dat de overheid nooit hackers die losgeld eisen zal betalen. Hij refereerde in zijn workshop ook naar de relatie met de leveranciers en de vragenlijst die de VTC hierover plant te versturen naar de besturen.
Hilde Nys, DPO van onder meer de stad Mechelen, had tijdens haar workshop een Bingo! spel klaargelegd en wisselde met de aanwezigen ervaringen uit over de job als DPO. David Matthys van Hulpverleningszone Meetjesland / V-ICT-OR belichtte de meer technische taken. Hij beklemtoonde het belang van betrokkenheid van de ganse organisatie bij cyberveiligheid. Koen Hostyn (DPO AHOVOKS / Vlaams Datanutsbedrijf) tot slot ging in op de praktijk van Gegevensbeschermingseffectbeoordelingen. Zijn besluit is mooi samengevat in een LinkedIn post die je hier kan nalezen.
Een rijk gevulde en succesvolle ‘VTC meets DPO’ werd afgesloten met een leuke babbel op een aansluitende receptie. Het was in ieder geval een ideale gelegenheid om toezichthouders en DPO’s dichter bij elkaar te brengen.