Gebruikershulpmiddelen

Site-hulpmiddelen


interview_b

Interview B: Hugo van Haastert

Organisatie: CIO office Ministerie van Financiën
Rol: Beleidsmedewerker
Datum: 22 maart 2017

Het Ministerie van Financiën heeft grote ambities rondom het openstellen van data. Als onderdeel van de Nationale Open Data Agenda (NODA) heeft de minister van Financiën gesteld dat per 2019 alle financiële data als open data beschikbaar moeten zijn.

Op dit moment biedt Financiën al veel financiële open data aan, zoals de begroting, overzichten van subsidies en deels de verantwoording. Om de departementale financiële data duurzaam en op het gewenste detailniveau als open data te kunnen ontsluiten moeten echter nog een aantal stappen worden gezet.

In gesprek met Hugo van Haastert, senior beleidsmedewerker bij de het CIO office van het Ministerie van Financiën verkennen we de uitdagingen waar het ministerie zoal voor staat.

portretfoto_hugo.jpg

Het Ministerie van Financiën en Open Data

Eind 2015 werd de eerste dataset vanuit het Ministerie van Financiën rondom de consignatiekas - opengesteld via de server van Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP), onderdeel van het Ministerie van Binnenlandse Zaken. De set wordt tot op heden maandelijks bijgewerkt. Inmiddels zijn 45 datasets opengesteld en gepubliceerd op data.overheid.nl. Ook via het het portaal van het CBS worden diverse datasets gepubliceerd.
Bekend was al dat het Ministerie van Financiën de rijksbegroting steeds meer een digitale vorm laat aannemen. Men wil hier richting het ‘open, tenzij’ principe toe bewegen. Hiervoor worden nieuwe technologische mogelijkheden ingezet, zoals blockchain.

Open data als ‘Nice to have’

Hugo van Haastert was binnen het Ministerie van Financiën secretaris van een intern open data project en tevens senior beleidsmedewerker van het CIO office. Volgens hem loopt het ministerie van financiën voor op andere departementen op het gebied van open data. Bij verschillende departementen ziet men open data nog als een ‘nice to have’. Pas wanneer de kerntaken van een departement of uitvoeringsorganisatie op orde zijn, ontstaat ruimte om ook te werken aan het open stellen van datasets. Wat ook meespeelt is het eigenaarschap van de datasets, de bronhouders. Deze zitten vaak niet bij de beleidsdirecties, maar bij de uitvoerende diensten. Zij dragen dan ook de verantwoordelijkheid voor het openstellen van datasets. Voor het openstellen werkt men via de principes (beslisboom) van KOOP.

Als je als organisatie moet kiezen tussen het uitvoeren van je kerntaken of het werken aan het openstellen van data, worden de open data ambities al snel aan de kant geschoven’.

Op naar de Algemene Verordening Gegevensbescherming: wie neemt verantwoordelijkheid?

De afgelopen jaren zijn vanuit de EU een aantal verordeningen ontwikkeld die een grote impact op organisaties gaat hebben, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Payment Service Directment (PSD2). Hierin moeten antwoorden gegeven worden op diverse privacy- en bijbehorende governance- vraagstukken.

'Er komen diverse verordeningen uit. Daar zit ontzettend veel spanning op. Pas in jurisprudentie en rechtszaken komt uiteindelijk de verstrengeling van deze verschillende wetten aan bod; welke boven elkaar gaan. De invoering van de verordeningen vormen pas het begin van een heel lang, nieuw proces.

Aandacht voor privacy gevolgen zou nu al beter kunnen. Dit komt volgens Hugo met name voort uit de manier waarop de Wet Bescherming Persoonsgegevens (Wbp) gehandhaafd wordt. De sancties bij overschrijding zouden te laag zijn, en er is te weinig capaciteit voorhanden om voldoende toezicht te kunnen houden. Hij verwacht dat bij de aantreding van een nieuw kabinet het budget (en de capaciteit) van de Autoriteit Persoonsgegevens verhoogd wordt.

Interne strubbelingen
Binnen het departement wordt op verschillende manieren gewerkt aan de bescherming van gegevens. Zo is een functionaris gegevensbescherming actief. Zij is verantwoordelijk voor het toezicht, op zowel het ministerie als de belastingdienst op de privacy compliance. De rest van het ministerie is verantwoordelijk om de wetgeving te implementeren. Al jaren wordt bij Wbp geconstateerd dat er een handhavingstekort. Bij AVG is de verwachting dat dit verandert. Ook vanwege de sancties (boetes) die er bij overschrijding optreden.

De autoriteit persoonsgegevens is ondergefinancierd en onderbezet. Binnen organisaties krijgt het onderwerp nog te weinig aandacht. Collega’s die binnen organisaties met het onderwerp bezig zijn worden vaak als hindermachten gezien“.

In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Hier moet nog het nodige voor gebeuren. Hugo ziet dat de wetgevingsjuristen die hier intern mee aan de slag zijn vooral nog kijken naar gevolgen van de AVG voor financiën, minder voor de organisatie als geheel.

Dit onderwerp moet je eigenlijk dwars door de hele organisatie heen beleggen. Dus niet bij de juristen. Die hebben ook een rol, maar de juridische zaken binnen het ministerie hebben momenteel een andere taakopvatting. Wetgevingsjuristen houden zich voornamelijk bezig met het vertalen van de privacy verordening AVG. Ze kijken daarbij vooral naar de betekenis van de wetten van financiën, zonder te bedenken dat we ook een ministerie hebben de interne privacy voering gehandhaafd moet worden. Zij vinden dat ze niet van de uitvoering zijn, maar van wetgeving. Dat zou een verantwoordelijkheid zijn van de SG, maar binnen de SG kijkt iedereen weer naar elkaar, dus niemand is verantwoordelijk”.

Desondanks worden ook goede stappen gezet. Hugo merkt dat onder druk van externe kritiek – denk bijvoorbeeld aan de Zembla uitzending over de belastingdienst – gegevensbescherming steeds belangrijker als onderwerp wordt. Een departement-breed privacybeleid is momenteel in ontwikkeling. Ook is een departement-brede opleiding ingekocht, een spoedcursus implementeren AVG. Door hele organisatie heen worden mensen opgeleid. Hugo zegt hierover: “Het ontwikkelen van het privacybeleid wordt nog een hele kluif. Daar moet namelijk de governance in komen te staan: wie waarvoor verantwoordelijk is met betrekking tot privacy. Ondertussen gaan mensen gewoon aan de slag’.

Er zijn verschillende functionarissen gegevensbescherming binnen het departement actief. Deze worden dikwijls nog als hindermachten beschouwd. Ook de functie van beveiligingsambtenaar speelt een rol in het open data vraagstuk. Deze is verantwoordelijk voor zowel de fysieke veiligheid als informatiebeveiliging en privacy. Binnen het departement bereidt men zich voor op de AVG met een spoedcursus implementatie AVG opgezet om het bewustzijn intern te vergroten.

De Algemene Verordening Gegevensbescherming versus Open Data

Een onderbelicht onderwerp van de AVG is de raakvlakken met de ambities voor open data. Daarbij spelen vragen rondom de verantwoordelijkheidsverdeling van privacy, en het bieden van bescherming aan burgers en bedrijven van hun gegevens. Naast het bekende recht op verzet, inzage en rectificatie, heeft de betrokkene onder de AVG ook het recht om vergeten te worden, het recht op overdraagbaarheid van zijn data (ook wel: dataportabiliteit), het recht de verwerking te beperken en het recht bezwaar te maken tegen bepaalde verwerkingen. Het zou ervoor zorgen dat gebruik van gegevens meer transparant en inzichtelijk wordt. Hoe komen bepaalde, op basis van data opgestelde, beslissingen tot stand? Hoe is een algoritme ingericht?

De AVG doet twee dingen. Die beschermt de persoonsgegevens, en doet uitspraken over transparantie. De overheid moet transparant zijn over haar werking en beslissingen. De overheid moet kunnen verantwoorden op welke manier op basis van informatie en weging een beslissing tot stand is gekomen. Er is een addertje onder het gras bij de AVG die nog niet veel mensen scherp hebben; namelijk het onderdeel transparantie. De belastingdienst gebruikt big data bij bepaalde beslissingen. Als de burger vraagt hoe dat besluit tot stand is gekomen, moet je dat kunnen uitleggen. Kun je het niet uitleggen, dan is het onrechtmatig. Dat wordt heel spannend. En wie of wat bepaalt eigenlijk dat het ene algoritme ‘beter’ of ‘slechter’ is dan een ander algoritme? Bestaat er wel één manier? Als de verordening van kracht is en de AP langskomt; dan zal je zien dat veel overheden in hun hemd zullen staan”.

Payment Services Directive 2

De EU verordening PSD2 is naast de AVG een verordening die de komende jaren grote gevolgen gaat hebben, voorspelt Hugo. In de PSD2 wordt een verbod ingesteld op het doorbelasten van kosten van betalingstransacties aan de consument en wordt het ontsluiten van rekeninginformatie aan derden mogelijk gemaakt. Door de invoering van PSD2 ontstaat er voor de nieuwe toetreders en traditionele marktpartijen een level playing field, dat meer ruimte biedt voor concurrentie en innovatieve betaaldiensten.

De AVG stelt ook dat men recht heeft op dataportabiliteit. Dus je mag je data meenemen naar andere partijen. Daarmee kunnen diverse monopolies worden doorbroken. Ook voor de overheid is dit interessant PSD2 gaat over het financieel stelsel. Daarmee kunnen ook gegevens worden opgehaald om bijvoorbeeld van bank-naar-bank over te hevelen. Marktwerking in de financiële sector; maar kleven nog diverse beheerrisico’s aan”.

Wet Open Overheid

Met Hugo spreken we verder over de Wet Open Overheid (WOO). Hoe gaat de overheid om met zijn rol als wetgever, terwijl zij tegelijkertijd ook een hoop data bezit? Hugo ziet ten aanzien van de WOO de overheid als wat hij noemt, 'vierde macht' optreden. De WOO is in maart 2016 aangenomen door de Tweede Kamer. Het Ministerie van Binnenlandse Zaken en de VNG ondermijnen de invoering. Zij lieten ABDTOPConsult een rapport opstellen waaruit bleek dat de werklast om aan de WOO te kunnen voldoen te groot is, waardoor de uitvoering miljarden zou kosten. Boosdoener is vooral de verplichting om in een digitaal register bij te houden welke documenten de ministeries allemaal produceren – een functionaliteit die in Noorwegen wel al is gerealiseerd.

Tot slot: het openstellen van data volgens Hugo

Tot slot vragen we Hugo welke stappen hij zelf zou zetten om meer datasets, volgens de kaders van de aankomende verordeningen open te stellen.

‘Het moet eerst duidelijk zijn wie er verantwoordelijk is. Volgens de AVG is de minister verantwoordelijk. Die kan zijn verantwoordelijkheid delegeren Als de DG verantwoordelijk zou zijn voor privacy met ondersteuning van, laten we noemen, een privacy office (bijv. bij de CIO/BVA), dan staat er uiteindelijk een basis Binnen directies dient een privacybeleid opgesteld te worden, en maatregelen in overleg met ondersteuning van CIO office (Plan-do-act-check- cyclussen om te evalueren of het ook werkt. Ik ben er van overtuig dat we hier naar toe gaan, maar dat is een proces dat nog minstens een jaar gaat duren. Ten slotte; data is macht. Ik vind dat we de goede stappen zetten, maar om een democratische samenleving te kunnen behouden, zal je zeggenschap over data moeten hebben”.

interview_b.txt · Laatst gewijzigd: 2017/04/02 20:24 door femke