Normen hebben toegevoegde waarde voor de bescherming van persoonsgegevens

Bescherming van persoonsgegevens wordt in de almaar groeiende digitale samenleving steeds actueler. Kunnen normen bijdragen aan de bescherming van persoonsgegevens? Dat is de hoofdvraag die Irene Kamara stelde in haar proefschrift. Het antwoord op die vraag is een kort en bondig ‘ja, maar onder voorwaarden’. Hoe dat precies zit doet Kamara uit de doeken in gesprek met NEN.

Van huis uit is Irene Kamara advocate. Tijdens haar werk kwam ze in aanraking met privacy en normalisatie en schreef ze aan het Tilburg Institute for Law, Technology & Society (TILT) en LSTS zelfs een proefschrift over de rol van normen in gegevensbeschermingswetgeving. Kamara rondde eind juni haar werk af met een sterke verdediging, waarin ze ook werd geprezen als pionier op het snijvlak van normen en persoonsgegevenswetgeving. Tevens leverde haar werk een nominatie op voor de Europese ‘Standards + Innovation’ Awards 2021, die een blijk van erkenning is voor onderzoeken en innovaties die gebruik maken van normalisatie.

Onzichtbaar krachtenveld inspireert

Tijdens haar werk als advocate kwam Kamara al met het onderwerp persoonsgegevensbescherming in aanraking en heeft er destijds een thesis over geschreven met als onderwerp het tracken van persoonsgegevens door adverteerders. ‘Hier kwam ik voor het eerst echt in aanraking met normen en ik vond het fascinerend. Normen zijn als een onzichtbaar krachtenveld; ze worden overal om ons heen toegepast, maar je ziet ze niet.’

‘Uiteindelijk ben ik bij het onderwerp voor mijn proefschrift terechtgekomen: private technische standaarden over gegevensbescherming en hun relatie tot EU-wetgeving en de AVG en de wetgeving inzake privacy in elektronische communicatie (ePrivacy). Ik heb ook gekeken naar de manier waarop normen kunnen bijdragen aan het realiseren van de doelen van de wetgevers. Daarbij heb ik ook de grenzen aangegeven van de rol die normalisatie bij het beschermen van persoonsgegevens kan spelen. Ze zijn immers geen wetgeving en kennen daardoor hun beperkingen.

Ik vond het verder belangrijk om te werken aan oplossingen voor bedrijven die met grote hoeveelheden persoonsgegevens werken maar wellicht niet weten hoe dat precies moet en wat ze ermee mogen.’ Kamara heeft overigens ook wel geluk gehad met haar onderwerp. ‘Toen ik met mijn promotiewerk begon, was normalisatie en conformiteitsbeoordeling op het gebied van gegevensbescherming geen populair onderwerp, maar dat is nu helemaal omgeslagen.’

Modus operandi

Voor haar onderzoek had Kamara profijt van haar werk als advocate. ‘Ik heb de wetgeving over persoonsgegevensbescherming uitvoerig bestudeerd. En NEN heeft mij toegang gegeven tot alle normen die op dit onderwerp van toepassing zijn. Ik heb die niet alleen uitvoerig bekeken maar ook hun totstandkoming en de redenen waarom ze ooit zijn ontwikkeld onder de loep genomen. Zo kreeg ik een beeld van waar het heen gaat met normalisatie rond dit onderwerp.’

Normen in gegevensbeschermingswetgeving

Kamara’s onderzoek laat zien dat normen een belangrijke rol spelen op het gebied van conformiteit, zo zegt ze. ‘Bijvoorbeeld voor bedrijven die data beheren en verwerken. Voor hen kunnen normen helpen om naleving van de persoonsgegevenswetgeving aan te tonen. Ook kunnen ze helpen bij oplossingen voor risicobeoordelingsmethodologie en gegevensbeveiligingsmaatregelen.’ Daarnaast bevatten normen kennis en best practices. Denk bijvoorbeeld aan het opzetten van een data protection impact assessment, wat volgens wetgeving noodzakelijk kan zijn en waarvoor in de normen al een soort draaiboek te vinden is.

Vooral mkb-bedrijven die mogelijk zelf niet de expertise in huis hebben, kunnen gebruik maken van deze normen om een impact assessment te kunnen uitvoeren.’ Kamara wijst er wel op dat ook al kan je aantonen dat je als bedrijf aan de normen voldoet, je niet bent vrijgesteld van de wettelijke verplichtingen uit de AVG. ‘Het is weliswaar een goed teken dat ze zich aan de regels willen houden, maar een garantie biedt het niet.’ Tot slot vond Kamara in haar onderzoek dat normen toegevoegde waarde kunnen hebben bij invoering van wetgeving. ‘En dan niet alleen om het nakomen van een wet, maar normen helpen ook om concepten te verduidelijken door middel van definities. Want die zijn nog niet in bestaande wetgeving opgenomen.’

'Normen zijn als een onzichtbaar krachtenveld; ze worden overal om ons heen toegepast, maar je ziet ze niet.'
Irene Kamara

Normen 'fit for purpose'

Normen kunnen een nuttige bijdrage leveren aan bescherming van persoonsgegevens, concludeert Kamara in haar proefschrift. Ze zijn zoals gezegd een geschikt instrument in aanvulling op de wetgeving, vooral voor bedrijven die willen aantonen dat ze zich aan de wetgeving houden. Normen blijken bovendien beter geschikt te zijn, omdat verschillende belanghebbenden hun inbreng kunnen geven. Er doen veel stakeholders mee. De kwaliteit van normen is met andere woorden vaak beter dan van andere vrijwillige regelingen zoals gedragscodes. Daar profiteren dus ook bedrijven van die zelf eigenlijk helemaal niet actief zijn op dat gebied. Maar dit veronderstelt wel dat alle stemmen vertegenwoordigd zijn. Bovendien, zo denkt Kamara, biedt het proces van het samen opstellen van normen een kruisbestuiving die nieuwe kennis oplevert voor het werkgebied. ‘Partijen met een verschillende achtergrond die over een onderwerp praten, levert nuttige nieuwe inzichten op.’ Ook kunnen normen wetgeving helpen bij het up-to-date blijven wat betreft nieuwe technologieën in het snelgroeiende gebied van gegevensbescherming. ‘Normen zijn flexibeler dan de wet, die statischer is.’

Brede vertegenwoordiging van belang

Ondanks de toegevoegde waarde zijn er grenzen waar normen tegenaan lopen. ‘Het is belangrijk als de groep die ze maakt een zo breed mogelijke vertegenwoordiging van alle belanghebbenden is, omdat de bescherming van persoonsgegevens een grondrecht is. Nu zitten bijvoorbeeld veel grote (tech)bedrijven aan tafel, maar is de deelname van academici, mensenrechten- en digitale rechtenorganisaties nog beperkt. Een brede vertegenwoordiging kost weliswaar veel tijd en energie maar het levert zeker ook veel op: breed gedragen normen en nieuwe inzichten doordat je van elkaar leert. Dat is de kruisbestuiving waar ik het eerder over had. Daarom moeten normalisatie-instituten meer manieren vinden om een bredere vertegenwoordiging van belanghebbenden mogelijk te maken. Daarnaast hebben normen meer waarde voor bedrijven die aan de AVG moeten voldoen, dan individuen bij de uitoefening van hun rechten. Dit komt precies door het vrijwillige karakter van normen.’

Aanbevelingen

Kamara’s onderzoek biedt verschillende aanbevelingen, onder meer richting NEN. ‘De kennis die in de NEN-werkgroep ‘Privacy en gegevensbescherming’ aanwezig is, is uiterst geschikt om ook op Europees niveau gebruikt te worden. De NEN-werkgroep zou best wat intensiever met zijn Europese evenknie mogen samenwerken en ook wat meer de noodzaak communiceren naar andere belanghebbenden om mee te praten. Een brede vertegenwoordiging uit de sector is gewenst.’ Een andere aanbeveling die Kamara doet is dat de NEN-werkgroep meer zou kunnen samenwerken met andere velden waarin gepionierd wordt, zoals artificial intelligence.

Tot slot raadt Kamara meer horizontale normen op gegevensbeschermingsgebied aan. ‘Er worden veel normen met een specifieke scope ontwikkeld maar in de breedte ontbreekt het eigenlijk aan overkoepelende raamwerkstandaarden die het geheel samenbrengen en kunnen fungeren als een soort kaart van de wereld van gegevensbescherming. Er zijn nu veel normen die de diepte ingaan (verticale normen), waardoor een algemeen plaatje zeer behulpzaam zou zijn. Het is voor bedrijven dan erg moeilijk in te schatten waar ze moeten beginnen.’ Kortom: goed bezig, maar er is nog genoeg werk aan de winkel.

NEN werkgroep ‘Privacy en gegevensbescherming’

Irene Kamara neemt deel aan de NEN-werkgroep ‘Privacy en gegevensbescherming’ als uitgenodigde expert. Deze werkgroep is opgericht in februari 2020 en draagt bij aan Europese en mondiale normalisatieprojecten. Daarnaast verkent deze werkgroep de behoefte op nationaal niveau, niet alleen op het gebied van normen, maar ook certificatieschema’s. Dat is uitzonderlijk en geeft aan dat NEN de behoefte die speelt bij een onderwerp reflecteert in zijn dienstverlening en die zo nodig innoveert. In dit geval resulteert dat in de combinatie tussen normalisatie en schemabeheer. Zo heeft deze werkgroep eind 2020 het certificatieschema NCS 27701 (privacy-aanvulling op de informatiebeveiligingsnorm 27000) gepubliceerd.

Meepraten?

Lees hier meer over de werkgroep ‘Privacy en gegevensbescherming’ en de normcommissie 'Cybersecurity en privacy'.

Irene Kamara winnaar van de Europese Standards + Innovation Awards

Op 5 oktober 2021 is bekend gemaakt dat Irene Kamara de winnaar is van de Europese “Standards + Innovation Awards 2021”. In de categorie ‘researcher/innovator’ was ze de enige genomineerde dat zich bezig houdt met de wettelijke kant, alle andere genomineerden zijn meer technisch van aard. Dat maakt haar nominatie des te bijzonderder. Volgens NEN een terechte winnaar, want haar innovatieve aanpak in een compleet nieuw veld heeft nu al nuttige inzichten opgeleverd. Gefeliciteerd Irene!


Deel dit artikel