Diana Comijs, nieuwe FG van het ministerie van Buitenlandse Zaken

“Een baan die je overal brengt ”

Diana Comijs is sinds een half jaar Functionaris Gegevensbescherming (FG) van het ministerie van Buitenlandse Zaken (BuZa). Een periode die in het teken stond van gesprekken voeren. “Een groot deel van mijn baan bestaat uit het stellen van vragen om mensen vervolgens naar een antwoord te leiden.”

Tekst: Pieter Kalis
Fotografie: Rogier Steyvers

B40 41 42 en 43 Diana Comijs 3uitenlandse Zaken is voor de van oorsprong Europees-rechtelijk juriste geen onbekend terrein; al sinds 2002 is het ministerie haar werkgever. Wel nieuw voor Comijs is haar baan als FG, ze begon in de zomer van 2014 in deze functie. Als FG heb je als taak: toezicht houden op de naleving van de regels over privacy en gegevensbescherming. Het eerste halfjaar heeft ze gebruikt om kennis te vergaren en om mensen te leren kennen. “Ik ben begonnen met een uitgebreide kennismakingsronde. De eerste drie maanden heb ik een schrift volgeschreven met alle mensen die ik heb gesproken. Zij vertelden mij hoe zij tegen privacy aankeken. Collega’s zijn voor mij de grootste kennis- en informatiebron. En ik heb veel aan mijn voorgangster, die nog bij BuZa werkt en hier vier jaar FG is geweest.” Met haar collega-FGs van de andere ministeries overlegt ze maandelijks. “Zij zijn voor mij een belangrijke vraagbaak. Ik stuur hen regelmatig mailtjes met vragen. Veel zaken zijn niet uniek voor Buitenlandse Zaken maar speelden eerder al bij andere ministeries. Ik krijg van mijn collega’s dan ook veel bruikbare tips.”

Socratisch

Het werk van een FG komt niet helemaal overeen met wat Comijs zich ervan had voorgesteld. “In het begin was ik wat bezorgd dat het een ICT-gerichte functie zou zijn, maar dat valt mee. Negen van de tien keer vertellen collega’s mij iets over een onderwerp waar ik nog nooit van gehoord heb, of waarin ik me nog niet in heb verdiept. We gaan dan samen op zoek naar de aspecten die gevolgen kunnen hebben voor de privacy. Een groot deel van mijn baan bestaat uit het stellen van vragen om mensen vervolgens naar een antwoord te leiden. De vraag naar het doel van een maatregel is een nuttige invalshoek om de goede vragen te stellen. Dat komt doordat het bij gegevensbescherming voor een belangrijk deel draait om bewustwording van privacybelangen, en het toetsen aan de beginselen van proportionaliteit en subsidiariteit. Dan moeten mensen vertellen waarom ze gegevens willen verzamelen en waarom ze die met een bepaalde partij willen delen. Via de Socratische methode proberen we dan samen tot een passende oplossing te komen. Als we helder kunnen krijgen wat de exacte vraag is, is er soms een veel logischer oplossing te vinden die minder belastend is uit het oogpunt van privacy.”

“Het doel van een maatregel is een nuttige invalshoek om de goede vragen te stellen”

-Deze aanpak heeft Comijs in de praktijk al een keer toegepast. “Onze bedrijfsarts werkt aan een healthportal. Daarin kunnen medewerkers hun gezondheid in kaart brengen door een enquête in te vullen. In de oorspronkelijke opzet stond dat de resultaten voor wetenschappelijk onderzoek zouden worden gebruikt. Dat is op zich heel begrijpelijk, maar op mijn vragen wie die onderzoekers zijn en hoe zij de gegevens anonimiseren, kwamen geen duidelijke antwoorden. Ik heb de bedrijfsarts niet gezegd dat het niet mag, maar wel dat er allerlei waarborgen nodig zijn als je dit wilt doen. Uiteindelijk is afgezien van het delen van de resultaten met de wetenschappers. In dit voorstel waren verschillende doelen met elkaar vermengd: het doel van de medewerker om informatie te verkrijgen over zijn gezondheid, een doel van de werkgever, en ook een wetenschappelijk doel. Het aanbrengen van voldoende waarborgen is dan essentieel. ”

Glazen bol

In de gesprekken die ze voert met collega’s merkt Comijs dat het belang van privacy is toegenomen. “Privacy wordt behoorlijk serieus genomen. Dat is veranderd want vijf jaar geleden vond men het volkomen oninteressant. Ik denk dat dit mede te danken is aan de toegenomen aandacht voor privacy in de media. Want als je nu als organisatie de privacybescherming in je organisatie niet goed regelt, of als je gegevens niet goed gebruikt, is dat ontzettend slecht voor je reputatie.” Comijs heeft inmiddels een duidelijk beeld van haar rol als FG. “Je moet niet alleen vertellen wat niet mag; adviezen geven hoort er ook bij. Maar je adviezen zijn altijd adviezen van een toezichthouder; je hebt daarbij een onafhankelijke positie. Ik ben de interne toezichthouder, geen beleidsmaker. Je moet mensen wel helpen, maar je kunt hun problemen niet overnemen.” Je voorbereiden op de toekomst is volgens Comijs eveneens van belang voor een FG: “Kijk af en toe in een glazen bol. Je moet je bijvoorbeeld voorstellen wat er kan gebeuren als de techniek verder voortschrijdt. Of in welke situatie je organisatie komt als deze in andere handen valt. De oplossing die je kiest moet toekomstbestendig zijn.”

“De oplossing die je kiest moet toekomstbestendig zijn.”

 

Binnenlandse Zaken

40 41 42 en 43 Diana Comijs 2De overheid reorganiseert en taken worden steeds meer gecentraliseerd door middel van zogenaamde shared service organisaties. Volgens Comijs een logische ontwikkeling omdat het geld bespaart en verschillende ministeries meer gebruik gaan maken van dezelfde systemen. Ze signaleert hierbij echter één probleem. “Bijna alle shared services binnen de overheid zijn van Binnenlandse Zaken. De persoonsgegevens die daar worden verwerkt vallen echter vaak niet onder de verantwoordelijkheid van BZK. Nu is elke minister verantwoordelijk voor zijn of haar ministerie, maar niemand is verantwoordelijk voor het Rijk als geheel. Dat dreigt te leiden tot een ‘witte vlek’ op het gebied van de naleving van de privacywetgeving, want de andere departementen denken dat zij niet langer verantwoordelijk zijn.

Neem het toezicht door de FG. De FG van Binnenlandse Zaken is alleen bevoegd voor de persoonsgegevens van het eigen departement. Als ik gegevens invoer in een systeem van Binnenlandse Zaken, is niet helder wanneer mijn verantwoordelijkheid ophoudt en die van Binnenlandse Zaken begint. En dan gaat het echt niet alleen over de beveiliging van de gegevens. Op dat gebied is grote onduidelijkheid aan het ontstaan. Daarbij komt dat we meer vragen over privacy krijgen. Bovendien stelt de wet steeds meer eisen, en dreigt de overheid met hoge boetes. De FG’s zijn interdepartementaal verenigd in het Rijksplatform voor privacyfunctionarissen, en zij kijken daar gezamenlijk naar. Maar vanwege de beperkingen vanuit hun toezichthoudende rol en de toegenomen vraag naar expertise in verband met de verplichte privacy impact assessments (PIA’s), is er meer nodig. We signaleren dat er vraag is naar een grotere beschikbaarheid van deskundigheid waarop de overheid zou kunnen terugvallen. Er is behoefte aan een soort Rijkskenniscentrum voor privacy.”

“Er is behoefte aan een soort Rijkskenniscentrum voor privacy”

Terugblikkend op haar beginperiode als FG, maakt Comijs een positieve balans op. “Het leuke is dat het beschermen van privacyrechten speelt bij veel onderwerpen en op vele niveaus. Ik kom in aanraking met veel onderwerpen, en mag daar vanuit een onafhankelijke positie iets van vinden. Privacy is een echte groeimarkt die sterk in ontwikkeling is. Ik heb het gevoel dat ik meewerk aan iets nieuws dat belangrijk is voor mensen en dat maakt het zo boeiend.”

Tips Diana Comijs:

• Stel je collega’s veel vragen en gebruik daarbij het doelbindingsaspect
• Bereid je voor op de toekomst
• Vertel niet alleen wat niet mag
• Maak collega’s bewust van privacybelangen, en de beginselen van proportionaliteit en subsidiariteit