Slapeloze nachten

Dit houdt onze bestuurders meer in de tang dan de dreiging van hackers. Best wel een akelige constatering. Je verwacht dat bestuurders eerder wakker liggen van cyberaanvallen dan van bijvoorbeeld AVG of DBA-regelgeving. Wat is er aan de hand in Nederland?

Dat we ons met de AVG wapenen tegen de datahonger van Amazon, Facebook en Google is terecht. Maar hier schieten we toch wel behoorlijk door naar het andere uiterste.   

Waar lopen we spaak met de interpretatie van de AVG? Een voorbeeld uit de praktijk. De onderwijsinstelling krijgt een hooggeplaatste functionaris op bezoek. Zij is door ons uitgenodigd op het communicatieplatform Discord voor een gesprek. Alle seinen gaan op rood. De functionaris gegevensbescherming informeert ons over de risico’s en verplichtingen vanuit de AVG: “De beoordeling op privacy- en securityaspecten heeft niet plaatsgevonden en er is geen verwerkersovereenkomst afgesloten over de borging van een vergelijkbaar beschermingsniveau als de AVG. Omdat het hier een Amerikaanse leverancier betreft zijn extra waarborgen verplicht. Het Europees hof heeft deze zomer immers het privacy shield met de VS afgekeurd waardoor zonder deze extra waarborgen gegevensuitwisseling met de VS niet rechtmatig is.” Het beoogde gesprek betreft geen bedrijfs- of privégevoelige maar openbare informatie en vindt plaats in de cloud zonder raakvlak met onze eigen applicaties. Dat we ons met de AVG wapenen tegen de datahonger van Amazon, Facebook en Google is terecht. Maar hier schieten we toch wel behoorlijk door naar het andere uiterste.   

En dan de DBA-regelgeving, wat staat voor Wet deregulering beoordeling arbeidsrelaties. De Belastingdienst gaat nu achteraf beoordelen of er sprake is van een dienstbetrekking. Om dat te beoordelen, gebruiken ze dezelfde criteria als die voor een arbeidsovereenkomst. Voor beroepsonderwijs is de betrokkenheid van mensen uit het werkveld cruciaal. Niet alleen om het docententekort te kunnen oplossen, maar ook omdat externen over specialistische kennis beschikken. Dit is iets anders dan de problemen die zich hebben voorgedaan in de zorg- of bouwsector. Hoe krijg je dat uitgelegd bij de interne en externe handhavers?  

Waar is regelgeving wél voor bedoeld? Het reguleren van gebruik, aangeven wat grenzen zijn, et cetera. Waar het mísgaat is de toepassing van die regelgeving, waarin mensen (vaak vanuit gebrek aan kennis) de regels verkeerd toepassen, en dan zijn de regels plotseling niet meer een goede bescherming maar een onnodige hindernis. We schieten in een kramp en zo gaan wij ermee om. Geen wonder dat bestuurders in Nederland wakker liggen. Wel zonde, want cybersecurity zou met stip op de eerste plek moeten staan.