n
095
niet alleen de persoonsgegevens van de burgers bescherming verdienden, maar ook die van
de betrokken ambtenaren
de aanname dat persoonsgegevens alleen van toepassing waren op "natuurlijke personen"
niet bleek te kloppen. Ook informatie over rechtspersonen, nadat ze actief openbaar gemaakt zijn
en gedeeld worden, kunnen in combinatie van andere data, terugwijsbaar worden naar een
bepaalde persoon (bijvoorbeeld de directeur van een bedrijf).
Nadat overeenstemming was bereikt waar in het proces de persoonsgegevens zich bevonden, was de
volgende stap om te bekijken waar in het schema beheersmaatregelen konden worden genomen.
Vooraf was er een indeling gemaakt van vier lagen: metadata, ICT functionaliteiten, processen en het
menselijk gedrag. De bedoeling was om per laag beheersmaatregelen te inventariseren. Jeroen van
Oss concretiseert de maatregelen die per gebied genomen zouden kunnen worden.
Metadata
Zorg dat je vastlegt op veldniveau welke gegevens vertrouwelijk zijn en dus
niet openbaar mogen worden gemaakt.
Functionaliteit
Maak een scheiding aan de ene kant de data en aan de andere kant de
documenten. Zo kan er automatisch een document worden aangemaakt met
persoonsgegevens bedoeld voor de ambtenaren en een document zonder
persoonsgegevens die actief openbaar kan worden gemaakt.
Proces
Zorg dat je in het proces aangeeft voor hoe lang de informatie die actief
openbaar wordt gemaakt beschikbaar is.
Menselijk gedrag
Bevorder een organisatiecultuur waarin zorgvuldig met informatie wordt
omgegaan.Voorbeeld: plaats geen politiegegevens op een openbare cloud
website, omdat de officiële systemen zo goed beveiligd waren dat ze niet
flexibel bruikbaar meer waren, zoals recentelijk is gebeurd.
Deze opzet leidde tot verschillende interessante discussies, onder andere of het mogelijk is om
maatregelen in te bouwen; welke informatie openbaar gemaakt moet worden en de
contextafhankelijkheid van persoonsgegevens. De masterclass leverde verrassende nieuwe inzichten
en genoeg vraagstukken voor vervolg onderzoek.