Het is makkelijk om te klagen over de Autoriteit Persoonsgegevens (AP). En ik geef het ze ook te doen: met een beperkte capaciteit verantwoordelijk zijn voor zo’n uitgebreid takenpakket. Om me heen hoor ik steeds meer gemopper. Over de beperkte bereikbaarheid en de weinig praktische adviezen. Over de soms onnavolgbare logica tussen handhavingsacties. Over het gebrek aan doortastendheid. Et cetera.
Maar met alleen klagen over de AP komen we nergens. Maar meer budget zit voorlopig ook niet in de pijplijn. Moeten we dan maar leren leven met de huidige situatie? Wat mij betreft is ook nog een andere mogelijkheid: slimmer werken door te digitaliseren. Hoe? Bij deze een schets van de digitale AP, om eens te laten zien hoe het ook zou kunnen. Daarbij kies ik een fictie-stijl, om werkelijkheid en toekomstvisie op elkaar aan te sluiten. En omdat dat het ook hopelijk wat leuker maakt om te lezen.
Zo, we zijn er weer. Aleid Wolfsen hangt zijn mantel op in zijn Haagse kantoor bij de AP. Zijn eerste afspraak was uitgevallen die dag en hij had ineens een uurtje over. Als vanzelf begon hij eens na te denken over wat hij het afgelopen jaar allemaal met zijn organisatie had bereikt. Een lichte glimlach tekende zich onbewust over zijn gezicht toen hij dacht aan zijn nieuwe bijnaam, Aleid ‘Whizkid’ Wolfsen. Die bijnaam was hem vanuit de media toebedeeld. Tot een jaar geleden zou niemand hier zijn opgekomen. Maar na jaren van krappe budgetten heeft hij het roer omgegooid. Stap voor stap is hij binnen de AP taken gaan digitaliseren. Van een organisatie die bestuurlijk / juridisch was georiënteerd, is de AP nu veranderd in een data- en informatiemachine. Het was stiekem best wel wennen, voor hem en voor de andere AP-ers. Maar wat is de transformatie goed bevallen!
Hij is begonnen met de afdeling voorlichting. Sinds jaar en dag bellen hier organisaties naar toe om vragen te stellen over de AVG. En meestal zijn dat dezelfde vragen, die ook weer leiden tot dezelfde antwoorden (“wat zijn eigenlijk persoonsgegevens”, “wat is verwerken”, “wat moet er in een verwerkersovereenkomst staan”). Goede voorlichting bieden kostte zijn medewerkers enorm veel tijd. Hoe hij dit heeft veranderd? Door de inzet van zogenaamde virtual agents. Dit zijn eigenlijk een soort digitale medewerkers die publieksvragen beantwoorden. Door eerst de digitale agents te koppelen aan echte medewerkers, leerde het algoritme van de agents stap voor stap vragen te beantwoorden. Omdat 80% van de vragen vrij standaard is, konden al snel veel van de vragen worden beantwoord door agents en konden zijn eigen medewerkers zich richten op de moeilijkere vragen. Het hoofd van de afdeling voorlichting was daar erg blij mee. De agents werden immers nooit ziek en zijn schaalbaar. Bovendien konden de openingstijden worden verruimd en konden meerdere kanalen worden ontsloten (e-mail, chat, telefoon, app).
Toen Aleid had gezien dat deze digitaliseringsslag bij de afdeling voorlichting zo goed werkte ging hij zich concentreren op de afdeling die meldingen en klachten ontvangen. Op deze afdeling ligt de uitdaging om meldingen op te volgen en melders te laten weten wat er met hun melding is gedaan. Het publieke beeld was dat de AP een zwart gat was, waar je na een melding niets meer van hoorde. Dat was hem al jarenlang een doorn in het oog. Ook hier konden agents goed werk doen in het klantcontact, maar daaraan had hij een zogenaamd ticketing systeem gekoppeld. Een jaar geleden wist hij nog niet wat een ticketing systeem was, maar nu was hij er erg trots op: hij was er in geslaagd om online een ticketing systeem te maken, waarin mensen zelf een melding of klacht konden indienen. Met behulp van de medewerkers die normaal gesproken meldingen en klachten aannamen was met Artificial Intelligence een algoritme gemaakt, dat alle meldingen en klachten een prioriteit toekent. Ook konden meldingen en klachten aan elkaar worden gekoppeld, zodat specifieke meldingen per organisatie konden worden gebundeld. Alle meldingen en klachten werden in een achterliggende BI systeem opgeslagen, voor trendanalyse. Op deze manier kon hij snel inspelen op veranderende trends en maandrapportages maken, die ook weer de nodige positieve media aandacht voor de AP opleverden.
Melders krijgen ook automatisch een melding over de statusverandering en opvolging van hun melding of klacht en konden deze (na veilige inlog uiteraard) ook in het meldportaal inzien.
Toen dat eenmaal goed bleek te werken kreeg Aleid de smaak van digitalisering echt te pakken. Hij zag ook hoe digitalisering kon helpen om al die hardwerkende privacy professionals te helpen die niet op de loonlijst van de AP staan: de Functionarissen Gegevensbeschermingen (FG’s).
De behoefte om informatie uit te wisselen, kennis te vergaren en te sparren was immers groot bij de FG’s. Bij gebrek aan beter had Aleid eerst het plan om een forum te starten, maar hij was eigenlijk niet zo onder de indruk van de functionaliteiten van een forum. Terwijl de communicatie naar de FG’s voor hem écht een belangrijk speerpunt is. Totdat hij kennismaakte met virtuele community platforms: deze boden echt mooie mogelijkheden voor FG’s. Naast de traditionele forum functies, boden deze ook mogelijkheden om elkaar te ontmoeten in digitale sessies (in groepsverband of één-op-één). Ook kon hij zo makkelijk webinars en FG trainingsmateriaal ontwikkelen en deze aan de community aanbieden. Hij merkte dat door de FG’s op deze manier te benaderen en te voorzien van informatie, dat het aantal vragen dag de FG’s stelden veel minder werden en dat onderling steeds meer kennis werd gedeeld. Doordat zijn mensen meeliepen in de meetings konden ze ook steeds sneller en beter inspelen op actuele vragen en de FAQs op de site aanpassen.
Bij zijn wens om ook de toezichtstaken te digitaliseren had hij intern de meeste wenkbrauwen doen fronsen. Veel inspecteurs / toezichthouders probeerden hem ervan te overtuigen dat digitalisering op de ingewikkelde dossiers die zij hadden lastig was. Daarom had Aleid een voorstel gedaan wat wél op hun instemming kon rekenen: er zijn ook kleine dingen die organisaties niet goed regelen. Denk aan cookie verklaringen of privacy verklaring die niet afdoende informatie geven. In het interne project ‘Digitale PrivacyBOA’ is een AI ontwikkeld die geautomatiseerd websites bezocht om bijvoorbeeld een privacy verklaring te interpreteren en om te kijken of daar de verplichte zaken in zijn benoemd. Ook is de AI getraind om stukjes tekst te herkennen die te weinig concreet waren zoals “wij bewaren gegevens niet langer dan noodzakelijk”. Zodra er dingen werden gevonden die niet goed waren, wordt automatisch een brief gestuurd, met daarin verbetersuggesies. Na drie maanden wordt de scan opnieuw uitgevoerd en gekeken of de organisaties een verbeterslag hadden gemaakt.
Een volgende stap was nog dat zodra er na de drie maanden niets was verbeterd, er automatisch een boete werd opgelegd. Het liefst zou hij, net als bij snelheidsovertredingen, een boete op de mat willen laten ploffen. Technisch gezien zou dat kunnen (zijn ticketing systeem en CRM systeem hielpen daar ook bij), maar het leek hem wel verstandig om dit in een communicatiecampagne aan te kondigen, zodat iedereen de tijd had om zijn huiswerk nog even goed te doen.
Door tooling in te zetten bij toezicht werd de AP feitelijk ook veel pro-actievere toezichthouder. In plaats van wachten op meldingen, klachten en datalekken, ging zij nu zelf actief op zoek naar misconfiguraties en oorzaken van datalekken. En op dat gebied had hij nog wel meer plannen: met name op het gebied van beveiliging liggen er veel kansen. Hij werkte in het geheim aan een ‘digitaal rondje om het huis’, waarbij hij tooling inzet die een snelle beveiligingsscan doet op webpagina’s van organisaties. Hij had daarbij een kruising voor ogen tussen de functies van internet.nl en scanners die tegen de OWASP top 10 / OWASP api toets zou combineren. Hij grinnikte nog even inwendig, toen hij nog even terugdacht aan zijn eigen verzuchting dat hij zo had moeten wennen aan al die terminologie. Maar hij had al snel het nut ervan ingezien en langzaam had hij er ook lol in gekregen. Met deze tooling kan hij ook een snelle inspectie doen en volautomatisch direct de eigenaar van de website manen om actie te ondernemen. Zo kon hij in een klap de zichtbaarheid van de AP verbeteren en organisaties helpen en aanspreken op hun verantwoordelijkheid.
Voor het komende jaar is hij aan het kijken naar de mogelijkheden om de Internationale taken van de AP te digitaliseren. Hoe leuk het ook was om met de collega’s te sparren, het is ook wel een hoop gedoe door al dat vergaderen en vertalen. Hij zou dolgraag wat efficiënter willen werken, maar er zijn nog wel wat collega’s die (zeg maar) de huidige manier van werken eigenlijk wel een prettige onderbreking van hun dagelijkse routine vonden. Aleid was echter wel onder de indruk geraakt van de moderne vertaalsoftware. Deze was intussen na enige inleertijd ook uitstekend in staat om de vaktechnische termen goed te vertalen en was voor vrijwel alle talen die in de EBPB werden besproken ook beschikbaar. Ook de tekst-naar-spraaksoftware was intussen voldoende ontwikkeld om automatisch gespreksverslagen en vergaderverslagen te maken. Maargoed… het overtuigen van de collega’s die niet zo digibewust waren, zou niet zo makkelijk zijn. Daarom ging hij bij de eerstvolgende vergadering voorstellen dat ze een proef zouden moeten gaan doen met de vertaalsoftware. Daarbij zouden ze allereerst relevante nationale jurisprudentie gaan vertalen in de diverse talen. Zo zou het ook makkelijker zijn dit onderling te delen, zodat ze wat meer zouden kunnen gaan sturen op onderlinge consistentie. Dat was onderling immers een grote gekoesterde wens, dus als dit met vertaalsoftware zou lukken zou dit de twijfelaars vast over de streep helpen.
Aleid schrok op uit zijn gedachten. ‘Het uurtje over’ was alweer bijna voorbij. Straks sprak hij met zijn mensen over de AP jaarrapportage. Terugkijkend heeft de digitalisering bij de AP geleid tot een metamorfose: als organisatie is de AP een stuk klantgerichter en pro-actiever geworden. Daarmee heeft de AP het traditionele beeld van toezichthouder van zich afgeschud en presenteert de AP zich steeds meer als pionier en voorvechter van de privacy van de Nederlanders. En daar was hij nog wel het meest trots op.