Blog door: Taetske van der Reijt, principal consultant bij Hooghiemstra & Partners¹

Het is vandaag, 28 januari, de dag van privacy. 45 jaar geleden werd het Dataprotectieverdrag² ondertekend. Sinds die tijd is er veel veranderd. Er worden veel meer persoonsgegevens verwerkt en de bewustwording over privacy is enorm toegenomen. Toch worden al die privacyregels ook vaak als lastig en bureaucratisch ervaren.

Zo lees je nog steeds vaak in de krant dat “de Privacywet” in de weg zou staan aan effectief beleid of een effectieve aanpak van bepaalde problemen. Er is nog steeds grote angst om de AVG te overtreden, die niet altijd terecht is. Ook lijkt het erop dat de AVG soms als gelegenheidsargument wordt gebruikt.³ Het is vaak ook een oproep voor meer wetgeving.

Mijn ervaring, zowel als wetgevingsjurist op het gegevensbeschermingsrecht en als adviseur, is dat nieuwe wetgeving niet altijd nodig is. De AVG biedt de lidstaten voldoende ruimte om het gegevensbeschermingsrecht te modelleren naar eigen wens. Gebleken is echter wel dat de wettelijke grondslagen niet altijd goed op orde waren en daarom zijn er sinds de invoering van de AVG veel wettelijke grondslagen bijgekomen. Deze inhaalslag op het gebied van wetgeving is nog niet afgerond.

Echter, er zijn natuurlijk wel grenzen aan wat je wettelijk kunt en moet willen regelen. Sommige verwerkingen van persoonsgegevens zijn maatschappelijk echt niet wenselijk, met of zonder AVG. Denk aan het te breed delen van zwarte lijsten of gegevens verzamelen “omdat het misschien ooit handig kan zijn”. Of gegevens willen verzamelen, terwijl je de taak daarvoor niet hebt. Ook onze Grondwet vereist nu eenmaal dat de overheid niks mag, tenzij het wettelijk is toegestaan (terwijl de burger alles mag, tenzij het verboden is.)

Kortom: geen taak, geen gegevensverwerking, want dan is er immers geen duidelijk doel en geen noodzaak om die gegevens te verwerken. Maar om een taak uit breiden of toe te voegen in de wet, is niet altijd eenvoudig. Dan gaan er ook andere krachten en belangen spelen. De taak blijkt bijvoorbeeld eigenlijk al bij een andere overheidsorganisatie te liggen of er moet veel geld bij, want er komt immers een nieuwe taak bij. Er wordt dan vaak gemopperd dat het aan de strenge privacywet ligt, maar goed beschouwd is dat natuurlijk niet zo. Omdat er voldaan moet worden aan waarborgen en zorgvuldigheidseisen die de AVG stelt, zoals het opstellen van een DPIA, komt wel vaak aan het licht dat er iets niet klopt. Dat een organisatie buiten zijn taak werkt bijvoorbeeld, of meer gegevens verzamelt dan noodzakelijk voor zijn taak. Maar ja, is het eigenlijk niet gewoon heel wenselijk dat dat aan het licht komt?

Tegelijkertijd worden de wettelijke mogelijkheden van zowel de AVG als de Nederlandse uitvoeringsregelgeving soms naar mijn ervaring juist te eng geïnterpreteerd. Dus men denkt dat er minder mag dan in de wet staat. Er wordt dan aan de wetgever gevraagd om een wettelijke grondslag te maken, die al bestaat. Deze durft men dan niet goed toe te passen en wil voor de zekerheid een nog duidelijkere grondslag. Organisaties blijken het spannend te vinden om een afweging van belangen te maken en de noodzaak te beoordelen. Het is dan al vaak “bij twijfel niet inhalen”, waardoor ze zichzelf onnodig klemzetten. Een wetsaanpassing is niet nodig, en kan eigenlijk ook niet. Wel is van belang dat bestuurders goed weten welke afweging ze moeten maken en daar ook voor te gaan staan. Ik vermoed dat gebrek aan kennis en angst om toch een verkeerde afweging te maken en vervolgens bijvoorbeeld in de publiciteit hard voor te worden afgestraft daar onder meer debet aan is.

De wetgever staat dan wel voor een dilemma. Mijn overtuiging is dat het maken van steeds meer en gedetailleerdere wettelijke grondslagen zelfs averechts zal werken. Ten eerste zeg je ermee dat eerdere vergelijkbare verwerkingen van persoonsgegevens blijkbaar onrechtmatig waren en ten tweede moeten dan andere vergelijkbare verwerkingen, ook door andere organisaties, voorzien worden van een wettelijke grondslag. Hierdoor bestaat het risico in een soort vicieuze cirkel van wetgeving terecht te komen, waardoor er steeds meer en meer wetten moeten worden opgesteld met allerlei gedetailleerde grondslagen. Of dat te ruimhartige grondslagen worden opgesteld.⁴

En wees gewaarschuwd: een wet werkend krijgen gaat niet snel, zeker niet als het over gegevensbeschermingsrecht gaat. Veel instanties kijken mee en een wetsvoorstel inzake verwerking van persoonsgegevens moet op grond van de AVG sowieso aan de AP worden voorgelegd. Uiteraard is ook de Raad van State nog aan zet, die vanuit grondwettelijk perspectief met grote interesse kijkt naar wetsvoorstellen over gegevensbeschermingsrecht. Overigens volkomen terecht.

Om een voorbeeld te geven: het wetsvoorstel voor de Verzamelwet gegevensbescherming, dat vooral technische aanpassingen en enkele extra grondslagen voor gegevensverwerking mogelijk maakt, is op 1 december 2022 ingediend bij de Tweede Kamer, en sinds mei 2025 in behandeling bij de Eerste Kamer. Waarschijnlijk zal deze niet eerder dan 1 januari 2027 in werking treden.

Dit is maar één voorbeeld uit mijn eigen praktijk, maar er zijn er veel meer.⁵ Blijkbaar vinden we het, als het puntje bij paaltje komt, allemaal heel spannend om persoonsgegevens te verwerken en te delen en kijken we daarbij steeds naar anderen om te zeggen of het mag. Naar de AP of naar de wetgever of naar de FG of de privacy-adviseur. En dat terwijl we zelf afwegingen moeten durven maken. Er staat immers niet voor niets in overweging 4 bij de AVG dat de verwerking van persoonsgegevens ten dienste van de mens moet staan en dat het recht op bescherming van persoonsgegevens geen absolute werking heeft, maar conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen.

Beeld: Yasmine Boudiaf & LOTI / Data Processing / Licenced by CC-BY 4.0

¹ Taetske was hiervoor raadadviseur gegevensbeschermingsrecht bij het ministerie van Justitie en Veiligheid.
² Verdrag (van de Raad van Europa) tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Straatsburg, 28-01-1981.
³ Zie ook de brief van de Algemene Rekenkamer van 30 maart 2023 aan de Tweede Kamer. Kamerstukken II, 32761, nr. 264.
⁴ In het advies over de Verzamelwet gegevensbescherming waarschuwt de AP op pagina 3 ook hiervoor. https://www.autoriteitpersoonsgegevens.nl/documenten/advies-verzamelwet-gegevensbescherming.
⁵ Bijv. de Wet gegevensverwerking door samenwerkingsverbanden: Begin 2020 ingediend bij de Tweede Kamer, eind 2024 aangenomen door de Eerste Kamer. De ambtelijke voorbereiding en adviestraject is ongeveer 2015 gestart. Of Bijv. de Wet aanpak meervoudige problematiek sociaal domein (WAMS), die in januari 2023 is ingediend bij de Tweede Kamer en nog in behandeling is.

Hoe stop je een wet in een computer, op zo’n manier dat daar juiste en rechtvaardige besluiten uitkomen? Het idee is misschien dat generatieve AI deze vraag gaat beantwoorden, of hem zelfs overbodig maakt. Daar zijn we bij Hooghiemstra & Partners nog niet helemaal van overtuigd, maar we hebben wel mensen die kunnen helpen bij de omzetting van wet naar code. Een sleutelrol is daarbij weggelegd voor Wetsanalyse. We leggen uit waarom, wat en hoe.  

Waarom?  

De samenleving kan niet meer zonder ICT. We leven met en worden soms zelfs geleefd door onze smartphone en laptop. Ook de overheid zet digitalisering op grote schaal in voor uitvoering van haar taken en voor dienstverlening aan burgers en bedrijven. De grondstof voor dat werk is wetgeving, die zowel het gedrag van burgers als het optreden van de overheid reguleert.  

Vaak wordt gezegd dat wetgeving complex en onduidelijk is. Het is ook best lastig: wetten moeten algemeen gelden én tegelijkertijd toepasbaar zijn op heel veel verschillende individuele gevallen. Daarom zit wetgeving op een bepaalde manier in elkaar, met een eigen taalgebruik en specifieke taalconstructies. Vaak zitten er open normen in, of ruimte voor afweging in individuele gevallen. Juist om rechtvaardige toepassing mogelijk te maken.  

De wereld van de uitvoering in ICT-systemen is een heel andere dan de wereld van de jurist: een systeem kan geen afwegingen maken, maar redeneert letterlijk ‘digitaal’, in nullen en enen. Als we wetgeving willen uitvoeren zoals de wetgever die bedoeld heeft, zullen we de talige wereld van de jurist en de digitale wereld van de ICT’er moeten overbruggen. Alleen dan kunnen we goed werkende ICT realiseren, die letterlijk recht doet aan de beginselen onder onze rechtsstaat.  

Wat? 

In de afgelopen decennia zijn methoden ontwikkeld voor de vertaling van wetgeving naar digitale uitvoering. Wetsanalyse is een voorbeeld van zo’n methode. Hiermee worden de wettelijke regels als het ware uiteengerafeld tot de bouwblokjes waarmee voor mensen leesbare (en dus toetsbare) modellen kunnen worden gemaakt. Die modellen zijn op hun beurt de basis zijn voor softwarecode waarmee de computer kan redeneren en beslissingen kan nemen. Of er kunnen regel- en rekenhulpen mee worden gemaakt voor burgers en bedrijven. Of ze kunnen worden gebruikt voor een ‘bijsluiter’ bij brieven van de overheid, met uitleg over de berekening van een uitkering of verlening van een vergunning.  

Hoe? 

Hoe werkt dat dan? Wetsanalyse kent twee pijlers, een analyseschema en een werkwijze. Het analyseschema is eigenlijk de juridische grammatica van de wetgeving. Het bestaat uit de juridische elementen die in alle wetgeving voorkomen. Bijvoorbeeld rechten en plichten (rechtsbetrekkingen), de partijen die daarbij betrokken zijn (rechtssubjecten), waar ze over gaan (rechtsobjecten) en de voorwaarden die gelden. Aan de hand van het schema worden formuleringen in wetgeving voorzien van een label dat hun juridische betekenis heel precies aangeeft. Zo worden de bouwblokjes gemaakt die vervolgens geordend worden in een gegevens-, een regel- of een procesmodel, zodat de computer er uiteindelijk mee uit de voeten kan. De afbeelding laat dit zien. 

Essentieel voor een goede analyse is samenwerking. Wetsanalyse wordt uitgevoerd in een team, waarin juristen (die de wetgeving goed kennen), uitvoeringsexperts (die de praktijk goed kennen) en IT-ontwikkelaars samen de analyse en interpretatie van de wetgeving maken en de regel-, gegevens- en procesmodellen opstellen. Ze voeren daarbij vaste activiteiten uit, zoals in onderstaand schema.  

Multidisciplinair dus, waarbij ieders expertise optimaal benut wordt. Daarnaast wordt iteratief gewerkt, zodat continu geleerd wordt en de analyses kunnen worden aangescherpt en verbeterd. Daarbij blijkt vaak ook waar nog interpretatie of invulling van de wetgeving nodig is om haar digitaal te kunnen uitvoeren. Of waar concretisering niet mogelijk is, en dus waar de grenzen van automatisering liggen.   

Voorbeelden 

Wetsanalyse wordt al bij verschillende overheidsorganisaties toegepast, zoals de Belastingdienst, de IND en (nog experimenteel) enkele gemeenten.  

Momenteel ondersteunt Hooghiemstra & Partners de Wetsanalyse van hoofdstuk 4 van de European Health Data Space-verordening (EHDS) in het kader van het Programma Health Data Access Body (HDAB). Daarnaast voeren we Wetsanalyse uit voor de modernisering van identiteitsvaststelling in de strafrechtsketen. Daarnaast hebben we meegewerkt aan het BZK-innovatieproject Wegwijs in regels. Daarin is het analyseschema van Wetsanalyse gebruikt voor een AI-toepassing die overheidsmedewerkers helpt om de Wet open overheid, de AVG en de Archiefwet in samenhang te bevragen en toe te passen in hun werk.  

Meer weten? 

Wil je meer weten over Wetsanalyse of ben je geïnteresseerd in toepassing ervan in jouw organisatie, neem dan contact met ons op via info@hooghiemstra-en-partners.nl. 

Ben je geïnteresseerd in opleiding in Wetsanalyse, dan biedt de Open Universiteit de cursus Wetsanalyse en wendbare wetsuitvoering in de digitale rechtsstaat. 

Meer kruisbestuiving tussen het juridische en technische domein. Daarvoor pleit onze collega Mariette Lokin, die sinds juli ook bijzonder hoogleraar wetgeven in de digitale rechtsstaat aan de Open Universiteit is. Voor een artikel in Binnenlands Bestuur gaat ze dieper in op het vertalingsproces van wet naar code. Soms is dat ondoorgrondelijk, maar eigenlijk hoeft het dat helemaal niet zo te zijn.

Hoewel op het eerste gezicht de werelden van de jurist en de ict’er misschien ver uit elkaar lijken te liggen, is volgens Mariette hun logica juist hetzelfde. De verschillende expertises drukken zich anders uit – talig versus symbolisch – maar de gedachtegang achter wet en code vertoont een hoop gelijkenissen. Mariette hoopt dat juristen en programmeurs elkaar steeds beter weten te vinden. En dat ze beiden niet alleen in hun eigen koker blijven werken, maar ook van elkaar leren.

In het artikel legt Mariette uit hoe beslis- en rekenregels en de menselijke maat naast elkaar kunnen bestaan. Volgens haar is het wel essentieel dat overheidsorganisaties ‘in charge’ zijn. Dat betekent dat organisaties weten en vastleggen hoe een computer tot een bepaalde beslissing komt. Overheden (centraal én decentraal) zouden op dit moment ‘beter ‘in charge’ kunnen zijn’ vertelt Mariette. “Overheidsorganisaties hanteren nog niet altijd de werkwijze dat ze zelf de kennis modelleren waarmee ze de leverancier kunnen zeggen wat hij moet bouwen. Daar is winst te behalen.”

Ontwikkelingen zoals de Digitale toets van de Tweede Kamer voor meer grip op digitale uitvoerbaarheid van wetten zijn een stap in de juiste richting volgens Mariette. Maar er is meer nodig: een andere manier van werken, middelen en tijd voor juristen en beleidsmakers, en samenwerking met de uitvoering in een vroeg stadium. Benieuwd naar het artikel? Lees meer via de website van Binnenlands Bestuur.

Beeld credit: Yutong Liu & Digit / https://betterimagesofai.org / https://creativecommons.org/licenses/by/4.0/