Regie op Persoonlijke Gegevens de consument bepaalt! Op woensdag 20 september organiseerde SIVI, het kennis en adviescentrum voor digitaal zaken doen in de verzekeringsbranche, een seminar over Regie op Persoonlijke gegevens. Aanleiding hiertoe was het green paper dat SIVI op 1 mei 2017 uitbracht De consument bepaalt!. Met dit paper gaat SIVI op zoek naar samenwerking in de keten rond regie op persoonlijke gegevens (RoPG). De nieuwe privacywetgeving (AVG) en allerlei ontwikkelingen op het vlak van RoPG stellen in sterke mate de consument centraal. Samenwerking in de verzekeringsbranche rond RoPG biedt kansen om het vertrouwen van consumenten verder te herstellen. 1
Seminar - Regie op Persoonlijke Gegevens Programma 13.00 Opening - dagvoorzitter Peter Mols 13.10 De essentie van Regie op Persoonlijke gegevens - Gerhard Gerritsen 13.30 Overzicht initiatieven en trust frameworks Regie op Gegevens - Wil Janssen 13.50 Discussie - nut en noodzaak van Regie op Persoonlijke gegevens in de keten 14.20 Praktijkcases 1 t/m 4 15.00 Pauze 15.15 Key note 1: Mydex - David Alexander & Jack Mitchell 16.15 Key note 2: MedMij naar meer regie over gezondheid - Marcel Heldoorn 17.00 Praktijkcases 5 t/m 7 17.30 Afsluiting dagvoorzitter Peter Mols Dagvoorzitter en directeur van SIVI Peter Mols opende het seminar met een vooruitblik op het programma en de vraag: Wie bepaalt wat er gebeurt met je gegevens?. De uitgangspunten bij deze vraag kwamen in de daaropvolgende presentaties aan bod: - Essentie op Persoonsgegevens - Hoe werkt het om dit te organiseren? - Discussie over de nut en noodzaak van RoPG - Zestal pitches om te zien wat er nu al is - Keynotes (MedMij en Mydex). Wat gebeurt er in andere branches en wat kunnen we hier van leren? Alle presentaties zijn beschikbaar op http://www.sivi.org/nieuws/seminar-2017. Programma 13.00 Opening - dagvoorzitter Peter Mols 15.00 Pauze 13.10 De essentie van Regie op Persoonlijke 15.15 Keynote 1: Mydex - David Alexander gegevens - Gerhard Gerritsen & Jack Mitchell 13.30 Overzicht initiatieven & trust 16.15 Keynote 2: MedMij naar meer regie frameworks RoPG - Wil Janssen over gezondheid - Marcel Heldoorn 13.50 Discussie - nut en noodzaak van Regie 17.00 Praktijkcases 5 t/m 6 op Persoonlijke gegevens in de keten 17.30 Afsluiting dagvoorzitter Peter Mols 14.20 Praktijkcases 1 t/m 4 2
De essentie van Regie op Persoonlijke gegevens Gerhard Gerritsen Gerhard Gerritsen gaf een schets van het green paper De consument bepaalt!. Vanaf mei 2018 is de AVG van kracht. AVG is een dwingend kader met strakke tijdlijnen, maar kan ook de aanjager zijn met kansen voor financieel dienstverleners. Goede samenwerking is hiervoor een randvoorwaarde. SIVI kan faciliteren bij het tot stand brengen van samenwerking in de keten. Met de invoering van de AVG stelt de wet eisen aan de verwerking van gegevens. In de verwerking van gegevens heeft de consument allerlei rechten, zoals recht van inzage, recht van dataportabiliteit en recht om vergeten te worden. Ook dient er altijd uitgelegd te kunnen worden waarom gegevens worden uitgewisseld en wat ermee gedaan wordt. Inzicht geven door transparant te zijn over data-uitwisseling draagt bij aan het consumentvertrouwen. SIVI heeft een aantal gebieden benoemd waar voorlopig de prioriteit ligt, zoals het aanjagen / omarmen van breed inzetbare authenticatievoorzieningen, ontwikkelen open API-raamwerk en het ontwikkelen van een standaard voor dataportabiliteit. Er is een wettelijk kader: de AVG. Hiermee kun je aan de slag gaan. Je moet hiermee ook aan de slag. Invulling komt nu. Wat moet er gebeuren en welke kansen biedt dit? Inmiddels hebben zich 8 mensen aangemeld om hierover mee te denken met SIVI. De werkgroep staat open voor andere geïnteresseerden. Werk samen mee aan het benutten van de kansen die RoPG biedt! Hierbij een uitnodiging om hierover mee te denken. 3
Overzicht initiatieven en trust frameworks Regie op Gegevens Wil Janssen Wil Janssen gaf een inkijk in het landschap dat de afgelopen jaren ontstaan is rond Personal Data Management en hoe dit zich ontwikkeld heeft. Personal Data Management begon al in 1999 met Project VRM. Dat was nog voor LinkedIn en voor Nederlanders massaal Hyves gingen gebruiken. Inmiddels zitten we (bijna) allemaal op social media en is mobiel internet gemeengoed. Dit heeft geleid tot een wildgroei aan PDM gerelateerde ontwikkelingen. Hierin zijn twee initiatieven te onderscheiden. Enerzijds zijn er PDM diensten, zoals Mydex, Dappre en Tippiq. Anderzijds zijn er afsprakenstelsels: vastgelegde afspraken, van technologie tot juridisch om samenwerking mogelijk te maken. Voorbeelden hiervan zijn Idensys, idin en Qiy Foundation. Om tot een succesvol PDM initiatief te komen, werden geleerde lessen gedeeld. Er is geen first mover advantage. Sterker nog, de initiatieven die begonnen hebben echt de grond moeten bewerken om tot een adoptie van PDM te komen. Zorg voor een sluitend bedrijfsmodel, wie betaalt waarvoor? Begin smal, vanuit een noodzaak voor de consument/burger Overheid kan vertrouwen realiseren Vertrouwen vereist transparantie Nu is het moment om de kansen te pakken en er iets mee te doen. De consument wil het, de technologie kan het en de AVG en PSD2 stimuleren het. Personal Data Services zijn diensten die een individu in staat stellen om zijn/haar persoonlijke informatie duurzaam te beheren en te onderhouden om deze, wanneer de gebruiker dit in zijn belang acht, te kunnen delen met anderen. 4
Discussie nut en noodzaak van RoPG in de keten Aan de hand van stellingen en stemrondes werd de mening van deelnemers gepeild over een aantal RoPG gerelateerde stellingen: Het is niet noodzakelijk voor herstel in vertrouwen, maar als het niet goed geregeld is dan kan het wel bijdragen aan de afbreuk ervan. De vraag is of dit ook zo wordt geïmplementeerd. Is dit om vooral aan de wet te voldoen of echt de consument centraal te stellen? Ik denk dat het juist geen illusie is, er zijn al heel veel organisaties die controle hebben over onze gegevens. Om naar één systeem te gaan is een flinke klus. Het instrumentarium om hiermee iets in te richten moet het hiermee gemakkelijker maken. Het stelt mensen in staat de beste keuze te kunnen maken, het is een moment van bewustwording. 5
Praktijkcases Tijdens korte pitches stelden zes Personal Data Management initiatieven zich voor: Ockto Financieel Paspoort Mijnverzekeringenopeenrij Qiy / Dappre Coolfield Ydenti Ockto Paul Janssen Online je data verzamelen met Ockto. Ockto biedt een app waarmee de gebruiker eenvoudig zijn of haar financiële gegevens kan verzamelen en delen. Toegespitst op de financiële sector: hypotheken & persoonlijk lening, vermogen & pensioen en verzekering In 8 minuten gaven zij antwoord op de volgende vragen: Wat doe je om welk probleem op te lossen? Wat is de mate van volwassenheid van jouw initiatief? Welke concrete resultaten zijn behaald? Wat is jullie planning? Wat is het grootste struikelblok dat jullie tegenkomen? Financieel Paspoort Philip Helmer Voor iedereen een financieel overzicht dat eenvoudig, persoonlijk en begrijpelijk is en voldoet aan privacy vereisten. Met de app wordt bij alle bronnen data opgehaald en op een rij gezet. Verzamelen van de data is hiermee een nutsvoorziening geworden. 6
Praktijkcases Mijnverzekeringenopeenrij Peter Vogelsang Eén plek waar alle verzekeringen online in 1 overzicht staan. De consument bepaalt, niet de verzekeraar (zij leveren alleen maar). Gegevens worden opgehaald, waarna de consument bepaalt wat ermee gebeurt, bijvoorbeeld wat en met wie wat gedeeld wordt. Coolfield Ron Boscu Coolfield helpt bij de inrichting van een Privacy Management Systeem om te voldoen aan de nieuwe AVG. Een tool helpt om risico s te beheersen, processen op orde te brengen en risk, compliance en audits te digitaliseren. Qiy Dappre Marcel van Galen Dappre maakt gebruikt van de Qiy Foundation. Qiy werkt aan een stelsel van afspraken, zodat jij als individu controle hebt over jouw gegevens. Qiy is geen oplossing, maar een stelsel van afspraken, oplossingen worden geïmplementeerd door de markt zelf, zoals Dappre. Ydenti Martijn de Boer Met Ydenti beheer je zelf welke bedrijven jouw persoonsgegevens hebben. Een app helpt de consument al zijn of haar persoonsgegevens kan managen en zich kan beroepen op de rechten gesteld in de AVG, waaronder recht van inzage en het recht om vergeten te worden. 7
Keynote 1: Mydex - David Alexander & Jack Mitchell Tijdens de presentatie van Mydex deelde Jack Mitchell zijn inzichten uit zijn whitepaper Unlocking the value of our data. Hierin beschrijft hij de setting en grootste uitdagingen rond de de algemene verordening gegevensbescherming. Internet heeft veel dingen eenvoudiger en sneller gemaakt. Echter, de grootste uitdaging blijft vertrouwen en de definitie ervan en het bewijs dat je bent wie je zegt dat je bent. Nu nog vindt verificatie vaak plaats via een derde partij die je identiteit voor de specifieke dienst apart verifieert ( on time proof ). Jack pleit voor herbruikbare identiteiten dat het gebruik eenvoudiger maakt en kosten kan besparen. Vervolgens gaf David Alexander inzicht in de geleerde lessen van 10 jaar Mydex. In de praktijk hebben organisaties geen 360 O klantbeeld, omdat ze alleen focussen op de data waardoor ze kunnen verkopen of helpen op een bepaald gebied. Mydex wilde dit anders doen en startte daarom met een persoon-gerichte benadering. Om dit van de grond te krijgen werd niet gefocust op strategie, maar werd gekeken waar er een noodzaak was en praktische inzichten konden worden behaald, zoals kostenbesparing. Dit kan alleen slagen wanneer data automatisch kan stromen, frictie (zoals het herhaaldelijk invullen van dezelfde informatie op formulieren) weg te nemen. The whole story about data is to get it flow. Tenslotte eindigde hij met een wijze les voor de verzekeringsbranche: Help klanten om dingen voor elkaar te krijgen. Verhoog daarmee de waarde aan uw klanten, maak het hun leven gemakkelijker en het zal het vertrouwen en de loyaliteit vergroten. 8
Keynote 2: MedMij naar meer regie over gezondheid - Marcel Heldoorn Marcel Heldoorn nam de deelnemers mee in de ontwikkelingen van MedMij. In het zorglandschap zijn veel ontwikkelingen. Er zijn steeds meer mogelijkheden om zelf data over ons te genereren, zorg is aan het digitaliseren en er is steeds meer vraag naar het uitwisselen van data. Allemaal goede ontwikkelingen voor mensen die meer grip willen hebben op hun gegevens, maar er staan op veel verschillende plekken gezondheidsdata opgeslagen. Daarom is het MedMij in het leven geroepen, als basis voor persoonlijke gezondheidsomgevingen. Een persoonlijke gezondheidsomgeving is een levenslang hulpmiddel om gezondheidsinformatie op e e n plek te verzamelen, beheren, inclusief toevoegen zelfmetingen en delen zodat hij of zij meer regie kan nemen over zijn eigen gezondheid. Het doel is om in 2020 iedereen (die dat wil) te laten beschikken over persoonlijke gezondheidsdata. Beschikbaar en zodat je er ook iets mee kunt. Om dit te realiseren zijn standaarden, een afsprakenstelsel en financiering nodig. De kerntaak van MedMij is het mogelijk maken en stimuleren van de digitale uitwisseling van gezondheidsgegevens tussen burgers en hun zorgverleners en het creëren van vertrouwen dat dit op een veilige, gebruiksvriendelijke, toekomstvaste en betaalbare manier kan. MedMij zal zelf geen PGO leveren, maar realiseert de randvoorwaarden ervan. Via MedMij kunnen gezondheidsgegevens straks probleemloos en veilig uitgewisseld worden. 9
Overzicht presentaties met link naar downloads De essentie van Regie op Persoonlijke gegevens - Gerhard Gerritsen Overzicht initiatieven & trust frameworks RoPG - Wil Janssen Ockto - Paul Janssen Financieel Paspoort - Philip Helmer Mijnverzekeringenopeenrij - Peter Vogelsang Qiy Dappre - Marcel van Galen Coolfield - Ron Boscu Ydenti - Martijn de Boer Keynote 1: Mydex - David Alexander & Jack Mitchell Keynote 2: MedMij naar meer regie over gezondheid - Marcel Heldoorn Downloads: http://www.sivi.org/nieuws/seminar-2017 10
Regie op Persoonlijke Gegevens de consument bepaalt! Meer informatie: Peter Mols, directeur SIVI Peter.Mols@sivi.org Gerhard Gerritsen, coördinator RoPG - Gerhard.Gerritsen@sivi.org Green paper RoPG - www.sivi.org/nieuws/ropg 11