Functionarissen Gegevensbescherming zijn niet altijd tevreden over de DPIA’s die zij krijgen aangeboden. Hoe voorkom je dat dit gebeurt? Maurice Reedijk, socioloog en team manager bij Privacy Management Partners betoogt hoe je niet-juridisch een DPIA kunt uitvoeren, die juristen ook weten te waarderen. Hij legt uit aan host Robin Rotman: ‘Privacy gaat niet over (alleen) regels, maar (vooral) over mensen’.
Functionarissen Gegevensbescherming zijn niet altijd tevreden over de DPIA’s die zij krijgen aangeboden. Hoe voorkom je dat dit gebeurt? Maurice Reedijk, socioloog en team manager bij Privacy Management Partners betoogt hoe je niet-juridisch een DPIA kunt uitvoeren, die juristen ook weten te waarderen. Hij legt uit aan host Robin Rotman: ‘Privacy gaat niet over (alleen) regels, maar (vooral) over mensen’.
Horden op de weg naar een goede DPIA
REEDIJK: Wat zijn de hordes op de weg naar een goede DPIA?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
REEDIJK: Privacy gaat niet over regels, maar over mensen.
ROTMAN: Maurice Reedijk, wat een verademing dat je dit nu zegt.
Teammanager bij Privacy Management Partners.
We hebben het over de DPIA.
Privacy gaat over mensen. Hordes op weg naar een goede DPIA.
Wat zijn nou de hordes op weg als je zo'n assessment moet gaan doen?
REEDIJK: Er zijn meer hordes op de weg.
Vooral dat DPIA's eigenlijk vaak onleesbaar zijn voor niet-juristen.
Dat het vaak niet over mensen gaat, maar over regels.
En dat ook niet de juiste mensen betrokken worden
want privacy is een sociaal construct
en bij sociale constructen heb je mensen nodig.
ROTMAN: Jij bent socioloog, hè?
-Dat klopt.
ROTMAN: Je bent socioloog in een wereld die gedomineerd wordt door juristen.
REEDIJK: Dat klopt helemaal. Ja, ik doe dit nu al ruim vier jaar
en ik merk dat je eigenlijk alleen maar in aanraking komt met juristen.
En juristen zijn hele lieve mensen, dat moet ik even vooropstellen
anders krijg ik ruzie op mijn kantoor
maar die hebben wel een bepaalde blik op de wereld.
Die kijken vooral risicomijdend, vooral op het gebied van regels.
Hè, wat mag wel, wat mag niet?
We moeten ervoor zorgen dat we geen boete krijgen.
ROTMAN: Is dit wat jou betreft dan ook de horde op de weg naar een goede DPIA?
Dat we inderdaad misschien wel compliant zijn, we doen het allemaal goed.
We volgen de regeltjes, zeg ik een beetje met minachting.
Dat vind ik lekker, weet je. Dat je zegt: Nee, een goeie DPIA gaat over mensen.
De horde is misschien de mentaliteit van de mensen
die zo'n ding moeten maken of die daarmee bezig zijn.
Zeg ik dat goed zo? REEDIJK: Daar ben ik het mee eens.
Dus ik denk dat het juist heel belangrijk is
als privacyprofessional om je bewust te zijn van:
Wat is nou precies mijn taak in de toepassing van de AVG?
En nogmaals, privacy is een maatschappelijk vraagstuk.
En het is natuurlijk wel een wet die dat inkadert
maar het vraagt wel veel meer inzicht om dat op een goeie manier te doen.
ROTMAN: En op welke manier ben jij als professional met privacy bezig?
Hoe zien we jou in dit speelveld?
-Op meerdere vlakken.
Ik ben in principe consultant, dus dat betekent dat ik advies geef.
En vandaag hebben we het over DPIA's. Dat betekent dat ik DPIA's uitvoer
dus data protection impact assessments van top tot teen maak en begeleid.
Maar mijn rol is ook als functionaris gegevensbescherming
dat ik toezicht houd op de organisatie.
ROTMAN: Dus de ene keer ben je de toezichthouder, ben je een vraagbaak
dan weer help je mee, dan weer voer je het zelf uit
maar je zit er eigenlijk altijd bovenop. REEDIJK: Ja, ja.
ROTMAN: En zo'n DPIA, eventjes feitelijk voor mijn begrip: Is het altijd verplicht?
REEDIJK: Het is niet altijd verplicht. Ik zeg altijd: Het is wel altijd nuttig.
Dat hoeft ook niet heel uitgebreid te zijn, zo'n DPIA.
ROTMAN: Ook zoiets. Het is dan niet verplicht, maar het kan geen kwaad.
REEDIJK: Nee. Nee, als je er dus niet zo'n juridisch instrument van maakt
als dat het nu vaak wordt gedaan, is het A helemaal niet zo heel ingewikkeld
en B kan het heel prettig zijn om even goed stil te staan bij:
Wat zijn we nou precies aan het doen? Waarom doen we het?
En wat zijn eventuele risico's en hoe kunnen we die oplossen?
ROTMAN: Dus je werkt bij een organisatie. Je bent betrokken bij een thema
en daar komt privacy om de hoek kijken.
Wat is dan... Hoe pak je dat dan aan zo'n DPIA? Wanneer bel ik jou eigenlijk?
Wanneer wil ik advies van 'moet ik hier nou een DPIA doen?' en dan zeg je:
'Misschien is het niet verplicht, maar het is wel nuttig.'
Hoe werkt dat? Hoe gaat zo'n proces?
REEDIJK: Ik werk primair voor de overheid, dus voor overheidsinstellingen.
Decentrale overheid eigenlijk grotendeels, gemeenten.
En ja, wat je nu ziet, is: Je bent misschien proceseigenaar.
Ja, dat is een term die vaak in overheidsland wordt gebruikt.
Jij bent verantwoordelijk voor een proces, voor financiën.
Je bent verantwoordelijk voor de mensen die in worden gezet
maar ook voor de gegevensbescherming.
Want dat is een kwaliteitsaspect van ons huidige werk, zou je kunnen zeggen.
Jij hebt een nieuw initiatief. Je denkt: O, ik wil iets nieuws gaan ontwikkelen.
Ik wil de burger gaan helpen.
ROTMAN: Bijvoorbeeld een CoronaMelder app.
Dat is ook overheid, er is corona, er is een gekke situatie.
We willen zo'n app hebben en wat is dan zeg maar als je het hebt in het kader van
de hordes op de weg naar een goeie DPIA, CoronaMelder app,
wat gebeurt er dan? Wat is dan jouw kritische blik als socioloog
in deze wereld van de privacy die wordt gedomineerd door de juristen?
REEDIJK: Nou ja, wat je zag bij de CoronaMelder app, is dat...
Daar werd natuurlijk een DPIA op gedaan, dus dat besef was er al.
Dat is iets waar we mee moeten beginnen.
Eerst het besef weer: O, er moet een DPI gedaan worden.
Dat neemt gelukkig toe. Dus dat besef was er wel.
Dus daar wordt een DPIA op uitgevoerd. Maar je merkt dat de juristen
eigenlijk samen met de informatiebeveiligers aan de slag gaan.
Dus je ziet aan de ene kant dat er heel veel
naar de grondslag wordt gekeken. Mag dit wel? Et cetera.
Juridisch gezien: Is het een persoonsgeven en noem maar op.
ROTMAN: Ging goed, maar ik hoor 'n grote dikke maar in je stem en dat vind ik mooi.
REEDIJK: Ja. Ja, want als je dan de DPIA, en hij is leesbaar,
je kan 'm op rijksoverheid terugvinden...
Als je 'm dan bekijkt, dan zie je dat de risico's eigenlijk primair
vanuit juridische aard zijn ingestoken, maar ook vanuit informatiebeveiliging.
En wat ik heel erg miste is: Ja, waar staat de mens nou in dit verhaal?
ROTMAN: Het gaat over corona. Het gaat over burgers, het gaat over...
En wat zie je dan in de praktijk hoe dat dan uitpakt?
Je denkt: Er is niet goed over nagedacht.
-Nou ja, wat je gewoon mist
is dat de impact die het heeft op mensen niet altijd goed is meegenomen.
En, nou ja, dat heeft natuurlijk gevolgen.
En als je de impact niet meeneemt in je analyse
kan je er ook geen maatregelen voor treffen.
Dus ja, daar heb ik wel het gevoel van:
Dat is dan echt een gemiste kans en ook een belangrijke horde
die overwonnen moet worden als je wel een goede DPIA wil doen.
Dus richt je nou op wat voor impact het heeft op de mens.
ROTMAN: Oké, dus in deze zin wordt ie dan een beetje defensief ingestoken.
We moeten het goed regelen, moeten 'm dichttikken.
Het moet juridisch allemaal kloppen. En dat hebben ze ook goed gedaan.
Maar je zegt: Ja, jongens, het gaat hier wel over mensen.
Heb je nog een voorbeeld? Want ik wil kijken:
Hoe kunnen we nou in de toekomst in de praktijk... concrete tips...
Hoe ga je dan wel tot een betere DPIA komen?
Heb je nog een casus in petto voor mij?
REEDIJK: Nou, wat voor mij heel tekenend was als socioloog, was...
Een tijdje geleden is de wet gemeentelijke schuldhulpverlening aangepast
en is vroege signalering erin ingefietst.
Ik ben het er als socioloog helemaal mee eens.
Schulden stapelen vaak ongemerkt op. En als overheid ben je vaak te laat
omdat mensen dat A niet door hebben en zich daar niet graag over uitspreken.
ROTMAN: Er zit gêne, er zit best iets pijnlijks... Precies, ja.
REEDIJK: Dus, nou ja, dat heeft de wetgever ook gezien.
Die dacht 'we moeten iets doen' en is met vroege signalering gaan werken.
Dat betekent dat nutsbedrijven
dus woningcorporaties energieleveranciers, waterbedrijven
een melding mogen doen als jij twee of drie maanden
niet je facturen hebt betaald. Dat er dan een melding gaat.
ROTMAN: Da's privacy, hè. Da's een beetje gevoelig, tricky dit natuurlijk. Toch?
REEDIJK: Ja, dat wordt dan inderdaad heel tricky gevonden.
ROTMAN: Daar moet een DPIA aan te pas komen?
REEDIJK: Dan moet er een DPI aan te pas komen, want een proces verandert.
Het is gevoelig. Ik bedoel, daar zijn we het ook over eens.
Schulden zijn gevoelige gegevens, wil je niet zomaar op straat leggen.
Daar moet op een nette manier mee om worden gegaan.
En ik was werkzaam bij een gemeente en daar kreeg ik dan zo'n DPIA
dat zag ik langskomen en daar merkte je dat...
De enige insteek die daarin stond was:
'Oké. Nou, nu is die wet er, dus, ja, de grondslag is er.
Nou, we moeten nog een privacyverklaring en dan zijn we klaar.'
Maar er werd niet gekeken naar: Hoe kunnen we dat proces zo goed mogelijk vormgeven?
En dat miste je heel erg in die DPIA doordat je gewoon eigenlijk merkte
dat omdat het proces niet goed was uitgedacht, er snel bepaalde schade...
ROTMAN: Ja, op welke manier werd de factor mens hier dan vergeten?
Want ik kan me best voorstellen dat er best wel een soort antenne is voor:
We hebben het hier over mensen met schulden, over de vroege signalering,
dus we hebben het over partijen die moeten informatie gaan rondstrooien over mensen.
Ik zeg het een beetje minachtend, maar dat gaat echt over mensen.
Op welke manier was in die DPIA die jij kreeg, die jij naar voren geschoven kreeg:
'Ja, jongens, nee. Leuk geprobeerd.
Inderdaad, juridisch gezien klopt het, deugt ie misschien wel.
Maar op dit punt zijn we vergeten dat 't over mensen gaat.'
Heb je dat op je netvlies nog?
-Ja, nee, dat heb ik op m'n netvlies.
Dus wat je inderdaad merkt aan die DPIA, was...
Aan het einde van een DPIA staan echt de aanbevelingen
en die waren dus allemaal gericht op compliance.
Dus voldoen we aan de maatstaven van de AVG, om het zo maar te zeggen.
Maar er werd niet nagedacht over: Wat betekent het
als we bij iemand langsgaan bijvoorbeeld, of aankloppen en zeggen:
'O, u heeft al een paar maanden uw facturen niet betaald.
Gaat het wel goed met u?'
Als zo iemand ineens voor je, zonder dat je dat doorhad, voor de deur staat?
Ja, dat doet wat met de mens. En misschien zijn je kinderen thuis.
ROTMAN: Intimiderend. Je moet het uitleggen aan buren,
aan je partner die het misschien niet wist.
Je hebt het misschien verborgen gehouden.
Ah, en dat dat zou eigenlijk... in de DPIA moet dit hele totaalpakketje
al beschreven zijn, geformuleerd zijn.
REEDIJK: Precies, dus ja, wat je dan merkt is, als je...
Dus dat is even vanuit de visie van:
Nou, ik ga als jurist in isolement eigenlijk zo'n DPIA doen.
Of wat wij dan vaak doen, is: Wij gaan met stakeholders zitten.
We trekken het wat breder en we denken na over: Wat zouden we zelf fijn vinden?
Als dit mij zou overkomen, wat zou je prettig vinden?
En we begrijpen allemaal... Dat zien we ook terug in de literatuur:
dat als je schulden hebt, dat je je kop in het zand steekt.
Dat er iemand een keer langskomt, is helemaal niet verkeerd.
Dat is best wel goed eigenlijk. Maar het zou misschien wel fijn zijn
dat je daar eerst over geïnformeerd wordt.
Dat je de mogelijkheid wordt geboden om misschien die afspraak af te melden
of dat je zegt: Ik kom wel naar het gemeentehuis.
Iets in die trant en dat komt naar boven
als je met mensen die ermee te maken hebben, die er ervaring mee hebben...
Ja dan...
-Daar wil ik nu even... Praktische tips.
Hoe kan je voorkomen dat je niet als een juridische fijnslijper naar een DPIA kijkt
maar dat je ook naar de mensen gaat kijken?
Want ik kan me heel goed voorstellen.... Ik voel 'm namelijk helemaal.
Het gaat hier over mensen, ik vind het vanzelfsprekend.
Maar als ik tegelijkertijd ga denken aan de juristen
vind ik het ergens ook wel weer logisch dat zij denken:
Nee, we tikken 'm dicht. Er zijn regels. Voldoen we eraan of niet?
Dus ik snap 'm wel, maar dan wil ik van jou toch een paar concrete tips.
Oké, het gaat dus over mensen. Wat is... Dat is misschien ook de eerste tip.
Wees je daarvan bewust? Is het zo makkelijk?
REEDIJK: Eigenlijk wel.
En ik wil inderdaad nog even voordat ik...
M'n hele betoog lijkt het alsof ik juristen afbrand.
Dat heeft natuurlijk een bepaalde waarde.
Maar inderdaad, de eerste tip is: Het gaat over mensen, dus betrek mensen erbij.
Dat is eigenlijk m'n belangrijkste punt. Een DPIA is een...
Ik zie het ook meer als een proces, dus dat het tot een document leidt, oké.
Het proces is het belangrijkst en daar moet je mensen bij betrekken.
ROTMAN: Tip één is: Wees je ervan bewust.
En tip twee is: Betrek die mensen er ook bij, de mensen over wie het gaat.
REEDIJK: Ja. Ja, maar om dan tip één aan te scherpen: wees je ervan bewust...
Dan wil ik echt... Privacyprofessionals Nederland:
Kijk naar de AVG, overweging 75, overweging 76.
Wees je bewust dat je je op dat soort vormen van impact moet richten.
Dus het gaat niet om: Heb je een grondslag?
Nee, het gaat erom: Kan deze verwerking leiden tot discriminatie?
Kan deze verwerking leiden tot sociale schade?
Kan het leiden tot financiële verliezen?
Kan het leiden tot economisch of maatschappelijk nadeel?
ROTMAN: Die bewustwording gaat dieper dan alleen
'wees je ervan bewust', dat gaat over zulke vragen.
REEDIJK: Ja, dus je moet je eigenlijk op dat soort vormen van impact gaan nadenken:
Dit nieuwe voorstel van ons, kan dat mogelijk leiden tot dit soort gevolgen?
ROTMAN: Maar dan de volgende tip: Haal die mensen er gewoon bij.
REEDIJK: Precies. En ja, hoe meer mensen...
Dat is dan misschien ook de tip, hè. De AVG zegt in overweging 76:
'Het moet een objectieve beoordeling zijn, naar de aard en de context.'
Nou ja, objectiviteit bestaat in mijn optiek niet, dus iedereen is subjectief.
We zijn vooringenomen met meningen en zijn op een bepaalde manier opgevoed.
Maar als je mensen erbij neemt...
Je hebt een grotere doelgroep en misschien een beleidsmedewerker
misschien iemand waar het over gaat. Dus iemand in de schulden.
Een jurist ook erbij, maar misschien een socioloog.
ROTMAN: Als het over mensen gaat, kun je ze net zo goed betrekken.
REEDIJK: Ja, en dan maak je er een soort van sessie van: Nou, wat denken jullie?
Wat kan je verwachten in de gekste scenario's?
En ja, maak het zo praktisch mogelijk en dan krijg je eigenlijk vanzelf:
Dit zijn eventuele risico's. Dan gaan we nadenken:
Wat voor maatregelen kunnen we daar nou tegenover zetten
om die risico's die we net hebben geconstateerd, te mitigeren?
Je zal altijd restrisico houden, maar je kan in ieder geval de kans verkleinen.
ROTMAN: Haal ze erbij. Maak er een leuke brainstorm van.
Dat is tip twee. De eerste is: Wees je ervan bewust,
het gaat over mensen met vragen die je erbij moet stellen.
Volgende tip is: Haal de stakeholders, haal de betrokkenen,
de mensen over wie het daadwerkelijk gaat erbij.
Laat ze meedenken, misschien geen juridische background, maakt niet uit.
Wat doet dit met je? Wat gaat 't met je doen? Waar maak je je zorgen over?
Luister naar ze. Oké, heb je nog een tip?
REEDIJK: Ik denk, de laatste tip is, daar begon je eigenlijk mee:
Wie moet nou die DPIA doen?
Ja, en ik denk dat het altijd slim is om je de vraag stellen:
Voor wie schrijf je nou een DPIA?
Nou, vaak is dat dus in eerste instantie voor de proceseigenaar.
Die moet daar iets mee gaan doen, maar is vaak niet juridisch onderlegd.
Dus maak het leesbaar, zorg ervoor dat een DPIA helder, overzichtelijk is.
Wat zijn nou m'n risico's? Wat zijn de maatregelen die ik moet nemen?
Waar hebben we over nagedacht en misschien ook niet over nagedacht?
Ik pleit er ook voor, dat is een oproep eigenlijk aan overheidsinstellingen,
misschien in een iets samengevatte vorm,
om DPIA's ook misschien openbaar te maken, zodat ook inwoners zelf kunnen lezen:
Oké, nou, dit is hun plan. Zo willen zij mijn gegevens verwerken.
Hier hebben ze over nagedacht. Dit is het doorlopen proces.
ROTMAN: Transparant. 'We hebben maatregelen.
We hebben ook over je privacy nagedacht.
We hebben over de gevolgen nagedacht. Lees maar terug. Kijk maar gewoon.'
Daar ga je veel vertrouwen mee wekken.
REEDIJK: Heel veel vertrouwen en ik denk dat ook daar een DPIA voor bedoeld is
dus ook juist om dat te kunnen aantonen.
Want in die zin, we zeggen altijd: Privacy begint met PR.
Dus ook een DPIA is daar onderdeel van.
-Privacy begint met PR, oké.
Dus je moet 'm goed verkopen ook eigenlijk.
REEDIJK: Ja.
-Breng naar de mensen.
Jij zei net van: Ik ga die juristen natuurlijk helemaal niet afvallen.
Die mensen doen gewoon goed werk en zo. Maar toch...
Komen die sociologen zoals jij veel voor in deze business?
Ik vind het wel wat om eerlijk te zijn.
REEDIJK: Ik ben er nog geen enkele tegengekomen
behalve dan mijn collega die bij mij op kantoor werkt.
Wij hebben dezelfde studie gedaan op dezelfde universiteit, dus vandaar.
Voor de rest ben ik nooit een socioloog tegengekomen in de privacywereld.
ROTMAN: Een jurist en een socioloog, de menselijke maat
maar ook wel de juridische fijnslijperij samen als een soort duo.
Lijkt mij wel een mooie combinatie.
-Nou, daar pleit ik altijd voor.
En je kan nog nadenken over communicatiewetenschappen, filosofie.
Dus betrek sociale wetenschappen bij privacy.
Want ja, als je het alleen aan de juristen overlaat, wordt het een juridisch feestje.
En dan wordt het dus compliance in plaats van dat het over mensen gaat.
Maurice Reedijk. Teammanager bij Privacy Management Partners.
Dank voor je mooie verhaal.
Ik ben onder de indruk. Dat meen ik serieus.
Luister andere afleveringen van Privacy in de Praktijk.
Want je hoort het, het is leuk.
Ga hiervoor naar cip-overheid.nl/uitgelicht.
Dank je wel, Maurice.
-Geen dank.