‹ All episodes

CIP Podcast - voor meer kennis over informatieveiligheid

Privacy in de Praktijk - Aflevering 3: DPIA niet OK. Wat nu, FG?

October 26, 2021 Walter van Wijk
CIP Podcast - voor meer kennis over informatieveiligheid
Privacy in de Praktijk - Aflevering 3: DPIA niet OK. Wat nu, FG?
Info
CIP Podcast - voor meer kennis over informatieveiligheid
Privacy in de Praktijk - Aflevering 3: DPIA niet OK. Wat nu, FG?
Oct 26, 2021
Walter van Wijk

Privacy in de Praktijk - aflevering 3: Wat moet ik als FG met niet correct DPIA’s?

De derde aflevering in deze podcastserie Privacy in de Praktijk gaat over onacceptabele DPIA’s. Wat kun je daar als FG nu mee doen? Daarover gaan FG Sergej Katus (Privacy Management Partners) en FG Marie-José Bonthuis (Privacy1) met elkaar in gesprek, onder leiding van host Robin Rotman.
Je kunt de bijbehorende teaser bekijken op https://youtu.be/Vmfy6_4dX_g 

Je kunt ook de andere podcasts in deze serie (in totaal acht afleveringen) beluisteren op dit kanaal. Iedere week komt er eentje bij.


Share
Apple Podcasts Spotify Amazon Music Overcast Castro Castbox +
Show Notes Transcript

Privacy in de Praktijk - aflevering 3: Wat moet ik als FG met niet correct DPIA’s?

De derde aflevering in deze podcastserie Privacy in de Praktijk gaat over onacceptabele DPIA’s. Wat kun je daar als FG nu mee doen? Daarover gaan FG Sergej Katus (Privacy Management Partners) en FG Marie-José Bonthuis (Privacy1) met elkaar in gesprek, onder leiding van host Robin Rotman.
Je kunt de bijbehorende teaser bekijken op https://youtu.be/Vmfy6_4dX_g 

Je kunt ook de andere podcasts in deze serie (in totaal acht afleveringen) beluisteren op dit kanaal. Iedere week komt er eentje bij.


Wat moet ik als FG met niet correcte DPIA’s?

 

MUZIEK

SERGEJ: Ik zie een DPIA. Keur ik 'm goed, keur ik 'm af?

En hoe kan ik de organisatie daar verder mee helpen?

ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.

In deze podcast van Centrum Informatie- beveiliging en Privacybescherming

bespreek ik met Functionarissen Gegevensbescherming

en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.

Vandaag te gast: Sergej Katus, FG bij verschillende gemeentes.

Hij schreef een boekje, of een boek moet ik zeggen

'Hoe ben je FG?' en hij is partner bij Privacy Management Partners.

Even neerzetten, wat doen jullie daar?

-Wij helpen organisaties zoals gemeenten

daarom ben ik gemeente-FG, om goed om te gaan met de AVG.

ROBIN: En, aan de andere kant, Marie-José Bonthuis

privacy- en IT-jurist bij Privacy1

en je bent ook FG bij verschillende organisaties.

Jij kan ook alles eigenlijk, hè?

-Nou, er zijn anderen om dat te bepalen.

MARIE-JOSÉ LACHT Ik vind het leuk dat je het zegt.

ROBIN: Sergej, die DPIA, je komt 'm constant tegen.

Data protection impact assessment. Wat is dat nou eigenlijk voor een ding?

SERGEJ: Ik probeer dat altijd uit te leggen als de Milieueffectentoets

op de digitale leefomgeving, en dat is een hele mond vol

maar eigenlijk stel je daarin de vraag:

wat doet het nou als je hier met deze gegevens aan de slag gaat?

En waarom, en dat is heel letterlijk

wat is het effect van het nemen van beschermende maatregelen?

Kun je daarmee op een maatschappelijk verantwoorde manier

dan met die data wel omgaan?

Dus eigenlijk vergelijk ik het met een filter op de schoorsteen van een fabriek.

Zonder die filter vervuilt de fabriek

en met die filter heb je dus een soort klimaatneutrale

ik noem het dan maar privacyneutrale aanpak.

En in principe mag het dan van de AVG.

ROBIN: En wanneer moet je nou zo'n DPIA uitvoeren?

Ik kan me voorstellen dat je niet elke keer zo'n assessment moet doen, of wel?

SERGEJ: Dat is een beetje een dingetje, want eh...

In mijn optiek bestaat er een misverstand tussen wat er staat in de AVG

wanneer dat verplicht is, maar als je de AVG een beetje snapt

dan merk je ook: eigenlijk is de centrale vraag in de AVG 'wat is passend?'

En je kunt niet aan de AVG voldoen als je niet eerst nadenkt

over 'oké, en wat doet het met de digitale leefomgeving?'

Dus eigenlijk moet je heel vaak een DPIA doen

maar ook weer niet te vaak en dat is ook een dilemma.

Doe je niet te veel? Gemeenten hebben 1600 processen.

Moet je 1600 DPIA's doen? Dan ben je nog wel even bezig.

ROBIN: Volgens mij, als ik m'n gut feeling zou moeten volgen

als je het gevoel hebt 'dit wordt een ingewikkeld verhaal, hier zijn risico's'

dan wil je even die assessment doen.

-SERGEJ: Ja.

SERGEJ: En de assessment kan op de achterkant van een bierviltje

maar dat kan ook in een rapport van 40.000 euro en 40 pagina's.

ROBIN: Wat is de rol van de FG bij de totstandkoming van zo'n DPIA?

Of krijgt hij of zij hem uiteindelijk op zijn of haar bureau?

SERGEJ: Meteen goed om te vermelden dat de FG nooit zelf de DPIA mag doen.

ROBIN: Precies.

-SERGEJ: Hij moet erover adviseren.

SERGEJ: Dus er staat ook in de AVG:

stap naar de FG als je denkt dat het nodig is.

Je gaat aan de slag met een DPIA en dan kan de FG je op weg helpen.

En tegelijkertijd, als die klaar is

dan zou je eigenlijk weer naar de FG toe kunnen stappen om te vragen:

En wat vind je ervan? Is hij nou goed?

ROBIN: Marie-José, toch nog even door hier, om even neer zetten

waar hebben we het over, wat is nou de juridische status van zo'n stuk?

MARIE-JOSÉ: Nou, best wel een belangrijke.

In sommige gevallen is het verplicht om er een uit te voeren

dus daar worden we ook al geholpen door de Autoriteit Persoonsgegevens.

Die heeft een lijst opgesteld van 17 voorbeelden

waar je precies kan lezen op welke soort verwerkingen dit verplicht is.

ROBIN: Kun je wat voorbeelden noemen?

-MARIE-JOSÉ: Ja, zeker.

MARIE-JOSÉ: Het gaat bijna altijd om grootschalige verwerkingen

met een gevoelige component, dus profiling, geautomatiseerde besluitvorming

cameratoezicht, bijzondere persoonsgegevens, biometrie

nieuwe technologieën, dus waar je eigenlijk al van verre aan ziet komen:

wow, nu gaan er wel echt risico's voor de impact van die betrokkenen ontstaan.

ROBIN: En de juridische status, wat voor rechten kun je aan zo'n ding ontlenen?

Of wat betekent dat ding juridisch dan verder nog?

MARIE-JOSÉ: Naast dat het verplicht is

en je dus gewoon een boete kan krijgen als je 'm niet uitvoert, dat is één

denk ik ook dat je vooral de kansen moet benutten.

Dus in plaats van dat je er een moetje van maakt

want 'juridische status, het is verplicht, we moeten dat doen'

maak er ook in die zin zodanig gebruik van dat je de voordelen eruit haalt.

Want het is een ontwerptool, wat Sergej ook al aangaf.

Dus, ja, zonder goede bouwtekening eigenlijk geen goed product.

Dus dat is vaak ook wel wat wordt onderschat.

Het wordt als een verplichte invuloefening gezien.

ROBIN: Ja, want daar gaat het hier over, hè?

Zonder goede bouwtekening... Oké, Sergej.

Jouw organisatie of één van de organisaties waar je FG bij bent

wil iets doen met gegevensverwerking en die voldoen dus aan een van die 17...

En jij krijgt zo'n DPIA voor je neus en je zit dat ding te bekijken en denkt:

jeetje, wat een flutstuk.

Wat is dan het dilemma... ROBIN LACHT

Ik zou gewoon zeggen: Terug naar de tekentafel met dat ding.

SERGEJ: Ja, maar 't heeft ook te maken met de tijd en de energie die erin zit.

Ik bedoel, laat het even waar zijn, ik zei: Het kan een rapport zijn van 40.000 euro.

Nou, er zijn mensen voor 40.000 euro aan de slag gegaan

en die komen dus met iets waarvan ik eigenlijk moet zeggen: Zonde van je geld.

En mijn dilemma is ook: hoe reageer ik daar dan op?

ROBIN: Ja, want ze willen ook iets doen, de organisatie heeft ook een plan

ze willen iets met die gegevens gaan doen, dus er is een belang.

Er zijn misschien strategieën ontwikkeld en dan ligt er een DPIA

en dan zeg je niet zomaar als FG: Terug naar de tekentafel.

Want je wil ook de organisatie helpen om dat plan te verwezenlijken. Zoiets.

SERGEJ: Marie-José zei het heel goed, het is geen invuloefening.

Heel veel mensen denken dat het een rapport is dat je moet hebben.

Nee, het is een denkproces.

Het is een gesprek dat je met elkaar voert over...

Ik kom altijd met hele flauwe voorbeelden, maar het helpt...

ROBIN: Hoe flauwer, hoe beter.

-SERGEJ: Oké.

SERGEJ: Eigenlijk zeg ik: Een DPIA is in feite een plan dat je bedenkt

om veilig aan het maatschappelijk verkeer te kunnen deelnemen.

Dus je gaat als het ware met een auto de weg op

maar ja, wat zou er fout kunnen gaan als je de weg op gaat?

Wat dacht je, bij winterweer, dat je gaat slippen?

Dat je iemand van het trottoir afrijdt, dat heeft dus persoonlijke impact.

ROBIN: Oké, Marie-José, wat kan er allemaal fout gaan aan zo'n stuk?

MARIE-JOSÉ: O, een heleboel. Je kan het als een invuloefening zien

je kan het op het verkeerde proces uitvoeren, dat zie je heel vaak

dat eigenlijk een organisatie-DPIA wordt uitgevoerd.

Dan probeer je eigenlijk veel te veel in één keer te regelen.

Of op een veel te klein ding, je pakt bijvoorbeeld een losse applicatie

of een proces, terwijl je het echt op een hoge-risicoverwerking moet doen.

Ik had vanmiddag ook een gesprek, daar begint het eigenlijk al, hè:

waar voer je 'm op uit, waar hebben we het eigenlijk over?

En dan, wat je ook heel veel ziet

is dat er een hele standaard set aan risico's in worden gezet

en ook een hele standaard set aan maatregelen.

Zo van: nou, dit deden we al, zal hier ook wel goed gaan.

ROBIN: Dan hebben we 'm maar gecoverd of zo.

MARIE-JOSÉ: En dan maak je eigenlijk onvoldoende gebruik van de kansen

om het echt als een denkproces in te zetten.

Dat vind ik wel het grootste risico hiervan.

ROBIN: Nu kan ik me voorstellen, jij bent dus IT- en privacyjurist

je bent FG bij verschillende organisaties

die Sergej Katus is natuurlijk ook een kanon in deze wereld.

Ik kan me voorstellen als jullie dat soort documenten voor je neus krijgen

dat je eerder denkt: dit is niet zo handig, dit is niet zo goed.

Merk je dat je als FG, dat je kennis je eigenlijk een beetje in de weg zit?

Dat andere mensen het zouden accorderen

en jullie zeggen: Dit is gewoon niet goed genoeg, jongens.

MARIE-JOSÉ: Nou ja, die kennis kan je ook juist weer inzetten, hè?

Ik denk dat, als je gewoon op gezette tijden als FG aangehaakt wordt

bij het begin en ergens in het midden en dan aan het einde nog een keer, dan...

ROBIN: Versterk je elkaar.

-MARIE-JOSÉ: Versterk je elkaar.

ROBIN: Wat is jouw ervaring?

-SERGEJ: Ik zeg ook altijd:

aan het begin, in het midden en aan het einde.

Dan hoop je dat ze goed uit de startblokken komen

dan hoop je dat ze halverwege niet zo zijn gedwaald

dat je moet keren uiteindelijk

en aan het eind van de rit zou er een goed product moeten liggen.

En dan kom ik het nog tegen dat het toch weer niet helemaal gelukt is.

ROBIN: Dus dit is al een deel van de oplossing voor dit dilemma.

Wat moet ik als FG als ik zo'n DPIA voor m'n neus heb die niet goed genoeg is.

Eerst even nog concreet, Sergej, kun jij een voorbeeld geven uit je werk

je hebt er misschien wel duizenden inmiddels

waaruit echt bleek: nu zit ik dus hiermee, dit is het dilemma.

SERGEJ: Een van de oorzaken is heel vaak dat een model wordt gehanteerd

van zeer gezaghebbende clubs

alleen wat nou jammer is, is het denkproces wordt niet geprikkeld.

ROBIN: Je bedoelt een model als een soort invuloefening?

SERGEJ: Ja, en ik weet niet of ik nou iets heel schrikbarends zeg

maar een van m'n stellingen is dat een grondslagentoets

niet thuishoort in een DPIA. Dan zeg je: Wat is dat nou weer?

Maar nogmaals, het is een Milieueffectentoets

op de digitale leefomgeving, dus ik ga toch weer de toeslagenaffaire erbij halen.

Had je nou maar in die glazen bol van een DPIA aan de voorkant gekeken

'wat ga je nou doen met die data?'

Dan was je erachter gekomen dat je ouders enorm

als je zomaar begint terug te vorderen in de penarie helpt.

Kijk, dat is waar een DPIA, als het goed is, zicht op geeft.

Dus dan kijk je in de AVG: wat kunnen we eraan doen?

Moeten we misschien werken met informatiekwaliteit?

Moet er menselijke tussenkomst komen?

Dat zijn allemaal maatregelen die in de AVG worden aangereikt.

ROBIN: Ben je het hiermee eens, Marie-José?

MARIE-JOSÉ: Nou, ja, ik kom dat nog weleens tegen

dat ook de grondslag nog wel bediscussieerd moet worden.

Dus dat kan, helemaal als je je doel gaat veranderen.

Dat is namelijk ook een situatie waarin je een DPIA moet doen.

Ik heb een bepaalde verwerking met een bepaald doel

en ineens denk ik: hé, maar dit is ook wel interessant

om voor wat anders te gebruiken. De spreekwoordelijke function creep.

Is een risico voor de betrokkenen en dan moet je wel ook gaan kijken

of dat doel, of daar ook een grondslag voor bestaat.

Ja, en zo niet, dan houdt het op.

-SERGEJ: Ja, ik snap wat je zegt

en dan zie je eigenlijk...

Even nog voor de goede orde, een DPIA is een denkproces.

Ja, oké, maar het is een denkproces in vier stappen.

ROBIN: Ik vind het wel lekker dat jij jezelf steeds interviewt.

LACHEND: Nee, sorry, is flauw.

-SERGEJ: Wat ik bedoel te zeggen:

wat moet je nou doen in een DPIA? De eerste stap in een denkproces is:

Beschrijf nou wat je doet. En dat is het proces en de ICT die erbij hoort.

De tweede stap is: ja maar, wat is nou de informatie

wat moet je weten om dat proces goed te kunnen doen?

Wat is de noodzaak en evenredigheid?

Dus daar kom je erachter dat je naam en adres en BSN nodig hebt

en al dat soort dingen.

-MARIE-JOSÉ: Ook de rechtmatigheid.

MARIE-JOSÉ: Daar toets je ook op.

-SERGEJ: Ja, maar als we...

echt de AVG induiken dan is dat nog...

Want dat zit volgens mij in de derde paragraaf, dat is:

als we daar fouten in maken, kan de rechtmatigheid een probleem zijn.

Dan komen we erachter van... Derde stap is echt praktijkverhalen.

Zo van: dan ga je terugvorderen bij die mensen

en dat is onterecht en dan breng je ze in de penarie.

Dus de derde stap is: mens centraal

en dan moet je met realistische praktijkscenario's...

Niet denken van: ja, maar als de Russen hier binnenvallen

en we worden gehackt... Want hoe waarschijnlijk is dat?

Dat staat ook echt in de AVG, dus wees realistisch

en dan de vierde stap is: oké, en wat gaan we daaraan doen?

Denk aan die auto, wat dacht je van winterbanden, van strooizout

van een slipcursus, dat zijn de beheersmaatregelen.

Die zijn heel praktisch, heel concreet.

En dat zijn de kwaliteitseisen waarmee je tot een verantwoorde aanpak kan komen.

ROBIN: Ik wil even terug naar het dilemma. Marie-José, kun jij een voorbeeld geven

dat je echt dacht: ja, dit is eigenlijk niet zo goed

maar wat ga ik nou doen?

Ga ik 'm terugsturen naar de tekentafel of kunnen we hier nog wat mee?

Ja, dit is er weer zo eentje.

MARIE-JOSÉ: Ja, en een DPIA is ook nooit af, hè.

Dus wat dat betreft is het een iteratief proces.

En ook al is hij dan klaar

je moet ook de doeltreffendheid van wat je hebt bedacht gaan toetsen.

Dus hij moet ook weer een keer terugkomen.

Er zijn altijd nog kansen om verbeteringen toe te voegen.

Maar wat ik zelf ook wel vrij stevig merk

is dat die maatregelen vaak uit de beveiliging worden gehaald.

Vandaar dat ik wel even getriggerd werd op die rechtmatigheid.

En ik vind privacymaatregelen toch wel wat anders dan beveiligingsmaatregelen.

Dat is een heel ander systeem.

Niet dat je dat niet kunt gebruiken, maar het zijn wel twee verschillende dingen.

Bij een DPIA toets je op de impact op de betrokkenen

en bij een risico-inventarisatie kijk je vooral naar de veiligheidsaspecten.

ROBIN: Dat zijn twee verschillende documenten.

MARIE-JOSÉ: Ja, en ik denk dat ze elkaar goed kunnen versterken

maar je moet niet denken dat je met een DPIA een risico-inventarisatie doet.

Dat gebeurt ook nog wel heel veel.

ROBIN: Ja?

-SERGEJ: Ja, heel herkenbaar.

SERGEJ: Ik zeg winterbanden, strooizout en slipcursus, maar de winterbanden

dat is misschien iets waar de CISO van de organisatie veel verstand van heeft

maar de slipcursus, dat is iets wat cultureel is

en gaat over training en bewustwording en dat soort zaken.

Trouwens, ik vind het ook wel goed om te benadrukken

we denken altijd in risico, maar impact is een heel neutraal woord.

Je kunt ook positieve impact hebben.

-ROBIN: Dat mag ook gerust erin staan?

SERGEJ: Ja, dan zeg je eigenlijk: Wat zijn de goede dingen die 't oplevert?

Dat je mensen geld wat ze terug zouden kunnen krijgen of zo, dat ze dat krijgen.

Maar wat kan er mis gaan? Bijvoorbeeld dat ze het geld niet krijgen

waar ze recht op hebben, of dat je gaat terugvorderen

dat je ze dus eigenlijk verkeerd gaat behandelen.

Eigenlijk zit je heel snel meer in de kafkaëske toestanden

die je wil voorkomen dan dat het een privacy iets is.

ROBIN: Oké, de oplossingen. Ik hoor jullie eigenlijk al zeggen allebei

jullie waren dat met elkaar eens: je moet aan de voorkant erbij zijn

je moet halverwege even je snufferd laten zien en aan het einde.

Dus je moet eigenlijk meer betrokkenheid hebben

bij de totstandkoming van het document eigenlijk, hè?

Oké, dan houd je een beetje overzicht.

Maar dan zijn er volgens mij twee scenario's die kunnen plaatsvinden.

Of je krijgt uiteindelijk zo'n stuk op je bureau

en je denkt: terug naar de tekentafel.

Nou, op een of andere manier moet je dat doen

en dat moet misschien op een diplomatieke manier

zodat je iedereen meekrijgt.

Of je denkt: oké, hier valt nog wel wat van te maken.

Dat je zegt: Oké, ik ga je een beetje supporten.

Is dat eerste scenario, dat dat ding terug naar de tekentafel...

Wanneer doe je dat?

Dat is misschien een beetje abstract, maar wanneer is het echt te slecht

om door te gaan, dat je zegt 'nu moet hij terug', en hoe doe je dat dan?

SERGEJ: Nou, eerlijk gezegd heeft dat ook te maken met de organisatie zelf

en hun volwassenheid erin.

Dus ik ben eigenlijk al heel blij dat ze een DPIA doen

ook al vind ik 'm misschien heel slecht.

Maar dat ga ik niet te hard roepen, dan ga ik zeggen...

Iteratief zei jij al, hè? Dan zeg ik: Nou, voor nu heel goed

maar volgend jaar, dan zou ik zeggen doe dan opnieuw

en dan heb ik de volgende tips voor je.

-ROBIN: Aah, oké.

SERGEJ: Als dat nou een vrij snel gemaakte DPIA is

waarbij een formuliertje is ingevuld dat van internet is geplukt

die kan vrij makkelijk terug naar de tekentafel.

ROBIN: Dus je bent pragmatisch, hoeveel energie zit erin, hoeveel geld

wat zijn de belangen, hoe groot is eigenlijk het project?

En de ene keer denk je: nou, hier kan ik wel mee door.

Nu hebben ze zich er makkelijk van af gemaakt met zo'n invuloefeningetje.

SERGEJ: En, kijk, dat zijn ook weldenkende mensen

die daar tijd en energie in steken, dus als ik hen ga vertellen dat ze het fout doen

dan beschadig ik ze op een of andere manier, dan hebben ze een slechte naam.

Dus hoe kun je op een of andere manier die mensen helpen, coachen

en samen met de organisatie zeggen: We moeten wel naar een hoger niveau.

ROBIN: Wat is jouw houding, Marie-José?

-Nou, ik ben wel een stukje strenger.

ROBIN: Jij stuurt ze gewoon terug naar de tekentafel.

MARIE-JOSÉ: Dat niet alleen, ik kijk ook vooral:

kan ik inschatten wat het risico is als deze verwerking doorgaat

zonder dat we aan de knoppen hebben gedraaid?

Want het is een ontwerptool.

Dus hoe groot is de kans dat er door deze slechte DPIA

straks een verwerking start waar eigenlijk het hoge risico hoog is gebleven?

Of je kunt hem gewoon niet goed toetsen.

Ja, en dan zal er toch... Ik heb het in m'n praktijk echt weleens meegemaakt

en dan gaat er toch een voet op de rem totdat...

ROBIN: Een voet op de rem of gewoon opnieuw beginnen?

MARIE-JOSÉ: Dat is vaak hetzelfde.

Want het grootste probleem is misschien niet goed uitvoeren

maar het grootste probleem is misschien dat we te laat worden betrokken

en dat ze zeggen 'controleer 'm nog maar even' op vrijdagmiddag

en morgenochtend gaat hij live.

Ja, dan heb je natuurlijk ook gewoon helemaal geen kans meer.

ROBIN: Oké, maar je zit dus als FG met zo'n situatie.

Je hebt een zekere mate van loyaliteit naar de opdrachtgever

en je bent ook de waakhond in zekere zin.

-MARIE-JOSÉ: Zeker.

ROBIN: Wat is dan je advies aan FG's die hiermee te maken krijgen?

Want jij bent natuurlijk een tijger, weet je wel, en jij durft het

maar ik kan me voorstellen dat niet iedereen dat zomaar durft.

Hoe pak je zoiets nou aan?

MARIE-JOSÉ: Ja, toch wel zo snel mogelijk aan de stakeholders uitleggen

waar het aan schort en dan natuurlijk absoluut in de meewerkmodus.

Ik denk dat het heel schadelijk gaat werken als je zegt van: Stop en doe het opnieuw.

Dan ga je toch wel even in de meewerkmodus

en heel erg proberen te kijken of je boven tafel krijgt

wat er boven tafel moet komen om toch...

Misschien is hij gewoon niet goed ingevuld en valt het eigenlijk wel mee.

Maar wat we moeten voorkomen is dat we met een situatie te maken krijgen

die je bijna niet meer teruggedraaid krijgt.

En daar is het hele middel ook voor bedoeld, je wil privacyproof

je wil geen roet in de ether, dus dan moeten we dat ook niet gaan doen.

Ik heb het helaas een keer meegemaakt, te laat betrokken

we zaten voor livegang en 'kijk ook nog maar even mee'

en ik dacht: o my god, dit gaat niet goedkomen zo.

Dan moet je toch stoppen.

ROBIN: Sergej, tot slot, jij nog wat concrete handvatten

voor mensen die hiermee worstelen?

Je zei net eigenlijk 'benader ze als een klein kind.'

Nu, voor deze keer mag het nog, maar de volgende keer moet het anders.

Ik zeg het een beetje badinerend nu.

-SERGEJ: Het hangt ervan af.

SERGEJ: Ik denk dat het ook goed is, hebben we het over een DPIA

op een bestaand proces? Je kunt niet even de salarisuitbetaling stopzetten.

Als dat de impact zou zijn van jouw interventie.

Of zijn we bezig met iets nieuws bedenken met enorme risico's?

Nou, dan zou ik ook meteen aan de rem trekken.

Dus de tip is vooral: vaar niet al te blind op modellen die je van internet downloadt.

Hoe gezaghebbend het ook is. Begrijp nou de functie ervan.

En de functie ervan is nadenken over 'wat zijn we nou aan het doen?'

En wat is daarvan de maatschappelijke impact

als we dat zonder maatregelen doen?

En dat is een gewetensvraag die je stelt met elkaar.

Als je dat proces in die vier stappen met heel veel gezond verstand doorloopt

en, nog een heel belangrijke tip, ook vooral in gesprek met je doelgroepen

dus ga met je mensen in gesprek.

ROBIN: Dan nog één vraag voor jou, Marie-José:

maakt het nog wat uit of je nou als FG bij een commerciëlere organisatie zit

of dat je bij een overheidsorganisatie zit?

Zie jij nog verschillen in houding?

Of dat het misschien net wat makkelijker is als je voor de overheid werkt

om maar opnieuw te beginnen? Ik kan me voorstellen dat dat makkelijker is.

MARIE-JOSÉ: Wat ik wel zie is dat bij de overheid het vaak om angst

om in de publieke opinie terecht te komen, we doen iets...

Dat is echt een veelvoorkomend geval en dan wordt er naar de DPIA gekeken

en dan is die niet uitgevoerd en dan heb je een publiek probleem.

En bij commerciëlen moet je echt soms gewoon wel stevig in je schoenen staan.

ROBIN: Je voelt dan echt de druk, het gaat hier om knaken...

MARIE-JOSÉ: Innovatie, we willen door en niet te veel last hebben van die privacy

terwijl, ja, het eigenlijk een supermooi middel is om ook de kansen te benutten.

Dat wil ik toch wel even gezegd hebben.

Maar dan moet je wel op tijd aan de bel trekken

en dan wordt het echt een heel tof proces

en heb je aan het einde niet dat probleem dat er aan remmen wordt getrokken

want dat hoeft echt niet.

Als je dat gewoon goed inricht, dan kom je daar echt wel uit.

ROBIN: Het kan gewoon een tof proces zijn.

ROBIN ZUCHT: Gelukkig.

Dank jullie wel, Sergej Katus en Marie-José Bonthuis.

Luister ook de andere aflevering van Privacy in de praktijk terug.

Ga hiervoor naar cip-overheid.nl/uitgelicht.