Opinie
Het gebruik van het woord risico bij gegevensbescherming
Binnen de gegevensbescherming wordt regelmatig gesproken over privacyrisico's. Dat vind ik eigenlijk best vreemd. In het woord risico schuilt namelijk een zekere onzekerheid. Die onzekerheid kennen we vanuit de informatiebeveiliging: risico = kans × impact. Het gaat daarbij om het maken van een inschatting van een mogelijk incident in de toekomst. Echter, wanneer spreken we binnen gegevensbeschermingeigenlijk van kans? Gegevensbescherming kent zeker ook de beveiliging van persoonsgegevens, zoals benoemd in artikel 32, maar hoe zit dat met de overige artikelen? Denk aan zaken als dataminimalisatie, inzagerecht, transparantie, rectificatie en wissing van gegevens, bescherming tegen profilering, etc. Is daarbij sprake van kans? Je hebt dat als verantwoordelijke op dit moment goed ingericht of niet. Daar hoef je dus geen inschatting voor de toekomst bij te maken. Ja, het niet goed ingericht hebben van dat soort onderwerpen vormt een risico voor de betrokkenen, maar wellicht is het dan eerlijker om het te hebben over gegevensbeschermingsonkunde (bij de verantwoordelijke) in plaats van privacyrisico's.
In het woord risico schuilt dus ook het begrip impact. De gevolgen van een inbreuk op de gegevensbescherming zijn voor de betrokkenen. Dat is dus iemand anders dan jijzelf. Hoe ga je de impact op de persoonlijke levenssfeer van iemand anders bepalen als je die levenssfeer onvoldoende of zelfs niet kent? Daarnaast kan je risico's nooit helemaal naar nul brengen, dus ergens zal je een restrisico moeten accepteren. Je gaat dus als verantwoordelijke een risico voor een ander accepteren? Zo werkt dat natuurlijk niet.
Het aspect kans komt dus wel terug als we het hebben over de beveiliging van persoonsgegevens. Een gevaar van continue spreken over privacyrisico's is dat de beveiliging van persoonsgegevens onevenredig veel aandacht krijgt. Informatiebeveiliging is belangrijk bij goede gegevensbescherming, maar gegevensbescherming is meer dan dat. Ik zie dat regelmatig terug bij uitgevoerde DPIA's. Daarbij wordt veel gekeken naar manieren waarop een datalek kan ontstaan (dus artikel 32), maar het gevolg is dat de andere artikelen nauwelijks aandacht krijgen. DPIA's moeten meer gaan over de rechten en vrijheden van personen en dus niet uitsluitend over datalekken. Persoonlijk ben ik van mening dat artikel 25 (data protection by design) het meest overtrede / genegeerde artikel is uit de AVG, soms ook door rechters. Wellicht moeten we ons daar meer op richten.
Als we niet moeten spreken in termen van privacyrisico's, hoe of wat dan wel? Naar mijn idee gaat het om respectvol omgaan met de gegevens over anderen. Bij de verwerking van die gegevens gaat erom dat je eerlijk bent richting de betrokkenen. Eerlijk over de reden van de verwerking, eerlijk in de vorm van transparantie, eerlijk wat betreft bewaartermijnen en eerlijk door goede beveiliging.
Om het zeker te weten zou je vooraf aan een representatieve groep betrokkenen kunnen/moeten vragen wat zij er van vinden..En met die aanvullende kennis uiteindelijk je proces(sen) inrichten. De praktijk is nog niet zover.... helaas