Privacy Friendly

Opinie

Het gebruik van het woord risico bij gegevensbescherming

11 maart 2022, 10:04

Binnen de gegevensbescherming wordt regelmatig gesproken over privacyrisico's. Dat vind ik eigenlijk best vreemd. In het woord risico schuilt namelijk een zekere onzekerheid. Die onzekerheid kennen we vanuit de informatiebeveiliging: risico = kans × impact. Het gaat daarbij om het maken van een inschatting van een mogelijk incident in de toekomst. Echter, wanneer spreken we binnen gegevensbeschermingeigenlijk van kans? Gegevensbescherming kent zeker ook de beveiliging van persoonsgegevens, zoals benoemd in artikel 32, maar hoe zit dat met de overige artikelen? Denk aan zaken als dataminimalisatie, inzagerecht, transparantie, rectificatie en wissing van gegevens, bescherming tegen profilering, etc. Is daarbij sprake van kans? Je hebt dat als verantwoordelijke op dit moment goed ingericht of niet. Daar hoef je dus geen inschatting voor de toekomst bij te maken. Ja, het niet goed ingericht hebben van dat soort onderwerpen vormt een risico voor de betrokkenen, maar wellicht is het dan eerlijker om het te hebben over gegevensbeschermingsonkunde (bij de verantwoordelijke) in plaats van privacyrisico's.

In het woord risico schuilt dus ook het begrip impact. De gevolgen van een inbreuk op de gegevensbescherming zijn voor de betrokkenen. Dat is dus iemand anders dan jijzelf. Hoe ga je de impact op de persoonlijke levenssfeer van iemand anders bepalen als je die levenssfeer onvoldoende of zelfs niet kent? Daarnaast kan je risico's nooit helemaal naar nul brengen, dus ergens zal je een restrisico moeten accepteren. Je gaat dus als verantwoordelijke een risico voor een ander accepteren? Zo werkt dat natuurlijk niet.

Het aspect kans komt dus wel terug als we het hebben over de beveiliging van persoonsgegevens. Een gevaar van continue spreken over privacyrisico's is dat de beveiliging van persoonsgegevens onevenredig veel aandacht krijgt. Informatiebeveiliging is belangrijk bij goede gegevensbescherming, maar gegevensbescherming is meer dan dat. Ik zie dat regelmatig terug bij uitgevoerde DPIA's. Daarbij wordt veel gekeken naar manieren waarop een datalek kan ontstaan (dus artikel 32), maar het gevolg is dat de andere artikelen nauwelijks aandacht krijgen. DPIA's moeten meer gaan over de rechten en vrijheden van personen en dus niet uitsluitend over datalekken. Persoonlijk ben ik van mening dat artikel 25 (data protection by design) het meest overtrede / genegeerde artikel is uit de AVG, soms ook door rechters. Wellicht moeten we ons daar meer op richten.

Rob Toebes
11 maart 2022, 13:56
Toeval of niet, maar vanochtend is dit precies wat ik op papier heb gezet.. Natuurlijk kun je in theorie zelfs kans*impact = risico gebruiken om de overige privacyrisico's (niet art 32) te duiden. Puur wiskundig is dat echter onzin, de kans is immers altijd 100%. En dus geldt: risico = impact. En dat is helemaal terecht als het gaat om DPIA's: Het is een assessment op de impact op de rechten van betrokkenen bij de verwerking van persoonsgegevens. Het risico van verwerken van persoonsgegevens is nooit nul. Voor verwerkingsverantwoordelijken betekent dit bij onvoldoende maatregelen: compliancy risico's.. Hoe kleiner het restrisico voor de betrokkenen, des te kleiner de compliancy risico's voor de verwerkingsverantwoordelijke.
Hugo Leisink
11 maart 2022, 14:09
@Rob: zeker een goed punt, alleen is het probleem bij impact dat je die niet goed kan bepalen. De impact is namelijk voor de betrokkenen en niet voor jou als verantwoordelijke. Hoe ga je voor een betrokkene (van wie je onvoldoende weet qua persoonlijke leefsituatie) de impact van een incident bepalen? Als je privacybescherming goed benadert, ga je ook daar uit van een hoge impact.
Rob Toebes
11 maart 2022, 14:53
@Hugo: Ook daar ben ik het volmondig mee eens. Je probeert een zo goed mogelijke inschatting te maken van de impact.. Da's geen wiskundige benadering.
Om het zeker te weten zou je vooraf aan een representatieve groep betrokkenen kunnen/moeten vragen wat zij er van vinden..En met die aanvullende kennis uiteindelijk je proces(sen) inrichten. De praktijk is nog niet zover.... helaas