Opinie

De uitkomsten van een DPIA worden doorgaans geheim gehouden. Ze worden beschouwd als interne bedrijfsinformatie. Eigenlijk is dat gek. Je brengt namelijk risico's in kaart voor anderen; de betrokkenen. Die zouden moeten mogen weten welk risico ze lopen. Toch?

Ik heb het vermoeden dat de houding ten opzichte van de resultaten van een DPIA afkomstig is uit de risicoanalyse. De resultaten daarvan worden ook als interne bedrijfsinformatie gezien. En dat is niet zo vreemd. Het gaat immers om risico's voor de organisatie. Maar juist dat is het grote verschil met een DPIA. Risicoanalyse: risico's voor jou. DPIA: risico's voor anderen. We moeten dus loslaten dat het in kaart brengen van risico's altijd betekent dat de resultaten daarvan vertrouwelijk zijn. Artikel 5 van de AVG stelt dat gegevens moeten worden verwerkt op een wijze die transparant is. Hoort zicht op de risico's daar niet gewoon bij?

"Maar dan stellen we de DPIA-resultaten alleen beschikbaar voor de betrokkenen."

Waarom alleen de betrokkenen? En hoe zit het dan met de toekomstige betrokkenen? Hebben die niet het recht om te weten welk risico ze lopen als zij hun gegevens beschikbaar stellen? Ik vind van wel. En hoe groter de groep betrokkenen, des te minder je er van op aan kan dat de gegevens niet verder worden verspreid. Houd jezelf dus niet voor de gek en maak de resultaten gewoon voor iedereen beschikbaar.

"Maar de DPIA bevat informatie over onze beveiliging. En dat is vertrouwelijke informatie."

Ten eerste, in de DPIA horen geen inhoudelijke, vertrouwelijke details te staan over de informatiebeveiliging. Die horen thuis in een risicoanalyse. In de DPIA benoem je alleen de conclusie uit de risicoanalyse of de informatiebeveiliging op orde is of niet. Ten tweede, is die conclusie over de informatiebeveilging, eigenlijk wel zo vertrouwelijk? Hebben de (toekomstige) betrokkenen, om wiens gegevens het gaat, niet het recht om dat te weten? Als de informatiebeveiliging op orde is, zoals artikel 32 vereist, dan zal er in de DPIA-resultaten niks staan dat jouw organisatie kan schaden. Dus hoezo vertrouwelijk?

Voor de betrokkenen is het nuttig om de resultaten van de DPIA te kunnen inzien. Ten eerste hebben ze daarmee bewijs van dat er uberhaupt een DPIA is uitgevoerd. Ten tweede kunnen ze daarbij produkten en diensten onderling vergelijken op het gebied van gegevensbescherming en privacy.

Op het moment dat jij de DPIA-resultaten voor jezelf houdt, dan kunnen (toekomstige) betrokkenen dit ook opvatten als dat daar iets in staat dat de buitenwereld niet mag weten. Zij zullen dus twijfels kunnen hebben over de vraag of jouw organisatie wel goed met hun persoonsgegevens omgaat. Het argument 'ik heb niks te verbergen' is voor betrokkenen een slecht argument als het gaat om privacy, maar voor de verwerkingsverantwoordelijke, als het gaat om informatie over de verwerking, juist niet!