Opinie
De verwarring tussen privacy en beveiliging tijdens een DPIA
Organisaties kunnen op verschillende manier de privacy van betrokkenen schenden. Hoewel het lekken van persoonsgegevens daar slechts één van is, is dat wel hetgeen vaak de media haalt. Het beveiligen van persoonsgegevens wordt door velen dan ook als het belangrijkste onderdeel gezien van privacy en is om die reden in veel gevallen een belangrijk onderdeel van de data protection impact assessment (DPIA). Dit is naar mijn idee echter onjuist. In dit artikel is beschreven waar een DPIA feitelijk over moet gaan en waarom beveiliging daar niet in thuis hoort.
Voordat ingegaan wordt op de DPIA, eerst wat uitleg over beveiliging. Om zicht te krijgen op de risico's die horen bij het werken met bedrijfsinformatie, is het goed om een risicoanalyse uit te voeren. Bij een risicoanalyse wordt onder andere gekeken naar welke dreigingen een inbreuk kunnen maken op de beschikbaarheid, integriteit of vertrouwelijkheid van de informatie. Daarbij wordt bepaald wat de kans is dat een dreiging leidt tot een incident en wat de impact van een incident is.
Ook bij de verwerking van persoonsgegevens horen risico's. Deze kunnen in kaart gebracht worden met behulp van een DPIA. Daarbij dient gekeken te worden op welke wijze privacy van de betrokkenen geraakt kan worden. Dat informatiebeveiliging in de basis neerkomt op beschikbaarheid, integriteit en vertrouwelijkheid is al lang algemeen geaccepteerd. Voor privacy zijn er nog geen algemeen geaccepteerde basiszaken waar het uiteindelijk op neerkomt. Ik heb daarover nagedacht en ben op de volgende twee punten uitgekomen:
- Concrete vrijheid: Niet uitgesloten worden. Dus niet gediscrimineerd worden, niet geweigerd worden voor bijvoorbeeld een verzekering of bij een sportvereniging, niet genegeerd worden door familie en vrienden, etc.
- Mentale vrijheid: Het gevoel dat je onbespied en zonder beoordeeld te worden dingen kan doen. Dus niet geremd worden in je doen en laten doordat je niet structureel gemonitord wordt.
Deze twee punten zijn dus waar een DPIA zich naar mijn idee op moet richten. Tijdens een DPIA moet dus bekeken worden op welke wijze de concrete of mentale vrijheid van een betrokkene door de geplande verwerking geraakt kan worden. Uiteraard kan dat gebeuren door het lekken van gegevens. Om die reden is het goed beveiligen van persoonsgegevens dan ook geen vraag, maar een vanzelfsprekendheid! Net als een goede beveiliging (artikel 32), is het naleven van de rest van de AVG ook een vanzelfsprekendheid. Want of jij je aan de wet gaat houden, is natuurlijk geen valide vraag. Tijdens een DPIA hoef je dus op al die punten niet inhoudelijk in te gaan en is een controlevraag of daaraan voldaan wordt meer dan voldoende.
Voor de kans op een incident is er bij de beveiliging van bedrijfsinformatie geen harde regel die aangeeft tot welk niveau je een kans kan accepteren. Daar is een organisatie in bepaalde mate vrij in. Maar waar het bij beveiligen van bedrijfsinformatie gaat om risico's voor de organisatie, gaat het bij privacy om risico's voor anderen. Omdat het praktisch niet mogelijk is om voor anderen te bepalen of zij bij een bepaalde verwerking zich in hun privacy aangetast zullen voelen, kan je niet anders dan de kans daarop als 100% te beschouwen.
Dit alles heeft als gevolg dat je tijdens de DPIA tot de conclusie gaat komen, dat bij de geplande verwerking de privacy van de betrokkenen hoe dan ook geraakt gaat worden. Dat is niet per se erg. Wat bepaald moet worden is wat daarvan de impact is. Vandaar ook de naam privacy impact assessment. Daarbij moet eerlijk en kritisch bekeken worden naar of de verwerking gerechtvaardigd is en of het uiteindelijke doel ook zonder de geplande verwerking verkregen kan worden. Uiteindelijk moet bepaald worden of de overgebleven impact op de privacy opweegt tegen het voordeel wat uit de verwerking verkregen wordt. Voor zowel de betrokkenen als voor de organisatie.
Wat een organisatie dus niet moet doen tijdens een DPIA, is op zoek gaan naar hoe de verwerking te verantwoorden is onder de AVG. Wat organisaties moeten leren is dat een mogelijke uitkomst van een DPIA is, dat een geplande verwerking niet strict noodzakelijk is of niet eerlijk is naar de betrokkenen en dus geen goed idee is. Zij moeten leren dat, hoe goed de beveiliging ook is, afzien van een geplande verwerking soms de beste en meest eerlijke keuze is!