Opinie
Model GEB Rijksdienst
Bezint eer ge begint. Dit geldt voor alles, ook voor de verwerking van persoonsgegevens. Een goede DPIA is naar mijn idee de basis voor een goede en eerlijke verwerking. Alleen hebben we nog een lange weg te gaan daarin, denk ik.
Ongeveer een jaar geleden zijn wij begonnen met het ontwikkelen van een eigen DPIA model. De reden daarvoor was omdat we vonden dat er geen goed model beschikbaar was. De enige beschikbare was het model Gegevensbeschermingseffectbeoordeling Rijksdienst (GEB Rijksdienst), maar deze vonden we te weinig sturend, legde te weinig de vinger op de zere plek en vergde daardoor de aanwezigheid van een expert om er een goede invulling aan te geven. Zeker voor MKB organisaties was het uitvoeren van een DPIA daardoor geen eenvoudige opgave.
We zijn nu een jaar verder. Ik ben nog steeds erg trots op het DPIA model dat we hebben neergezet. Hij is nog zeker niet perfect. Daarom werken we ondertussen door aan een nieuwe versie, die hopelijk binnenkort gereed is. In de tussentijd hebben we er wel veel van geleerd. Door het er zelf veel over te hebben, door de reacties die we hebben ontvangen, zowel de positieve als de kritische, maar ook door naar andere DPIA modellen te kijken. Onlangs heb ik de GEB Rijksdienst nog eens bekeken en eigenlijk ben ik er meer dan 'niet zo tevreden over'. Eigenlijk vind ik deze gewoon onvolledig en ongeschikt om een goede DPIA mee uit te voeren. En omdat dit het DPIA model is waar naar mijn idee veel organisaties, zeker binnen de overheid, mee werken, vind ik dat ook zorgelijk.
De GEB Rijksdienst bestaat uit zeventien vragen, opgedeeld in 4 delen (A t/m D). Deel A bestaat uit tien vragen, welke van beschrijvende aard zijn. Dat is dus meer dan de helft van het aantal vragen uit het model. Nu is het goed beschrijven van je verwerking geen slecht idee, maar dat is niet het doel van een DPIA. Een DPIA moet gaan over de impact van de verwerking, alleen zijn dat soort vragen in de GEB Rijksdienst erg schaars.
Deel B begint met een vraag over de rechtsgrond, maar er wordt niet doorgevraagd. Zeker bij toestemming als rechtsgrond is het goed om door te vragen naar de vrije wil, het intrekken van de toestemming en eventuele negatieve gevolgen bij het weigeren van de toestemming. In dit deel verwacht ik een vraag over de transparantie van de verwerking. Hoe duidelijk is het voor de betrokkenen welke gegevens over hen verwerkt worden en waarom? Transparantie is niet voor niets een van de beginselen (artikel 5) van een eerlijke verwerking. Uiteraard kan deze vraag geschaard worden onder vraag 15, 'Rechten van de betrokkenen', maar dat doet naar mijn idee absoluut geen eer aan het belang van deze vraag. Het is daardoor te vrijblijvend om die vraag te beantwoorden.
Vraag 14 over de noodzaak en evenredigheid is de enige echt interessante vraag uit dit model, maar is naar mijn idee niet scherp genoeg geformuleerd. Omdat dit de kern van de DPIA is, had deze vraag in meerdere losse vragen moeten worden opgedeeld. Is serieus gekeken naar een alternatief proces om de doelstelling te halen, maar waarbij minder of zelfs geen persoonsgegevens nodig zijn? Is zo'n proces in alle redelijkheid mogelijk? Zijn alle verzamelde gegevens echt noodzakelijk om de beoogde doelstelling te halen? Worden de gegevens alleen verwerkt voor het doel waarvoor ze verzameld zijn? Worden ze alleen verwerkt voor de duur waarbinnen ze nodig zijn? Vijf deelvragen die naar mijn idee meer dwingen tot goed nadenken over de verwerking dan de huidige vraag 14.
In vraag 14 en in vraag 16 wordt gevraagd naar de mogelijke inbreuk op persoonlijke levenssfeer, rechten en vrijheden van de betrokkenen. Hoewel het niet verkeerd is om daar rekening mee te houden, is het tevens iets wat eigenlijk niet goed te doen is door een verantwoordelijke. Je hebt namelijk geen zicht op de persoonlijke leefsituatie van iedere betrokkene. Om die reden moet je naar mijn idee ook uitgaan van een hoge impact. Om die reden is het bij iedere verwerking van groot belang om de rechtmatigheid, behoorlijkheid, transparant en de beveiliging op orde te hebben.
Nu we het toch over beveiliging hebben, in vraag 16 wordt gevraagd naar 'de waarschijnlijkheid (kans) dat deze gevolgen zullen intreden' en 'de ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden'. Ik krijg soms signalen dat mensen dit zien als vragen over informatiebeveiliging, omdat naar kans en impact wordt gevraagd. Echter, als je de vraag goed leest, is dat niet waar naar gevraagd wordt. Er wordt gevraagd naar de risico's voor de rechten en vrijheden van de betrokkenen, niet naar de beveiliging. In het model wordt nergens gevraagd naar de beveiliging. Opmerkelijk, want met alle datalekken, softwarekwetsbaarheden en ransomware-aanvallen lijkt me dat geen overbodige vraag.
In vraag 17 wordt aan het einde gevraagd om te beoordelen of 'het restrisico acceptabel is'. We hebben het hier nog steeds over risico's voor de betrokkenen. Die vraag ga jij als verantwoordelijke dus invullen. Met andere woorden, er wordt gevraagd dat jij het risico voor een ander gaat accepteren. Dat is een totaal verkeerde manier van denken tijdens een DPIA en moet zeker niet door zo'n vraag worden aangemoedigd. Waar een DPIA naar moet sturen is dat jij als verantwoordelijk er alles aan hebt gedaan om de mogelijke risico's voor de betrokkenen zo klein mogelijk te houden en daar in alles zo transparant mogelijk over bent. En hoe jij als verantwoordelijke inzicht kan krijgen in de mogelijke risico's voor de betrokkenen? Nou, vraag het ze!
Van al deze tekortkomingen hebben wij geleerd en daar hebben wij rekening mee gehouden bij het opstellen van ons DPIA model. Dat wil niet zeggen dat ons model perfect is. We horen graag jullie reactie daarop om deze verder te kunnen verbeteren.
Update 12 maart 2022:
Versie 2 van dit model, genaamd Model DPIA Rijksdienst 2.0, is inmiddels uitgegeven. De kritiekpunten die ik heb op de eerste versie zijn naar mijn idee niet echt weggenomen in de tweede versie. Er wordt nog steeds gesproken over risico's, wat naar mijn idee een verkeerde benadering is van het onderwerp gegevensbescherming. In vraag 16 wordt nu zelfs expliet om een kans × impact berekening te doen, wat de plank volledig misslaat.
Op pagina 17 wordt gesteld dat het doel van een DPIA is om te voldoen aan 'de verantwoordingsplicht wat betreft het uitvoeren van de gegevensverwerkingen'. Dat is een wel een erg kille omschrijving. Zelf zou ik een DPIA omschrijven als 'een kritische zelfreflexie bij de verwerking van persoonsgegevens om vast te kunnen stellen of de verwerking eerlijk en respectvol is naar de betrokkenen'. Deze meer betrokkenen-gerichte denkwijze vind je terug in ons DPIA model.