Print:

Hoe ethiek en DPIA’s steeds belangrijker worden bij verantwoord datagebruik

Piek Visser-Knijff , Data-ethicus

LinkedIn profiel

Data-ethiek staat bij steeds meer organisaties op de agenda. Dit betekent dat er wordt nagedacht over de ethische verantwoording van hoe er met (persoons)gegevens wordt omgegaan. Naast de juridische kaders, wordt de wenselijkheid van het datagebruik bevraagd. Menno Verhaar (privacy jurist bij SVB) en Piek Visser-Knijff (data-ethicus bij Filosofie in actie), verkenden hoe de DPIA een (eerste) stap kan zijn bij de implementatie van data-ethiek.

Ehtiek en DPIA's door Piek Visser en Menno Verhaar

Piek Visser-Knijff & Menno Verhaar

Rol van de DPIA

Een Data Protection Impact Assessment (DPIA) is een instrument om vooraf privacy risico’s van een gegevensverwerking in kaart te brengen, om vervolgens maatregelen te treffen om deze risico’s te verkleinen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog risico oplevert voor “de rechten en vrijheden van natuurlijke personen” (art. 35 AVG).

Niet in alle gevallen is het duidelijk of een is DPIA vereist. Toch is het aan te raden om ook – en juist in – onduidelijke gevallen een DPIA uit te voeren. Ten eerste omdat de DPIA een nuttig instrument is dat verwerkingsverantwoordelijken helpt om aan de wetgeving inzake gegevensbescherming te voldoen, bijvoorbeeld aan de verantwoordingsplicht en de documentatieplicht die ook gelden als een DPIA niet vereist is. In die zin is het een juridische tool.

Ten tweede is het ethisch gezien wenselijk om dit te doen: je stimuleert de verantwoordelijken om zich bewust te zijn van de risico’s die het dataproject met zich mee brengt voor de rechten en vrijheden van natuurlijke personen en verantwoordelijkheid te nemen voor een zorgvuldige verwerking. Daarmee zet je de consument, burger, ‘betrokkene’ centraal en vergroot je het privacybewustzijn binnen je organisatie.

Ethische afwegingen in de ‘standaard’ DPIA

Hoewel een DPIA geen vast format ken, zijn er elementen die tegen elkaar moeten worden afgewogen waarbij ethiek al een rol speelt:

  • het doel en de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  • de noodzaak en de evenredigheid van de verwerking met betrekking tot het doel;
  • de risico’s voor de rechten en vrijheden van betrokkenen;
  • de maatregelen die worden genomen om de risico’s te verkleinen, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Bij het uitvoeren van een DPIA zullen afwegingen in veel gevallen ethische vraagstukken opwerpen. De vraag of een inbreuk proportioneel is, zal vanuit het juridisch kader aan de orde komen, maar is in zichzelf een ethisch vraagstuk (wat is proportioneel? Hoe meet je dat?).

Er zijn ook ethische vragen die wellicht niet of minder direct vanuit het juridische kader naar voren komen, maar die je wel wilt meenemen in de afweging. De keuzes die gemaakt worden zijn waardegeladen en nooit ‘neutraal’. Hierdoor is het uitvoeren van een DPIA dan ook niet een louter juridische exercitie, maar bij uitstek een middel om stil te staan bij de ethische belangen die er spelen. Maar hoe implementeer je deze ethische belangen nu in een DPIA of het DPIA-proces?

DPIA’s uitbreiden met ethische vragen

Hierbij doen wij een paar suggesties om de DPIA uit te breiden met ethische vragen:

  • Formuleer ‘check’-vragen die aansluiten bij de kernwaarden van de organisatie. In hoeverre raken de risico’s die met de verwerking gepaard gaan aan die kernwaarden? Wat kan er gedaan worden om vanuit de kernwaarden te handelen?
  • Richt een functie of rol in die betrokken kan worden bij ethische afwegingen, zoals een (data-)ethicus of een ethische commissie. Zorg er voor dat in het DPIA-proces is opgenomen dat de ethicus of de commissie in bepaalde gevallen om een advies wordt gevraagd. Neem bijvoorbeeld op dat in het geval van profilering, de ethicus altijd de selectiecriteria beoordeelt.
  • Zorg voor nauwkeurigheid in het onderscheiden en formuleren van de noodzaak, het middel (de voorgestelde verwerking) en het doel dat men er mee wenst te bereiken. Dit helpt de belangen beter in kaart brengen en daarmee de weging van de subsidiariteit en proportionaliteit.
  • Bespreek (geregeld) met betrokkenen bij de DPIA ethische vragen ten aanzien van gegevensverwerking. De eventuele risico’s die uit zulke gesprekken naar voren komen kunnen in de DPIA worden opgenomen, opdat de verantwoordelijke deze kan meenemen in de uiteindelijke afweging.
  • Raadpleeg betrokkenen (om wiens vrijheden en rechten het ten slotte gaat) tijdens de stakeholdersanalyse. Opdat niet alleen risico’s technisch worden benaderd maar ook het ervaren risico of gevoel van veiligheid goed vertegenwoordigd wordt. Dit kan door middel van klantonderzoeken of het raadplegen van belangenverenigingen. Deze mogelijkheid is ook verankerd in artikel 35, lid 9 van de AVG.
  • Heroverweeg met regelmaat de gemaakte DPIA. De maatschappij verandert, de context, de technologie en daarmee de risico’s. Houdt continu in de gaten of een DPIA heroverwogen dient te worden en richt hier processen voor in.

Conclusie

Steeds meer organisaties zijn op zoek naar de juiste ethische afweging bij het gebruik van data. Wij zien de DPIA als ‘een haakje’ om data-ethiek (alvast) een plek te kunnen geven, maar het is zeker niet het enige dat nodig is om tot een verantwoorde omgang met data te komen.

Lees de volledige versie van de blog op Advocatie.

 

Piek Visser-Knijf en Menno Verhaar zijn als docenten betrokken bij de cursus Implementatie Data-ethiek. Daarnaast verzorgt Piek de module Ethiek bij de opleiding CDPO, Privacy Officer 2.0 en FG in de publieke sector. Verder verzorgt Piek een sessie over Ethics by Design op het event Dag van de Privacy Officer 2020.

Meer informatie over Dag van de Privacy Officer?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.