Hoe werkt een DPIA in de praktijk

TIJMEN EN RANI_2

(Intro met abstracte beelden met daaronder een korte begintune.)

(In beeld verschijnt de tekst: 
microlearnings
Privacy)

(Twee mensen zitten tegenover elkaar in een verder lege kantoorruimte en starten het gesprek: 
de heer Tijmen Wisman begint en mevrouw Rani Wierda reageert.)

(In beeld verschijnt de tekst:
Tijmen Wisman
universitair docent, Vrije Universiteit Amsterdam)

TIJMEN WISMAN:
Zou je iets meer kunnen vertellen over hoe zo'n Data Protection Impact Assessment eraan toegaat in de praktijk en ook wat voor risico's je daar nou mee kan ondervangen? Hoe helpt zo'n DPIA mee
met invulling geven aan de wet?

(In beeld verschijnt de tekst:
mr. Rani Wierda
juridisch adviseur, ICTU)

RANI WIERDA: Wat je met een DPIA doet, is de risico's vanuit de gegevensbescherming voor de betrokkene en de betrokkene is dan degene die de verwerking ondergaat, dus degene die voor een camera staat of degene die... Enzovoort. Dan ga je kijken: Welke risico's kan die lopen. En kunnen we die risico's beperken? Zijn er maatregelen die de risico's kunnen beperken of kunnen we ze helemaal voorkomen? Dat is het uiteindelijke doel van een DPIA. Wat je daarin beschrijft, en dat doe je niet als jurist alleen, maar wat je in een DPIA beschrijft, is wat je überhaupt gaat doen. Wat gaan we doen? Welke persoonsgegevens gaan we gebruiken en waarvoor? Dus heel systematisch het proces beschrijven: Het begint bij A, dan ga ik naar B en dan ga ik naar C. Dat is één deel. In het tweede deel van de DPIA ga je kijken: Welke wettelijke kaders heb ik dan? En in het derde deel beoordeel je eigenlijk het proces aan het wettelijk kader.

(In beeld verschijnen de woorden:
Proportionaliteit
Noodzakelijkheid)

Dan ga je kijken naar de proportionaliteit en de noodzakelijkheid. 

TIJMEN: Kan je een voorbeeld daarvan geven uit de praktijk, waarin je daar iets meer erop ingaat?

RANI: Wij hebben op dit moment, zoals we dat noemen, 'een DPIA lopen'. We voeren op dit moment een DPIA uit voor een experiment. Dat experiment gaat erover dat we in ons kantoor een deur willen neerzetten en daar een camera op die dan ook software heeft. Je hebt zelf een telefoon waarmee je een foto maakt en op basis van gezichtsherkenning gaat de deur wel of niet open. Dat is een beetje het experiment. Dan gebruik je biomedische gegevens, gezichtsherkenning. Dat zijn bijzondere persoonsgegevens, die mag je niet verwerken, tenzij... Want ja, het is een wet, dus je mag niks, 'tenzij'.
Degene die dat experiment bedacht heeft of die dat wil uitvoeren, komt bij mij en zegt... Die komt bij mij en zegt: Rani, dit wil ik doen. En ik wil ook dat er een DPIA gebeurt, want ik wil dit op een verantwoorde manier doen. Dit is echt gewoon bijna mijn meest ideale collega die weet dat hij iets wil wat heel spannend is en die, zowel vanuit de gegevensbescherming als vanuit de informatiebeveiliging 
ook echt heel duidelijk zegt: We willen hier iets gaan doen, we weten dat het spannend is. Dus we willen meteen de jurist erbij, we willen meteen de IT'er erbij, de techneut,  om te kijken hoe we dit verantwoord kunnen doen. En dat experiment gaan we een paar keer doen, zodat als er dingen uitkomen die we niet goed vinden, dat we dan nog maatregelen kunnen treffen, en dan gaan we nog een keer, en nog een keer. Het uiteindelijke doel van dat experiment is dat wij als collega's ook hebben ervaren hoe die gezichtsherkenning nou werkt. En niet alleen ervaren, maar ook gewoon weten hoe de techniek werkt. Dat kunnen wij heel goed gebruiken in onze advisering aan alle departementen en alle uitvoeringsorganisaties die gezichtsherkenning willen gebruiken. 

(In beeld verschijnt de tekst: Hoe kun je het nu wél doen)

Nu doen we het een beetje vanuit de theorie: Je kunt honderd documenten lezen en het is spannend en gevaarlijk. Ja, en? Maar hoe kun je het nou wél doen?

TIJMEN: Begrijp ik goed dat je om een DPIA goed te laten werken, een soort iteratief proces nodig hebt, waarin je dat steeds herhaalt - en dat je dan gaat kijken: Hoe kunnen we het finetunen?

RANI: Daar hebben we bij deze heel expliciet voor gekozen. Maar als je een systeem gaat maken, een systeem gaat ontwerpen, dan is het in eerste instantie gewoon... Gedurende dat je het systeem gaat ontwerpen, ga je ook kijken: Oké, maar wat gebeurt er nu? Welke risico's zijn er? Als zo'n systeem er is, dan ga je, als je het goed doet, één keer in de twee jaar nog eens kijken: Oké, dit hadden we bedacht. Maar klopt het nog steeds of zijn er wijzigingen in het systeem of in de wet, waardoor die risico's anders zouden kunnen. Dat is dan het moment dat je weer een DPIA zou gaan doen.

TIJMEN: Ja, dus het is geen proces dat je in het begin één keer inzet en dan ben je klaar. Het is iets waar je continu momenten voor moet plannen voor wanneer je het wilt inzetten. 

RANI: Het is heel gebruikelijk om, over een wet of over een... ik noem het even wat oneerbiedig een stuk software, of een systeem... Kijk, die veranderen, die wijzigen. Dus die nulsituatie waar je mee begonnen bent, hoeft over twee of drie jaar niet meer waar te zijn. Maar dan wil je nog wel dat je gegevens op een goede manier beschermd zijn. Dan wil je nog wel kunnen uitleggen: Ja, maar we
doen dit en op een verantwoorde manier. 

TIJMEN: Dus kunnen we concluderen dat een goede DPIA continu is? Of dat je die inplant, niet voor één keer, maar eigenlijk...

RANI: Het is een periodiek.

TIJMEN: Precies, een periodiek proces.

RANI: Het is een periodiek proces.

TIJMEN: Mooi, dank je wel.

(Outro met abstracte beelden en korte eindtune.)

(In beeld verschijnt de tekst:
microlearnings
Privacy)

(Het laatste beeld bevat het logo van de Rijksoverheid met daaronder de tekst:
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO))