Wie is er nodig om een DPIA uit te voeren?

Mr. Dr. Tijmen Wisman, universitair docent VU Amsterdam en mr. Rani Wierda, juridisch adviseur ICTU.

Tijmen vraagt welke partijen nodig zijn om een DPIA uit te voeren. In de ideale situatie zijn dat de bedenker, bouwer, gebruiker en betrokkenen. De jurist mag aanschuiven om de dialoog aan te horen en aan de wettelijke kaders te toetsen.

TIJMEN EN RANI_3

(Intro met abstracte beelden met daaronder een korte begintune.)

(In beeld verschijnt de tekst: 
microlearnings
Privacy)

(Twee mensen zitten tegenover elkaar in een verder lege kantoorruimte en starten het gesprek: 
de heer Tijmen Wisman begint en mevrouw Rani Wierda reageert.)

(In beeld verschijnt de tekst:
Tijmen Wisman
universitair docent, Vrije Universiteit Amsterdam)

TIJMEN WISMAN: Als je een Data Protection Impact Assessment gaat uitvoeren, wie zijn dan partijen die je allemaal nodig hebt om dat goed te kunnen doen?

(In beeld verschijnt de tekst:
mr. Rani Wierda
juridisch adviseur, ICTU)

RANI WIERDA: Allereerst degene die iets wil met persoonsgegevens. Dus degene die een systeem gaat maken of een wet gaat maken. Dan eigenlijk ook degene die het systeem gaat ontwerpen. Die kan zeggen hoe die gegevensstromen gaan. Dat is meestal een architect of een ontwerper. Het fijnste is als je ook degenen hebt die het systeem gaan gebruiken. En het allerfijnste is als je ook nog iemand hebt die het systeem uiteindelijk ondergaat. Dat heb ik trouwens nog nooit meegemaakt. Ik ken wel initiatieven die ook de uiteindelijke betrokkenen, in dit geval patiënten, die hebben ze ook betrokken: We gaan nu met een nieuwe techniek bezig. Dus, kijk alsjeblieft mee, experimenteer mee, om ook het vertrouwen te krijgen.

(In beeld verschijnen achtereenvolgens de woorden:
bedenker
bouwer
gebruiker
betrokkene)

TIJMEN: Dus je hebt de bedenker, de bouwer, de gebruiker en de betrokkene. In een ideale situatie heb je die alle vier. 

RANI: En dan mag ik als privacy-expert, of ik als jurist, aanschuiven om het verhaal, de dialoog te horen om die ook in die wettelijke kaders te kunnen toetsen. Dat zijn een beetje de mensen die je nodig hebt
en wat je daarin merkt - of tenminste, wat ik gemerkt heb - is dat het uiteindelijk gewoon hele leuke gesprekken zijn. Dat is soms op het scherpst van de snede: Waarom mag dit niet, waarom kan dit niet,
waarom moet ik nog... Maar ook van: Oké, als je het zo uitlegt... Bijvoorbeeld over die vage normen...

TIJMEN: Je bedoelt dat er vage normen in de wetgeving zijn die uitgelegd moeten worden.

RANI: Dan kijken we altijd soort van ondeugend en dan zeg ik: Jouw vage norm is mijn ruimte.

(In beeld verschijnt de tekst: Vage norm = ruimte)

Dat is denk ik iets heel belangrijks, want er zijn heel veel advocatenkantoren, noem ik het maar even zo, die heel veel angst gecreëerd hebben. Dat mag niet, want dan is het 20 miljoen boete of vier procent van je wereldwijde jaaromzet. Ik ben een kleine zzp'er, ik kom niet verder dan de provincie. Dat is eigenlijk het frame dat ik vrij gemakkelijk kan keren. En op het moment dat ik het keer, of als mijn collega's het keren, dan krijgen mensen er ook zin in. Dan zie je op een gegeven moment: O, maar dan kan dit ook. Toch? Op zo'n manier gaat het gesprek. Het gaat dan meer over: Wat kan en hoe dan, en niet: Het mag niet en zullen we het maar gewoon niet doen.

TIJMEN: Dan ontstaat er dus een soort begrip en denken mensen niet vanuit angst: Niks kan. Maar dan gaan ze, wat de bedoeling is van gegevensbeschermingsrecht, kijken: Oké, wat moet ik doen om ervoor te zorgen dat ik het op zo'n manier regel dat we een gegevensverwerking hebben die je kan legitimeren, waarbinnen de overheid krijgt wat hij wil, maar de burger ook beschermd wordt.

RANI: Je moet het met droge ogen kunnen uitleggen op de voorpagina van De Telegraaf.

TIJMEN: En wat betekent dat?

RANI: Dat je het gewoon moet kunnen uitleggen. Je moet je kunnen... Je moet ook de intrinsieke wil hebben om radicaal transparant te zijn.

(Outro met abstracte beelden en korte eindtune.)

(In beeld verschijnt de tekst:
microlearnings
Privacy)

(Het laatste beeld bevat het logo van de Rijksoverheid met daaronder de tekst:
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de Rijksacademie voor Digitalisering en Informatisering Overheid (RADIO))