Veel organisaties zijn er inmiddels mee bekend: het uitvoeren van een data protection impact assessment (DPIA). De minimale vereisten zijn summier in de wet uitgewerkt. Optioneel is het vereiste om betrokkenen naar hun visie op de voorgenomen verwerking van persoonsgegevens te vragen. In de praktijk wordt deze optie vaak overgeslagen terwijl het een toegevoegde waarde heeft voor een organisatie en haar DPIA. In deze blog ga ik in op het betrekken van betrokkenen bij een DPIA. Is dit vereiste wel zo optioneel? En wat is de toegevoegde waarde?
Doel DPIA
Als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor betrokkenen, dan is een organisatie in veel gevallen verplicht voorafgaand aan de gegevensverwerking een DPIA uit te voeren. In artikel 35 lid 7 AVG staan vier voorwaarden genoemd waaraan een DPIA in elk geval moet voldoen. Dit zijn – beknopt beschreven – een systematische beschrijving van de verwerking en haar doeleinde, een beoordeling van de noodzaak en evenredigheid, beoordeling van de risico’s en de beoogde maatregelen om de risico’s te mitigeren. Een DPIA is dus bedoeld om de risico’s in kaart te brengen en passende maatregelen te nemen.
(Niet) vrijblijvend?
Verderop in hetzelfde artikel lezen we in lid 9 dat de verwerkingsverantwoordelijke ‘where approppriate’ (in voorkomend geval) de betrokkene of diens vertegenwoordiger naar hun mening kan vragen over de voorgenomen verwerking. Dit lijkt behoorlijk vrijblijvend. De European Data Protection Board (EDPB; voorheen Article 29 Working Party) heeft deze optie nader geïnterpreteerd.[1] Uit de interpretatie kun je voor een organisatie twee verplichtingen afleiden. De eerste lijkt een inspanningsverplichting om via verschillende middelen betrokkenen te benaderen. Het documenteren van de reden waarom je betrokkenen niet betrekt of als je besluit van hun mening af te wijken, lijkt als tweede verplichting te gelden. Deze interpretatie suggereert dat het betrekken van betrokkenen bij een DPIA minder vrijblijvend is als de wettekst doet voorkomen.
Bescherming van organisatiebelangen
Wij proberen tijdens een DPIA altijd betrokkenen naar hun mening te vragen over mogelijke risico’s en maatregelen. Toch is dat uit ervaring eerder uitzondering dan regel. Organisaties noemen uiteenlopende argumenten waarom zij betrokkenen niet naar hun mening vragen. Een veelgehoord argument is dat een organisatie niet wil dat betrokkenen inzage krijgen of kennis nemen van processen die conflicteren met bepaalde organisatiebelangen. Ter bescherming van deze belangen bepaalt artikel 35 lid 9 AVG dat bij het vragen naar de mening van betrokkenen ‘de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen’ in acht moeten worden genomen. Met andere woorden, niets belet een organisatie om betrokkenen over een verwerking slechts beperkte informatie te geven. In deze context is bijvoorbeeld te beargumenteren dat bepaalde risico’s interne informatie zijn, zoals een reeds bekend en hoog risico waarvoor een organisatie al maatregelen neemt voordat de verwerking van persoonsgegevens start.
Risico’s bepalen
Betrokkenen betrek je niet voor elk onderdeel van een DPIA. De nadruk ligt meestal op het beoordelen van risico’s en maatregelen om die te mitigeren. Het werkt goed om voorafgaand aan het gesprek met betrokken al in het hoofd te hebben wat de risico’s zijn en welke maatregelen je al hebt bedacht om die te mitigeren. Met deze maatregelen in de hand kun je de betrokkenen vertellen hoe de organisatie van plan is de risico’s te verkleinen. De grootste toegevoegde waarde van betrokkenen zijn hun antwoorden op de vraag of zij zelf andere risico’s zien. Ga dus een open gesprek aan met betrokkenen.
’Wij’-gevoel
Tijdens onze workshops wordt veel aandacht besteed aan de voorgenomen verwerking en onze bevindingen en aanbevelingen. Vervolgens is er voor betrokkenen de ruimte om in een open gesprek daarop in te haken en nieuwe aandachtspunten aan te kaarten. In de praktijk zorgt dat vaak voor aandachtspunten die niet eerder zo concreet waren bedacht. De workshop zorgt er ook voor dat er een ‘wij’-gevoel ontstaat omdat de betrokkene de ruimte krijgt mee te denken en merkt dat de organisatie zijn opmerkingen serieus neemt.
Het ‘wij’-gevoel heeft in zichzelf ook een voordeel. Veel organisaties zijn bang dat een open gesprek met betrokkenen mogelijk escaleert tot een klacht bij de AP. Zij doen daarmee zichzelf, de betrokkene én de AP tekort. Als de organisatie duidelijk maakt wat ze van plan is, hoe ze dat gaat regelen, op welke wijze ze maatregelen treft en openstaat voor input en feedback van betrokkenen, dan zal een betrokkene echt niet snel naar de AP stappen. Gebeurt dat toch? Dan kan de organisatie ook de AP toelichten wat zij van plan is én laten zien dat zij, door het betrekken van betrokkenen, meer doet dan minimaal wettelijk is vereist.
Betrokkene (g)een stakeholder
Het is natuurlijk ook vreemd om betrokkenen niet naar hun mening te vragen. Een organisatie raadpleegt allerlei stakeholders, zoals een (C)ISO en de FG, die iets met de verwerking van doen hebben. Maar uitgerekend betrokkenen wiens persoonsgegevens het betreft, beschouwen organisaties vaak niet als stakeholder. Voor een volledig beeld is het belangrijk om juist die groep ook te betrekken. Want wie kan de impact van een risico beter inschatten dat degene op wie dat risico betrekking heeft? Dat betrokkenen kritische vragen stellen, is logisch. Maar de vragen en reacties dragen veelal constructief bij aan inschatting van de risico’s en daarmee een risicogebaseerde verwerking. Hiervoor is geen grote groep betrokkenen nodig. Belangrijk is dat de aanwezige groep representatief is. Zo’n afspiegeling bestaat bijvoorbeeld in de vorm van een cliëntenraad, ouderraad of een stichting die specifieke belangen vertegenwoordigd.
Conclusie
Ik raad organisaties aan betrokkenen als regel bij een DPIA te betrekken. Veel betrokkenen denken graag mee en hun inzichten en aandachtpunten geven een nieuwe dimensie aan de risico’s. Daarmee biedt het een organisatie de kans om transparant te zijn, risico’s nader te bepalen, draagvlak te creëren en op basis van de uitkomsten van de DPIA de voorgenomen verwerking aan te passen. Dit alles zonder gevoelige organisatiebelangen in de weg te zitten, want daarvoor geeft de AVG de ruimte. Het betrekken van betrokkenen is op deze manier een win-win situatie!
[1] WP29 Guidelines on Data Protection Impact Assessment (DPIA) 17/EN WP 248, adopted on 4 April 2017.
