Data-ethiek staat bij steeds meer organisaties op de agenda. Dit betekent dat er wordt nagedacht over de ethische verantwoording van hoe er met (persoons)gegevens wordt omgegaan. Naast de juridische kaders, wordt de wenselijkheid van het datagebruik bevraagd.
Het implementeren van data-ethiek wordt in de praktijk als grote stap ervaren. In deze blog willen wij laten zien hoe er in kleine stappen, gebruikmakend van bestaande middelen, een ethische afweging kan worden toegevoegd aan de juridische afwegingen als het gaat om projecten waarin privacy ter discussie staat. Daarnaast laten we zien dat er in de juridische overwegingen ook een ethische component aanwezig is.
Rol van de DPIA
Een Data Protection Impact Assessment (DPIA) is een instrument om vooraf privacyrisico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te treffen om deze risico’s te verkleinen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog risico oplevert voor “de rechten en vrijheden van natuurlijke personen” (art. 35 AVG)
Op grond van de AVG is hier in ieder geval sprake van als een organisatie:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Verder heeft de Autoriteit Persoonsgegevens een niet uitputtende lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is en kan je gebruik maken van de negen criteria die de Europese privacytoezichthouders (WP29) hebben opgesteld, waarbij geldt dat een DPIA moet worden uitgevoerd als de verwerking aan twee of meerdere criterium voldoet.
Het uitvoeren van een DPIA is geen eenmalige actie, maar een continu proces. Het is raadzaam om een DPIA periodiek uit te voeren, bijvoorbeeld eens per drie jaar. Er zijn echter indicatoren om dit eerder te doen. Als binnen een reeds beoordeeld project nieuwe keuzes worden gemaakt, kunnen de risico’s van de verwerking veranderen. Bijvoorbeeld als wordt besloten een nieuwe technologie te gebruiken, of de persoonsgegevens te gebruiken voor een ander doel. In die gevallen kan een het opnieuw uitvoeren van een DPIA zelfs verplicht zijn. Het is daarom van belang om te blijven monitoren of de gegevensverwerking verandert, zodat heroverweging van de DPIA kan worden bepaald.
Niet in alle gevallen is het duidelijk of een is DPIA vereist. Toch is het aan te raden om ook – en juist in – onduidelijke gevallen een DPIA uit te voeren. Ten eerste omdat de DPIA een nuttig instrument is dat verwerkingsverantwoordelijken helpt om aan de wetgeving inzake gegevensbescherming te voldoen, bijvoorbeeld aan de verantwoordingsplicht en de documentatieplicht die ook gelden als een DPIA niet vereist is. In die zin is het een juridische tool.
Ten tweede is het ethisch gezien wenselijk om dit te doen: je stimuleert de verantwoordelijken om zich bewust te zijn van de risico’s die het dataproject met zich mee brengt voor de rechten en vrijheden van natuurlijke personen en verantwoordelijkheid te nemen voor een zorgvuldige verwerking. Daarmee zet je de consument, burger, ‘betrokkene’ centraal en vergroot je het privacybewustzijn binnen je organisatie. De keuze om een DPIA te doen bevat zogezegd dus al een ethische overweging.
DPIA en het maken van (ethische) afwegingen
Een DPIA kent geen vast format, toch zijn er vaste elementen die in ieder geval moeten worden uitgewerkt en tegen elkaar moeten worden afgewogen:
- het doel en de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- de noodzaak en de evenredigheid van de verwerking met betrekking tot het doel;
- de risico’s voor de rechten en vrijheden van betrokkenen;
- de maatregelen die worden genomen om de risico’s te verkleinen, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
Grof gezien worden in een DPIA het doel en de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd afgewogen tegen de risico’s voor de rechten en vrijheden van betrokkenen. De verwijzing naar ‘de rechten en vrijheden’ van betrokkenen heeft niet alleen betrekking op de rechten op gegevensbescherming en privacy, maar kan ook andere grondrechten betreffen zoals vrijheid van meningsuiting, vrijheid van verkeer, discriminatieverbod, en recht op vrijheid. Maatregelen treffen zodat de rechten op gegevensbescherming en privacy van betrokkenen zijn gewaarborgd is dan ook niet per definitie voldoende.
De afweging vindt plaats binnen juridische kaders, maar bij het uitvoeren van een DPIA zal deze afweging in veel gevallen ethische vraagstukken opwerpen. De vraag of een inbreuk proportioneel is, zal vanuit het juridisch kader aan de orde komen, maar is in zichzelf een ethisch vraagstuk (wat is proportioneel? Hoe meet je dat?).
Er zijn ook ethische vragen die wellicht niet of minder direct vanuit het juridische kader naar voren komen, maar die je wel wilt meenemen in de afweging. Welke impact heeft het middel op de maatschappij? Wordt er niet een bepaalde groep buitengesloten (bijvoorbeeld digibeten)? Wanneer bestempel je een middel eigenlijk als effectief? De keuzes die gemaakt worden zijn waardegeladen en nooit ‘neutraal’. Hierdoor is het uitvoeren van een DPIA dan ook niet een louter juridische exercitie, maar bij uitstek een middel om stil te staan bij de ethische belangen die er spelen. Maar hoe implementeer je deze ethische belangen nu in een DPIA of het DPIA-proces?
DPIA’s uitbreiden met ethische vragen
Doordat een DPIA geen vast format kent, kan de organisatie ervoor kiezen om een DPIA en het DPIA-proces zo vorm te geven dat het aansluit bij de ethiek van de organisatie. Hieronder doen wij een paar suggesties:
- Formuleer ‘check’-vragen die aansluiten bij de kernwaarden van de organisatie. In hoeverre raken de risico’s die met de verwerking gepaard gaan aan die kernwaarden? Wat kan er gedaan worden om vanuit de kernwaarden te handelen?
- Richt een functie of rol in die betrokken kan worden bij ethische afwegingen, zoals een (data-)ethicus of een ethische commissie. Zorg er voor dat in het DPIA-proces is opgenomen dat de ethicus of de commissie in bepaalde gevallen om een advies wordt gevraagd. Neem bijvoorbeeld op dat in het geval van profilering, de ethicus altijd de selectiecriteria beoordeelt.
- Zorg voor nauwkeurigheid in het onderscheiden en formuleren van de noodzaak, het middel (de voorgestelde verwerking) en het doel dat men er mee wenst te bereiken. Dit helpt de belangen beter in kaart brengen en daarmee de weging van de subsidiariteit en proportionaliteit.
- Bespreek (geregeld) met betrokkenen bij de DPIA ethische vragen ten aanzien van gegevensverwerking. De eventuele risico’s die uit zulke gesprekken naar voren komen kunnen in de DPIA worden opgenomen, opdat de verantwoordelijke deze kan meenemen in de uiteindelijke afweging.
- Raadpleeg betrokkenen (om wiens vrijheden en rechten het ten slotte gaat) tijdens de stakeholdersanalyse. Opdat niet alleen risico’s technisch worden benaderd maar ook het ervaren risico of gevoel van veiligheid goed vertegenwoordigd wordt. Dit kan door middel van klantonderzoeken of het raadplegen van belangenverenigingen. Deze mogelijkheid is ook verankerd in artikel 35, lid 9 van de AVG.
- Heroverweeg met regelmaat de gemaakte DPIA. De maatschappij verandert, de context, de technologie en daarmee de risico’s. Houdt continu in de gaten of een DPIA heroverwogen dient te worden en richt hier processen voor in.
Conclusie
Steeds meer organisaties zijn op zoek naar de juiste ethische afweging bij het gebruik van data. Een DPIA is een uitgelezen instrument om deze afweging in te implementeren. Dit instrument stelt je als organisatie immers in staat om de verschillende belangen die er spelen tegen elkaar af te wegen en indien nodig/mogelijk mitigerende maatregelen te nemen. Maar zaligmakend is het niet. Het is een haakje om data-ethiek (alvast) een plek te kunnen geven, maar zeker niet de enige die nodig is om tot een verantwoorde omgang met data te komen.
Auteurs:
- Menno Verhaar; privacy-jurist SVB
- Piek Visser-Knijff; data-ethicus Filosofie in actie