Privacy in de praktijk 3: Wat moet ik als FG met niet-correcte DPIA’s
De derde aflevering in deze podcastserie Privacy in de Praktijk gaat over onacceptabele DPIA’s. Wat kun je daar als FG nu mee doen? Daarover gaan FG Sergej Katus (Privacy Management Partners) en FG Marie-José Bonthuis (ook te beluisteren in aflevering 1) met elkaar in gesprek, onder leiding van host Robin Rotman.
Privacy in de praktijk 3: Wat moet ik als FG met niet-correcte DPIA’s
DANCEMUZIEK
SERGEJ: Ik zie een DPIA. Keur ik 'm goed, keur ik 'm af?
En hoe kan ik de organisatie daar verder mee helpen?
ROBIN: Welkom bij Privacy in de praktijk. Ik ben Robin Rotman.
In deze podcast van Centrum Informatie- beveiliging en Privacybescherming
bespreek ik met Functionarissen Gegevensbescherming
en andere deskundigen de dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast: Sergej Katus, FG bij verschillende gemeentes.
Hij schreef een boekje, of een boek moet ik zeggen
'Hoe ben je FG?' en hij is partner bij Privacy Management Partners.
Even neerzetten, wat doen jullie daar?
-Wij helpen organisaties zoals gemeenten
daarom ben ik gemeente-FG, om goed om te gaan met de AVG.
ROBIN: En, aan de andere kant, Marie-José Bonthuis
privacy- en IT-jurist bij Privacy1
en je bent ook FG bij verschillende organisaties.
Jij kan ook alles eigenlijk, hè?
-Nou, er zijn anderen om dat te bepalen.
MARIE-JOSÉ LACHT Ik vind het leuk dat je het zegt.
ROBIN: Sergej, die DPIA, je komt 'm constant tegen.
Data protection impact assessment. Wat is dat nou eigenlijk voor een ding?
SERGEJ: Ik probeer dat altijd uit te leggen als de Milieueffectentoets
op de digitale leefomgeving, en dat is een hele mond vol
maar eigenlijk stel je daarin de vraag:
wat doet het nou als je hier met deze gegevens aan de slag gaat?
En waarom, en dat is heel letterlijk
wat is het effect van het nemen van beschermende maatregelen?
Kun je daarmee op een maatschappelijk verantwoorde manier
dan met die data wel omgaan?
Dus eigenlijk vergelijk ik het met een filter op de schoorsteen van een fabriek.
Zonder die filter vervuilt de fabriek
en met die filter heb je dus een soort klimaatneutrale
ik noem het dan maar privacyneutrale aanpak.
En in principe mag het dan van de AVG.
ROBIN: En wanneer moet je nou zo'n DPIA uitvoeren?
Ik kan me voorstellen dat je niet elke keer zo'n assessment moet doen, of wel?
SERGEJ: Dat is een beetje een dingetje, want eh...
In mijn optiek bestaat er een misverstand tussen wat er staat in de AVG
wanneer dat verplicht is, maar als je de AVG een beetje snapt
dan merk je ook: eigenlijk is de centrale vraag in de AVG 'wat is passend?'
En je kunt niet aan de AVG voldoen als je niet eerst nadenkt
over 'oké, en wat doet het met de digitale leefomgeving?'
Dus eigenlijk moet je heel vaak een DPIA doen
maar ook weer niet te vaak en dat is ook een dilemma.
Doe je niet te veel? Gemeenten hebben 1600 processen.
Moet je 1600 DPIA's doen? Dan ben je nog wel even bezig.
ROBIN: Volgens mij, als ik m'n gut feeling zou moeten volgen
als je het gevoel hebt 'dit wordt een ingewikkeld verhaal, hier zijn risico's'
dan wil je even die assessment doen.
-SERGEJ: Ja.
SERGEJ: En de assessment kan op de achterkant van een bierviltje
maar dat kan ook in een rapport van 40.000 euro en 40 pagina's.
ROBIN: Wat is de rol van de FG bij de totstandkoming van zo'n DPIA?
Of krijgt hij of zij hem uiteindelijk op zijn of haar bureau?
SERGEJ: Meteen goed om te vermelden dat de FG nooit zelf de DPIA mag doen.
ROBIN: Precies.
-SERGEJ: Hij moet erover adviseren.
SERGEJ: Dus er staat ook in de AVG:
stap naar de FG als je denkt dat het nodig is.
Je gaat aan de slag met een DPIA en dan kan de FG je op weg helpen.
En tegelijkertijd, als die klaar is
dan zou je eigenlijk weer naar de FG toe kunnen stappen om te vragen:
En wat vind je ervan? Is hij nou goed?
ROBIN: Marie-José, toch nog even door hier, om even neer zetten
waar hebben we het over, wat is nou de juridische status van zo'n stuk?
MARIE-JOSÉ: Nou, best wel een belangrijke.
In sommige gevallen is het verplicht om er een uit te voeren
dus daar worden we ook al geholpen door de Autoriteit Persoonsgegevens.
Die heeft een lijst opgesteld van 17 voorbeelden
waar je precies kan lezen op welke soort verwerkingen dit verplicht is.
ROBIN: Kun je wat voorbeelden noemen?
-MARIE-JOSÉ: Ja, zeker.
MARIE-JOSÉ: Het gaat bijna altijd om grootschalige verwerkingen
met een gevoelige component, dus profiling, geautomatiseerde besluitvorming
cameratoezicht, bijzondere persoonsgegevens, biometrie
nieuwe technologieën, dus waar je eigenlijk al van verre aan ziet komen:
wow, nu gaan er wel echt risico's voor de impact van die betrokkenen ontstaan.
ROBIN: En de juridische status, wat voor rechten kun je aan zo'n ding ontlenen?
Of wat betekent dat ding juridisch dan verder nog?
MARIE-JOSÉ: Naast dat het verplicht is
en je dus gewoon een boete kan krijgen als je 'm niet uitvoert, dat is één
denk ik ook dat je vooral de kansen moet benutten.
Dus in plaats van dat je er een moetje van maakt
want 'juridische status, het is verplicht, we moeten dat doen'
maak er ook in die zin zodanig gebruik van dat je de voordelen eruit haalt.
Want het is een ontwerptool, wat Sergej ook al aangaf.
Dus, ja, zonder goede bouwtekening eigenlijk geen goed product.
Dus dat is vaak ook wel wat wordt onderschat.
Het wordt als een verplichte invuloefening gezien.
ROBIN: Ja, want daar gaat het hier over, hè?
Zonder goede bouwtekening... Oké, Sergej.
Jouw organisatie of één van de organisaties waar je FG bij bent
wil iets doen met gegevensverwerking en die voldoen dus aan een van die 17...
En jij krijgt zo'n DPIA voor je neus en je zit dat ding te bekijken en denkt:
jeetje, wat een flutstuk.
Wat is dan het dilemma... ROBIN LACHT
Ik zou gewoon zeggen: Terug naar de tekentafel met dat ding.
SERGEJ: Ja, maar 't heeft ook te maken met de tijd en de energie die erin zit.
Ik bedoel, laat het even waar zijn, ik zei: Het kan een rapport zijn van 40.000 euro.
Nou, er zijn mensen voor 40.000 euro aan de slag gegaan
en die komen dus met iets waarvan ik eigenlijk moet zeggen: Zonde van je geld.
En mijn dilemma is ook: hoe reageer ik daar dan op?
ROBIN: Ja, want ze willen ook iets doen, de organisatie heeft ook een plan
ze willen iets met die gegevens gaan doen, dus er is een belang.
Er zijn misschien strategieën ontwikkeld en dan ligt er een DPIA
en dan zeg je niet zomaar als FG: Terug naar de tekentafel.
Want je wil ook de organisatie helpen om dat plan te verwezenlijken. Zoiets.
SERGEJ: Marie-José zei het heel goed, het is geen invuloefening.
Heel veel mensen denken dat het een rapport is dat je moet hebben.
Nee, het is een denkproces.
Het is een gesprek dat je met elkaar voert over...
Ik kom altijd met hele flauwe voorbeelden, maar het helpt...
ROBIN: Hoe flauwer, hoe beter.
-SERGEJ: Oké.
SERGEJ: Eigenlijk zeg ik: Een DPIA is in feite een plan dat je bedenkt
om veilig aan het maatschappelijk verkeer te kunnen deelnemen.
Dus je gaat als het ware met een auto de weg op
maar ja, wat zou er fout kunnen gaan als je de weg op gaat?
Wat dacht je, bij winterweer, dat je gaat slippen?
Dat je iemand van het trottoir afrijdt, dat heeft dus persoonlijke impact.
ROBIN: Oké, Marie-José, wat kan er allemaal fout gaan aan zo'n stuk?
MARIE-JOSÉ: O, een heleboel. Je kan het als een invuloefening zien
je kan het op het verkeerde proces uitvoeren, dat zie je heel vaak
dat eigenlijk een organisatie-DPIA wordt uitgevoerd.
Dan probeer je eigenlijk veel te veel in één keer te regelen.
Of op een veel te klein ding, je pakt bijvoorbeeld een losse applicatie
of een proces, terwijl je het echt op een hoge-risicoverwerking moet doen.
Ik had vanmiddag ook een gesprek, daar begint het eigenlijk al, hè:
waar voer je 'm op uit, waar hebben we het eigenlijk over?
En dan, wat je ook heel veel ziet
is dat er een hele standaard set aan risico's in worden gezet
en ook een hele standaard set aan maatregelen.
Zo van: nou, dit deden we al, zal hier ook wel goed gaan.
ROBIN: Dan hebben we 'm maar gecoverd of zo.
MARIE-JOSÉ: En dan maak je eigenlijk onvoldoende gebruik van de kansen
om het echt als een denkproces in te zetten.
Dat vind ik wel het grootste risico hiervan.
ROBIN: Nu kan ik me voorstellen, jij bent dus IT- en privacyjurist
je bent FG bij verschillende organisaties
die Sergej Katus is natuurlijk ook een kanon in deze wereld.
Ik kan me voorstellen als jullie dat soort documenten voor je neus krijgen
dat je eerder denkt: dit is niet zo handig, dit is niet zo goed.
Merk je dat je als FG, dat je kennis je eigenlijk een beetje in de weg zit?
Dat andere mensen het zouden accorderen
en jullie zeggen: Dit is gewoon niet goed genoeg, jongens.
MARIE-JOSÉ: Nou ja, die kennis kan je ook juist weer inzetten, hè?
Ik denk dat, als je gewoon op gezette tijden als FG aangehaakt wordt
bij het begin en ergens in het midden en dan aan het einde nog een keer, dan...
ROBIN: Versterk je elkaar.
-MARIE-JOSÉ: Versterk je elkaar.
ROBIN: Wat is jouw ervaring?
-SERGEJ: Ik zeg ook altijd:
aan het begin, in het midden en aan het einde.
Dan hoop je dat ze goed uit de startblokken komen
dan hoop je dat ze halverwege niet zo zijn gedwaald
dat je moet keren uiteindelijk
en aan het eind van de rit zou er een goed product moeten liggen.
En dan kom ik het nog tegen dat het toch weer niet helemaal gelukt is.
ROBIN: Dus dit is al een deel van de oplossing voor dit dilemma.
Wat moet ik als FG als ik zo'n DPIA voor m'n neus heb die niet goed genoeg is.
Eerst even nog concreet, Sergej, kun jij een voorbeeld geven uit je werk
je hebt er misschien wel duizenden inmiddels
waaruit echt bleek: nu zit ik dus hiermee, dit is het dilemma.
SERGEJ: Een van de oorzaken is heel vaak dat een model wordt gehanteerd
van zeer gezaghebbende clubs
alleen wat nou jammer is, is het denkproces wordt niet geprikkeld.
ROBIN: Je bedoelt een model als een soort invuloefening?
SERGEJ: Ja, en ik weet niet of ik nou iets heel schrikbarends zeg
maar een van m'n stellingen is dat een grondslagentoets
niet thuishoort in een DPIA. Dan zeg je: Wat is dat nou weer?
Maar nogmaals, het is een Milieueffectentoets
op de digitale leefomgeving, dus ik ga toch weer de toeslagenaffaire erbij halen.
Had je nou maar in die glazen bol van een DPIA aan de voorkant gekeken
'wat ga je nou doen met die data?'
Dan was je erachter gekomen dat je ouders enorm
als je zomaar begint terug te vorderen in de penarie helpt.
Kijk, dat is waar een DPIA, als het goed is, zicht op geeft.
Dus dan kijk je in de AVG: wat kunnen we eraan doen?
Moeten we misschien werken met informatiekwaliteit?
Moet er menselijke tussenkomst komen?
Dat zijn allemaal maatregelen die in de AVG worden aangereikt.
ROBIN: Ben je het hiermee eens, Marie-José?
MARIE-JOSÉ: Nou, ja, ik kom dat nog weleens tegen
dat ook de grondslag nog wel bediscussieerd moet worden.
Dus dat kan, helemaal als je je doel gaat veranderen.
Dat is namelijk ook een situatie waarin je een DPIA moet doen.
Ik heb een bepaalde verwerking met een bepaald doel
en ineens denk ik: hé, maar dit is ook wel interessant
om voor wat anders te gebruiken. De spreekwoordelijke function creep.
Is een risico voor de betrokkenen en dan moet je wel ook gaan kijken
of dat doel, of daar ook een grondslag voor bestaat.
Ja, en zo niet, dan houdt het op.
-SERGEJ: Ja, ik snap wat je zegt
en dan zie je eigenlijk...
Even nog voor de goede orde, een DPIA is een denkproces.
Ja, oké, maar het is een denkproces in vier stappen.
ROBIN: Ik vind het wel lekker dat jij jezelf steeds interviewt.
LACHEND: Nee, sorry, is flauw.
-SERGEJ: Wat ik bedoel te zeggen:
wat moet je nou doen in een DPIA? De eerste stap in een denkproces is:
Beschrijf nou wat je doet. En dat is het proces en de ICT die erbij hoort.
De tweede stap is: ja maar, wat is nou de informatie
wat moet je weten om dat proces goed te kunnen doen?
Wat is de noodzaak en evenredigheid?
Dus daar kom je erachter dat je naam en adres en BSN nodig hebt
en al dat soort dingen.
-MARIE-JOSÉ: Ook de rechtmatigheid.
MARIE-JOSÉ: Daar toets je ook op.
-SERGEJ: Ja, maar als we...
echt de AVG induiken dan is dat nog...
Want dat zit volgens mij in de derde paragraaf, dat is:
als we daar fouten in maken, kan de rechtmatigheid een probleem zijn.
Dan komen we erachter van... Derde stap is echt praktijkverhalen.
Zo van: dan ga je terugvorderen bij die mensen
en dat is onterecht en dan breng je ze in de penarie.
Dus de derde stap is: mens centraal
en dan moet je met realistische praktijkscenario's...
Niet denken van: ja, maar als de Russen hier binnenvallen
en we worden gehackt... Want hoe waarschijnlijk is dat?
Dat staat ook echt in de AVG, dus wees realistisch
en dan de vierde stap is: oké, en wat gaan we daaraan doen?
Denk aan die auto, wat dacht je van winterbanden, van strooizout
van een slipcursus, dat zijn de beheersmaatregelen.
Die zijn heel praktisch, heel concreet.
En dat zijn de kwaliteitseisen waarmee je tot een verantwoorde aanpak kan komen.
ROBIN: Ik wil even terug naar het dilemma. Marie-José, kun jij een voorbeeld geven
dat je echt dacht: ja, dit is eigenlijk niet zo goed
maar wat ga ik nou doen?
Ga ik 'm terugsturen naar de tekentafel of kunnen we hier nog wat mee?
Ja, dit is er weer zo eentje.
MARIE-JOSÉ: Ja, en een DPIA is ook nooit af, hè.
Dus wat dat betreft is het een iteratief proces.
En ook al is hij dan klaar
je moet ook de doeltreffendheid van wat je hebt bedacht gaan toetsen.
Dus hij moet ook weer een keer terugkomen.
Er zijn altijd nog kansen om verbeteringen toe te voegen.
Maar wat ik zelf ook wel vrij stevig merk
is dat die maatregelen vaak uit de beveiliging worden gehaald.
Vandaar dat ik wel even getriggerd werd op die rechtmatigheid.
En ik vind privacymaatregelen toch wel wat anders dan beveiligingsmaatregelen.
Dat is een heel ander systeem.
Niet dat je dat niet kunt gebruiken, maar het zijn wel twee verschillende dingen.
Bij een DPIA toets je op de impact op de betrokkenen
en bij een risico-inventarisatie kijk je vooral naar de veiligheidsaspecten.
ROBIN: Dat zijn twee verschillende documenten.
MARIE-JOSÉ: Ja, en ik denk dat ze elkaar goed kunnen versterken
maar je moet niet denken dat je met een DPIA een risico-inventarisatie doet.
Dat gebeurt ook nog wel heel veel.
ROBIN: Ja?
-SERGEJ: Ja, heel herkenbaar.
SERGEJ: Ik zeg winterbanden, strooizout en slipcursus, maar de winterbanden
dat is misschien iets waar de CISO van de organisatie veel verstand van heeft
maar de slipcursus, dat is iets wat cultureel is
en gaat over training en bewustwording en dat soort zaken.
Trouwens, ik vind het ook wel goed om te benadrukken
we denken altijd in risico, maar impact is een heel neutraal woord.
Je kunt ook positieve impact hebben.
-ROBIN: Dat mag ook gerust erin staan?
SERGEJ: Ja, dan zeg je eigenlijk: Wat zijn de goede dingen die 't oplevert?
Dat je mensen geld wat ze terug zouden kunnen krijgen of zo, dat ze dat krijgen.
Maar wat kan er mis gaan? Bijvoorbeeld dat ze het geld niet krijgen
waar ze recht op hebben, of dat je gaat terugvorderen
dat je ze dus eigenlijk verkeerd gaat behandelen.
Eigenlijk zit je heel snel meer in de kafkaëske toestanden
die je wil voorkomen dan dat het een privacy iets is.
ROBIN: Oké, de oplossingen. Ik hoor jullie eigenlijk al zeggen allebei
jullie waren dat met elkaar eens: je moet aan de voorkant erbij zijn
je moet halverwege even je snufferd laten zien en aan het einde.
Dus je moet eigenlijk meer betrokkenheid hebben
bij de totstandkoming van het document eigenlijk, hè?
Oké, dan houd je een beetje overzicht.
Maar dan zijn er volgens mij twee scenario's die kunnen plaatsvinden.
Of je krijgt uiteindelijk zo'n stuk op je bureau
en je denkt: terug naar de tekentafel.
Nou, op een of andere manier moet je dat doen
en dat moet misschien op een diplomatieke manier
zodat je iedereen meekrijgt.
Of je denkt: oké, hier valt nog wel wat van te maken.
Dat je zegt: Oké, ik ga je een beetje supporten.
Is dat eerste scenario, dat dat ding terug naar de tekentafel...
Wanneer doe je dat?
Dat is misschien een beetje abstract, maar wanneer is het echt te slecht
om door te gaan, dat je zegt 'nu moet hij terug', en hoe doe je dat dan?
SERGEJ: Nou, eerlijk gezegd heeft dat ook te maken met de organisatie zelf
en hun volwassenheid erin.
Dus ik ben eigenlijk al heel blij dat ze een DPIA doen
ook al vind ik 'm misschien heel slecht.
Maar dat ga ik niet te hard roepen, dan ga ik zeggen...
Iteratief zei jij al, hè? Dan zeg ik: Nou, voor nu heel goed
maar volgend jaar, dan zou ik zeggen doe dan opnieuw
en dan heb ik de volgende tips voor je.
-ROBIN: Aah, oké.
SERGEJ: Als dat nou een vrij snel gemaakte DPIA is
waarbij een formuliertje is ingevuld dat van internet is geplukt
die kan vrij makkelijk terug naar de tekentafel.
ROBIN: Dus je bent pragmatisch, hoeveel energie zit erin, hoeveel geld
wat zijn de belangen, hoe groot is eigenlijk het project?
En de ene keer denk je: nou, hier kan ik wel mee door.
Nu hebben ze zich er makkelijk van af gemaakt met zo'n invuloefeningetje.
SERGEJ: En, kijk, dat zijn ook weldenkende mensen
die daar tijd en energie in steken, dus als ik hen ga vertellen dat ze het fout doen
dan beschadig ik ze op een of andere manier, dan hebben ze een slechte naam.
Dus hoe kun je op een of andere manier die mensen helpen, coachen
en samen met de organisatie zeggen: We moeten wel naar een hoger niveau.
ROBIN: Wat is jouw houding, Marie-José?
-Nou, ik ben wel een stukje strenger.
ROBIN: Jij stuurt ze gewoon terug naar de tekentafel.
MARIE-JOSÉ: Dat niet alleen, ik kijk ook vooral:
kan ik inschatten wat het risico is als deze verwerking doorgaat
zonder dat we aan de knoppen hebben gedraaid?
Want het is een ontwerptool.
Dus hoe groot is de kans dat er door deze slechte DPIA
straks een verwerking start waar eigenlijk het hoge risico hoog is gebleven?
Of je kunt hem gewoon niet goed toetsen.
Ja, en dan zal er toch... Ik heb het in m'n praktijk echt weleens meegemaakt
en dan gaat er toch een voet op de rem totdat...
ROBIN: Een voet op de rem of gewoon opnieuw beginnen?
MARIE-JOSÉ: Dat is vaak hetzelfde.
Want het grootste probleem is misschien niet goed uitvoeren
maar het grootste probleem is misschien dat we te laat worden betrokken
en dat ze zeggen 'controleer 'm nog maar even' op vrijdagmiddag
en morgenochtend gaat hij live.
Ja, dan heb je natuurlijk ook gewoon helemaal geen kans meer.
ROBIN: Oké, maar je zit dus als FG met zo'n situatie.
Je hebt een zekere mate van loyaliteit naar de opdrachtgever
en je bent ook de waakhond in zekere zin.
-MARIE-JOSÉ: Zeker.
ROBIN: Wat is dan je advies aan FG's die hiermee te maken krijgen?
Want jij bent natuurlijk een tijger, weet je wel, en jij durft het
maar ik kan me voorstellen dat niet iedereen dat zomaar durft.
Hoe pak je zoiets nou aan?
MARIE-JOSÉ: Ja, toch wel zo snel mogelijk aan de stakeholders uitleggen
waar het aan schort en dan natuurlijk absoluut in de meewerkmodus.
Ik denk dat het heel schadelijk gaat werken als je zegt van: Stop en doe het opnieuw.
Dan ga je toch wel even in de meewerkmodus
en heel erg proberen te kijken of je boven tafel krijgt
wat er boven tafel moet komen om toch...
Misschien is hij gewoon niet goed ingevuld en valt het eigenlijk wel mee.
Maar wat we moeten voorkomen is dat we met een situatie te maken krijgen
die je bijna niet meer teruggedraaid krijgt.
En daar is het hele middel ook voor bedoeld, je wil privacyproof
je wil geen roet in de ether, dus dan moeten we dat ook niet gaan doen.
Ik heb het helaas een keer meegemaakt, te laat betrokken
we zaten voor livegang en 'kijk ook nog maar even mee'
en ik dacht: o my god, dit gaat niet goedkomen zo.
Dan moet je toch stoppen.
ROBIN: Sergej, tot slot, jij nog wat concrete handvatten
voor mensen die hiermee worstelen?
Je zei net eigenlijk 'benader ze als een klein kind.'
Nu, voor deze keer mag het nog, maar de volgende keer moet het anders.
Ik zeg het een beetje badinerend nu.
-SERGEJ: Het hangt ervan af.
SERGEJ: Ik denk dat het ook goed is, hebben we het over een DPIA
op een bestaand proces? Je kunt niet even de salarisuitbetaling stopzetten.
Als dat de impact zou zijn van jouw interventie.
Of zijn we bezig met iets nieuws bedenken met enorme risico's?
Nou, dan zou ik ook meteen aan de rem trekken.
Dus de tip is vooral: vaar niet al te blind op modellen die je van internet downloadt.
Hoe gezaghebbend het ook is. Begrijp nou de functie ervan.
En de functie ervan is nadenken over 'wat zijn we nou aan het doen?'
En wat is daarvan de maatschappelijke impact
als we dat zonder maatregelen doen?
En dat is een gewetensvraag die je stelt met elkaar.
Als je dat proces in die vier stappen met heel veel gezond verstand doorloopt
en, nog een heel belangrijke tip, ook vooral in gesprek met je doelgroepen
dus ga met je mensen in gesprek.
ROBIN: Dan nog één vraag voor jou, Marie-José:
maakt het nog wat uit of je nou als FG bij een commerciëlere organisatie zit
of dat je bij een overheidsorganisatie zit?
Zie jij nog verschillen in houding?
Of dat het misschien net wat makkelijker is als je voor de overheid werkt
om maar opnieuw te beginnen? Ik kan me voorstellen dat dat makkelijker is.
MARIE-JOSÉ: Wat ik wel zie is dat bij de overheid het vaak om angst
om in de publieke opinie terecht te komen, we doen iets...
Dat is echt een veelvoorkomend geval en dan wordt er naar de DPIA gekeken
en dan is die niet uitgevoerd en dan heb je een publiek probleem.
En bij commerciëlen moet je echt soms gewoon wel stevig in je schoenen staan.
ROBIN: Je voelt dan echt de druk, het gaat hier om knaken...
MARIE-JOSÉ: Innovatie, we willen door en niet te veel last hebben van die privacy
terwijl, ja, het eigenlijk een supermooi middel is om ook de kansen te benutten.
Dat wil ik toch wel even gezegd hebben.
Maar dan moet je wel op tijd aan de bel trekken
en dan wordt het echt een heel tof proces
en heb je aan het einde niet dat probleem dat er aan remmen wordt getrokken
want dat hoeft echt niet.
Als je dat gewoon goed inricht, dan kom je daar echt wel uit.
ROBIN: Het kan gewoon een tof proces zijn.
ROBIN ZUCHT: Gelukkig.
Dank jullie wel, Sergej Katus en Marie-José Bonthuis.
Luister ook de andere aflevering van Privacy in de praktijk terug.
Ga hiervoor naar cip-overheid.nl/uitgelicht.