Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming van kracht. In aanloop naar die datum deden overheden en andere organisaties hun best om tijdig te voldoen. Nu, vijf jaar na deze datum, weten we dat het voldoen aan de AVG geen kwestie van een checklistje is, maar dat het een continu proces is dat nooit af is. Voldoen aan de AVG is geen doel op zich, maar een middel dat helpt om zorgvuldig met persoonsgegevens om te gaan. Het toepassen van de principes en uitgangspunten van de AVG en daarbij laten zien wat je doet en welke afwegingen daaraan ten grondslag liggen, zijn daarbij essentieel.
Geen checklist
Rondom de inwerkingtreding van de AVG is er veel aandacht uitgegaan naar het inrichten van een aantal basiszaken die vereist zijn, waaronder:
- het aanwijzen en positioneren van een functionaris gegevensbescherming;
- een verwerkingsregister opstellen;
- verwerkersovereenkomsten afsluiten;
- de nodige awareness trainingen in de organisaties.
Belangrijke zaken, omdat deze elementen de basis vormen om op een juiste en effectieve manier invulling te geven aan de AVG. Toch blijkt in de praktijk dat veel organisaties deze basis nog niet (voldoende) op orde hebben.
Nieuwe technologie
Tegelijkertijd staan overheidsorganisaties te popelen om aan de slag te gaan met nieuwe technologische ontwikkelingen, bijvoorbeeld op het gebied van kunstmatige intelligentie, datagedreven werken en algoritmen. Deze brengen bovendien ook nieuwe uitdagingen met zich mee als het gaat om de AVG en gegevensbescherming en deze komen boven op de eerder genoemde uitdagingen. Wat doe je in die context op het gebied van profilering, dataminimalisatie en doelbinding? Bij al deze antwoorden speelt transparantie bovendien een essentiële rol, om zowel organisaties als burgers mee te nemen in wat er met persoonsgegevens gebeurt.
Dialoog
Als we de basis nog niet op orde hebben, hoe verwachten we dan grip te kunnen krijgen en houden op technologie waarvan we de mogelijkheden nu nog niet eens kunnen overzien? Het begint in elk geval met de dialoog over de technologie en de implicaties ervan. Vanuit ethisch perspectief zijn er inmiddels mooie instrumenten ontwikkeld om deze dialoog op een gestructureerde manier te kunnen voeren. Denk hierbij aan instrumenten als DEDA, IAMA en de Aanpak Begeleidingsethiek. Deze helpen om stapsgewijs en expliciet rekening te houden met de verschillende belangen en de afwegingen die komen kijken bij het toepassen van technologie in context. Daarbij blijven ook DPIA’s een buitengewoon waardevol instrument om specifieke gegevensverwerkingen onder de loep te nemen en risico’s in beeld te brengen.
Voor zowel technologie als gegevensbescherming geldt dat het geen kwestie van kunnen, maar een kwestie van willen moet zijn. Wat willen wij als maatschappij? Wat wil de overheid? Wat wil de burger? En hoe kunnen we al die belangen en verlangens op een zorgvuldige en gebalanceerde manier met elkaar verenigen? Ik hoop dat de komende 5 jaar van de AVG in het teken staan van het voeren van de juiste dialoog, waarin we met elkaar op zoek gaan naar wat we willen, duidelijke afspraken maken over wat we doen (en waarom) en daar transparant over zijn.
Meer weten?
Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met Wouter Le Febre, 06 55 29 77 09 of w.l.febre@telengy.nl.