DPIA: middelmatig doel of doelmatig middel?

Imagoprobleem

Data protection impact assessments (DPIA’s) kampen met een groot imagoprobleem: ze zouden vol open deuren en juridisch gepriegel staan, veel tijd kosten en eigenlijk vooral ‘een moetje’ zijn. Terwijl DPIA’s juist voor mensen zoals u -bestuurders in het openbaar bestuur- hartstikke handig zijn bij het nemen van besluiten over verwerkingen waar persoonsgegevens in voorkomen.

Aan de hand van een goed opgestelde DPIA kan ook iemand die verder afstaat van de juridische en technische details precies uitleggen:

• Wat de verwerking inhoudt,
• Hoe de verwerking juridisch onderbouwd wordt,
• Welke risico’s de verwerking met zich meebrengt en hoe deze kunnen worden gemitigeerd tot een acceptabel niveau,
• Wat de impact is op de rechten van betrokkenen,
• Hoe de opbrengst van de verwerking opweegt tegen de negatieve impact op rechten van betrokkenen en
• Waarom deze verwerking niet op een andere manier met minder gegevens dezelfde resultaten kan behalen

Kortom: u kunt met een DPIA de rechtmatigheid, proportionaliteit en subsidiariteit van een verwerking aantonen. Andersom werkt het ook: als in de DPIA de rechtmatigheid, proportionaliteit en subsidiariteit van een verwerking niet wordt aangetoond, zou u wel gek zijn deze te laten starten.

Het lastige van een DPIA zijn de vele kwesties die niet standaard binnen de DPIA opgenomen staan maar die wel relevant zijn voor het beoordelen van de verwerking. Zoals bijvoorbeeld:

• Wie wil deze verwerking eigenlijk? Waar is dat besloten?
• Welke rol speelt de DPIA in de verdere besluitvorming over deze verwerking? Wie moet er nog akkoord gaan en in welke volgorde?
• Welk probleem lost deze verwerking op en is dit wel de beste oplossing?
• Zouden we niet eerst andere problemen moeten oplossen?
• Hoe verhoudt deze verwerking zich tot de andere lopende en geplande verwerkingen?

Het zou zonde zijn als u een aantal geweldige DPIA’s laat maken maar uw volledige ict-capaciteit op gaat aan het ‘inregelen’ van de plannen van uw voorganger. Of wanneer er helemaal geen geld is om de nieuwe verwerking te bekostigen. Of als blijkt dat niet ú maar uw collega erover moet beslissen.

Een DPIA is dus geen doel op zich maar een middel om het doel te kunnen bereiken. Eerst vaststellen dat de verwerking nodig is en vervolgens aan de hand van een DPIA besluiten of u de verwerking met een gerust hart kunt starten. Anders gezegd: is alles op orde zodat startbekwaam met de verwerking kan worden aangevangen?

Startbekwaam: eerst afrijden

Als voorbeeld van ‘startbewaam zijn’ wordt vaak het rijbewijs genoemd. Iemand met een rijbewijs wordt geacht de regels en de auto goed genoeg te kennen om verantwoord aan het verkeer deel te nemen. Ook mét een rijbewijs op zak kan iemand uit de bocht vliegen. Dat snappen we, en toch vinden we het rijbewijs belangrijk.

Maar let op: een DPIA is niet hetzelfde als het rijbewijs!! Een DPIA is eerder het rijexamen, en u als eindverantwoordelijke bent de examinator die beslist of de verwerking een rijbewijs krijgt en mag starten. Op basis van wat iemand heeft laten zien, maakt u als examinator binnen bestaande kaders een beslissing.

Het rijexamen is belangrijk, maar niet het enige onderdeel van de queeste naar een rijbewijs. De context doet ertoe. Een kandidaat die de sterren van de hemel rijdt, alle verrichtingen netjes uitvoert en de auto op haar duimpje kent, en net voor de examinator haar wil faciliteren meldt dat ze 15 jaar oud is krijgt tóch geen rijbewijs. Haar leeftijd doet niets af aan hoe goed ze heeft gereden, maar het rijexamen is in z’n geheel zinloos.

Zo is het ook met context bij een DPIA. Waarom een hele DPIA doorlopen over een verwerking waarover u nog helemaal niet besloten heeft dat deze verwerking prioriteit heeft boven andere geplande verwerkingen? 

Voordat men bij u komt afrijden, mag u best eisen dat de MT-leden en projectleiders eerst hun theorie hebben gehaald en volwassen genoeg zijn om de verwerking aan te kunnen. Andersom kunt u als bestuurder de organisatie helpen door duidelijke kaders te hanteren en inzichtelijk te maken hoe u tot afwegingen komt.

Is een DPIA voor u een middel om de wethouder in handen te geven wanneer zij verantwoording aflegt aan de Raad? Of is een DPIA een noodzakelijke tussenstap in de besluitvorming door het gemeentelijk MT? Of allebei?
En wie besluit uiteindelijk tot de start van de verwerking? Is dat het gemeentelijk bestuur? En welke rol heeft de gemeentesecretaris bij een DPIA? Deze vragen roepen vast al meer reactie op dan de inhoud van de DPIA, wat het belang van de context onderstreept.

Als u de DPIA een stom, onhandig en duur instrument vindt, is het misschien tijd om eerst vast te stellen welke plaats een DPIA heeft in het afwegings-, verantwoording en/of besluitvormingsproces. Dan kan het zomaar veranderen van een middelmatig doel naar een doelmatig middel.