Hulp bij DPIA's

Categorie: Informatiebeveiliging en Privacy | Leestijd: 2 min. | Deel dit artikel

EHBD? Eerste Hulp bij DPIA’s!
De AVG en met name de DPIA heeft bij veel organisaties het imago van ‘verboden-om-te verwerken’ wetgeving. Neem je de AVG door, dan merk je al gauw dat dit onjuist is. De AVG is meer een ‘bypass’ wetgeving, waar risico’s (oftewel vernauwingen) verkleind worden door oplossingen te bieden; in de meeste gevallen is het mogelijk om persoonsgegevens te bieden zolang je maar aan de eisen van de AVG voldoet. Een van deze eis is het uitvoeren van een DPIA op risicovolle verwerkingen, applicaties e.d.

‘Kan-niet-mag-niet’
De AVG heeft bij veel mensen het imago van ‘kan-niet-mag-niet’ wetgeving. Maar als je de wet leest, dan zal je merken dat dat imago onterecht is. De AVG is bedoeld als rotondewetgeving, niet als stoplichtwetgeving. Veel (maar helaas niet alle) artikelen in de AVG zijn risk-based. Op zich mag je in de meeste gevallen persoonsgegevens gewoon verwerken; als je maar je huiswerk doet. Hoe hard je qua huiswerk je best moet doen, is afhankelijk van de risico’s voor met name de betrokkene. We hebben ons dat beroerde imago van de AVG met elkaar aangepraat, niet in de laatste plaats omdat we die risico’s niet goed begrijpen. Niet zelden laten organisaties zich eerder leiden door de (vermeende) risico’s voor zichzelf, zoals boetes en imagoschade, dan door de risico’s voor de betrokkene.

Het resultaat? Niemand durft meer iets zonder AVG-check. Hoofdzaken worden daarbij niet onderscheiden van bijzaken. En dus wordt er bij iedere mogelijkheid DPIA gedaan. Worden beveiligingsincidenten pro forma als datalek bij de AP gemeld. Worden templates voor overeenkomsten en DPIA’s gebouwd waar niet van afgeweken wordt terwijl dit soms noodzakelijk is. En worden privacy officers en FG’s benoemd in organisaties waar nauwelijks serieuze privacy problemen te verwachten zijn.

Artikel 26 AVG
Maar de ergste loten aan de boom van de AVG-onzin zijn wel de ‘verwerkersovereenkomst-voor-het-geval-dat’ (ja, die bestaan echt!) en de gegevensleveringsovereenkomst bij noodzakelijke gegevensverstrekkingen aan derden waarbij eisen worden gesteld aan andermans AVG-compliance (aan die flauwekulovereenkomst zou ik een hele post kunnen wijden, maar tipje van de sluier: lees voordat je zo’n gegevensleveringsovereenkomst sluit artikel 26 AVG nog eens goed en kijk dan of je die overeenkomst nog steeds wil).

“Cover-your-*ss-compliance” noem ik dat gedrag en veel organisaties hebben daar last van. De Schaal van Erg kan helpen om dat gedrag te voorkomen.

Deel dit artikel