Privacy at risk: hoe kan een DPIA of gegevensbeschermingseffectbeoordeling helpen?

Kan politie biometrische gegevens gebruiken om iemand te identificeren? Mag de telecomwinkel AI gebruiken om credit scores toe te kennen aan een klant?

Wanneer je deze vragen in een publiek debat gooit, kom je snel tot verschillende meningen. De technologie-adept zal enthousiast klinken, de ethicus wat sceptischer. Hoe kunnen we het debat voeren en de discussie beslechten? DPIA to the rescue!

Vierstappenplan als kern van een DPIA

De General Data Protection Regulation (GDPR) biedt handvaten om de discussie op een gestructureerde manier te voeren. In essentie hanteert het daarbij een 4-stappenplan die je doorheen de discussie begeleidt:

Stap 1: Geef op een overzichtelijke, schematische manier weer op welke manier gegevens worden verwerkt en de technologische componenten samenwerken. Zo krijgen alle partijen een duidelijk begrip en inzicht hoe het systeem werkt. Een verkeerd begrip van technologie stimuleert het over- of onderschatten van eventuele risico’s of opportuniteiten.

Stap 2: Vraag je af in welke mate het noodzakelijk is om deze technologie in te zetten en wat je alternatieven zijn. Is het nodig dat politie een massa aan mensen identificeert via biometrie om slechts één misdadiger op te sporen? Is er een alternatieve manier om de financiële haalbaarheid van een product of dienst voor iemand in te schatten?

Stap 3: Zijn er nadelen, naast alle voordelen? Is er een risico bijvoorbeeld op een verkeerde identificatie en is dat risico eerder waarschijnlijk dan onwaarschijnlijk? Kan het zijn dat een klant van de telecommaatschappij onterecht wordt uitgesloten van een bepaalde dienstverlening?

Stap 4: Kan je de nadelen beperken door maatregelen te nemen? Bijvoorbeeld, kan je risico’s op identiteitsdiefstal bij een biometrische installatie beperken door een betere beveiliging? Of helpt het als je de telecomklant informeert over de eventuele controle op credit scores?

Vierstappenplan in praktijk omzetten

Dit 4-stappenplan is de kern van een gegevensbeschermingseffectbeoordeling of kortweg DPIA. Benieuwd hoe je hiermee aan de slag kan gaan? We leggen het graag uit tijdens onze praktijksessie DPIA’s aan de hand van een concreet voorbeeld.

Ontdek hier de opleiding GDPR impact assessments: DPIA & DTIA.