De valkuil van kuddegedrag voor privacy | Audittrail
De valkuil van kuddegedrag voor privacy
14 april 2022 

De valkuil van kuddegedrag voor privacy

Waarschijnlijk kent iedereen de uitspraken ‘beter goed gejat dan slecht bedacht’ en ‘je hoeft het wiel niet zelf opnieuw uit te vinden’. Op het gebied van software en applicaties zegt het eigenlijk; zolang genoeg andere organisaties applicatie x ook gebruiken, dan moet het wel een ‘best practice’ zijn en kunnen wij het ook gebruiken.

Als consultants horen wij vaak deze redenering. Op zich is dit een logische gedachte, want er is toch een reden dat andere organisaties die software en applicaties zijn gaan gebruiken. Er is alleen één probleem met deze redenering; het is een drogreden en dat baart mij zorgen.

Als privacy consultant voer ik vaak een Data Protection Impact Assessment (DPIA) uit om te beoordelen of een applicatie niet onevenredige inbreuk pleegt op de privacy van de betrokkenen. DPIA’s zijn voor bepaalde soorten gegevensverwerkingen verplicht, en vaak start een DPIA dan ook in opdracht van een oplettende Functionaris Gegevensbescherming of een soortgelijke rol.

Voordat ik een DPIA start, wil ik altijd eerst een gesprek inplannen met de zogenoemde ‘projectverantwoordelijke’, oftewel degene die de software, applicatie of andere manier van verwerking wil gaan toepassen in de organisatie. In dit gesprek vraag ik naar de reden waarom er bijvoorbeeld juist voor deze applicatie is gekozen. Hierbij is het antwoord maar al te vaak; “omdat organisatie XXX het ook gebruikt en er tevreden mee is”.

Wanneer ik dit antwoord krijg, is mijn vervolgvraag of de projectleider toevallig weet of deze organisatie XXX een DPIA heeft uitgevoerd. Het antwoord blijft me vaak verschuldigd. Hierbij wil ik wel benadrukken dat ik de projectleider niet beschuldig voor onbekwaam handelen. Privacy komt vaak niet als eerste bij een groot deel van de medewerkers op. Vaak is de awareness ook laag, helemaal als privacy (nog) niet behoort tot de dagelijkse werkzaamheden.

Toch wil ik wel een antwoord krijgen op mijn vraag. Daarom heb ik uit interesse wel eens een onderzoek gedaan en nagevraagd bij organisatie XXX in hoeverre ze rekening hebben gehouden met privacy bij de aanschaf van de applicatie. Steeds kreeg ik hetzelfde antwoord; ‘Nee, maar wij hebben deze applicatie aangeschaft, omdat organisatie YYY en organisatie ZZZ het ook gebruiken en tevreden zijn’. Bij de 8e (!) doorverwijzing naar een organisatie was het eindelijk raak. Vol goede moed begon ik aan mijn telefoongesprek en stelde ik mijn vraag. De organisatie had een DPIA gedaan. ‘Maar’, zei de organisatie, ‘we hebben zelf een DPIA gemaakt en eigenlijk weten we helemaal niet zo goed hoe dat moet, dus we twijfelen aan de kwaliteit van onze conclusie’. Hierna ben ik mijn zoektocht gestaakt. Iedereen gebruikt applicatie x, maar niemand heeft echt rekening gehouden met privacy.

Over het resultaat van de DPIA kan ik kort zijn. Het is positief of negatief. Onlangs heb ik een negatief advies gegeven, omdat er te veel risico’s waren die niet opgelost konden worden. En een negatief advies wordt niet zomaar gegeven. De Functionaris Gegevensbescherming en ik zijn natuurlijk niet blij met het resultaat, we willen het liefst groen licht kunnen geven en iedereen ondersteunen in hun werk. Toch zijn we wel ontzettend opgelucht dat de DPIA is uitgevoerd, omdat de risico’s bekend zijn geworden en de keuze op basis van deze uitkomsten is gemaakt en we hiermee erger hebben voorkomen.

Ik wil nog even terugkomen op de eerdergenoemde uitspraken aan het begin van dit artikel. ‘Beter goed gejat dan slecht bedacht’ en ‘je hoeft het wiel niet zelf opnieuw uit te vinden’ betekent in dit geval hetzelfde als: ‘Als er een schaap over de dam is, volgen er meer’. Mocht je nou denken, dit zal mij nooit overkomen, dan wil ik je graag wijzen op nieuwsartikelen over de gevaren van sociale media.

Pas daarom op met het volgen van anderen en bij twijfel, raadpleeg je Privacy Officer of Functionaris Gegevensbescherming!

Heb je toch wel interesse om de software aan te schaffen omdat organisatie XXX dat ook doet? Neem dan contact met ons op, wij helpen je graag met het maken van de juiste keuze door middel van het uitvoeren van DPIA. Zo kom je erachter of het op privacy gebied ook bij jouw organisatie past.

Kom je er helemaal niet meer uit? Laat het ons gerust weten. Ook hierbij helpen wij je graag.

Over de schrijver
Dylan Schreurs is Consultant Informatiebeveiliging & Privacy bij Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance.
Reactie plaatsen