Dataprotectie: van risico naar usp

"De Algemene verordening gegevensbescherming (AVG) is een kans die voor het grijpen ligt". Dat zei Willem de Paepe van Capgemini, vorig jaar naar aanleiding van een onderzoek dat het consultancybureau uitvoerde onder zesduizend consumenten en duizend professionals in acht landen. De AVG staat natuurlijk te boek als kans om gegevensbescherming naar een hoger plan te tillen. Maar volgens Capgemini bieden de nieuwe privacyregels organisaties ook uitgelezen kansen om consumentenvertrouwen te vergroten. Consumenten zijn namelijk loyaler aan organisaties die dataprotectie serieus nemen, blijkt uit het Capgemini-onderzoek.

Verbeterkansen

Er is inmiddels een groeiend bewustzijn van de verschillende positieve impacts die de AVG kan hebben op de processen en prestaties van organisaties. De implementatie van de AVG kan bijvoorbeeld een manier zijn om de bestaande organisatie even flink op te schudden en vervolgens verbeteringen door te voeren. Is de e-maildatabase flink geslonken? Dat kan een mooie opstart zijn voor een nieuwe marketingaanpak. Zijn de procedures ingericht om vragen en verzoeken van betrokkenen af te handelen? Dat geeft mogelijk een impuls aan de verbetering van marketing, sales en service. Koplopers ontwikkelen - met dank aan privacy by design - zelfs speciale producten en diensten waarmee ze dataprotectie als unique selling point inzetten.

De vraag is dan natuurlijk: hoe kunnen privacyrisico's zodanig worden beperkt dat dataprotectie een usp wordt? Tijdens de Dag van de Privacy Officer op 6 en 7 juni komt deze vraag regelmatig aan bod. Het staat in ieder geval vast dat privacy officers (en andere professionals die zich bezighouden met AVG-compliance) al slim gebruik maken van praktische tools en structureel beleid.

DPIA's

De Data Protection Impact Assessment (DPIA) is een veelgebruikt instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De analyse maakt het vervolgens mogelijk om maatregelen te nemen om de gesignaleerde risico’s te verkleinen. Onder de AVG is een DPIA in een aantal gevallen verplicht. Maar ook in andere gevallen kan een DPIA uiterst zinvol zijn. De assessment geeft vroegtijdig inzicht in risico's. Dit voorkomt dat dataprotectie in een latere fase van een ontwikkel- of implementatieproces als een remmende kracht werkt: de risico's kunnen op basis van een DPIA namelijk al vanaf de start worden ingecalculeerd en verminderd. 

Er is geen vaststaande methode om DPIA’s uit te voeren. De AP benoemt wel een aantal basisvereisten waaraan een DPIA moet voldoen en is er een checklist om te bepalen of een DPIA noodzakelijk is. Daarnaast adviseert de AP om de uitkomsten van een DPIA, of een samenvatting daarvan, te publiceren. Dergelijke transparantie is zeker een goed idee voor organisaties die zich met onderscheidend privacybeleid willen profileren.

Risicogericht werken

DPIA's passen naadloos in een risicogebaseerd privacybeleid, dat AVG-compliance een stevige plek geeft in de planning- & controlcyclus van een organisatie. Zo kunnen DPIA's worden opgenomen in het risk control framework dat voorziet in verschillende testen en toetsen om risico's te bepalen, benoemen en managen.  

Een risicogerichte werkwijze besteedt ook aandacht aan risicomanagement na incidenten. Na een datalek of beveiligingsincident kan een DPIA worden gebruikt om na te gaan wat er precies aan de hand is. Soms blijken er achter het gemelde incident dan verschillende zaken niet in orde te zijn. De DPIA helpt om de risico’s te beschrijven en het beleid zo nodig aan te vullen met maatregelen om die verder te verkleinen. 

Meerwaarde

DPIA's en een risicogerichte privacystrategie helpen om risico's rond dataprotectie beheersbaar te maken. Dat is van belang voor AVG-compliance - en dus voor het verminderen van het risico op een boete of andere sanctie van de Autoriteit Persoonsgegevens. Maar risicomanagement kan de business uiteindelijk ook meerwaarde opleveren en privacy doen uitgroeien tot een usp.