Als procesontwerper, engineer of procesuitvoerder ben je mentaal toegerust om een proces goed te ontwerpen en uit te voeren. Maar denk je wel goed genoeg na over wat er tijdens dat proces met jullie data kan gebeuren? Het is soms lastig om je voor te stellen dat verwerkte gegevens ook kunnen worden misbruikt of in een ander proces terecht kunnen komen. Toch is dit wat er in de praktijk soms wel degelijk gebeurt. Het is daarom belangrijk om hier nog eens extra aandacht aan te besteden. Wie aast er op jullie data? In dit artikel deel ik de stappen die je kunt nemen om deze vraag te beantwoorden en tot goede maatregelen te komen.
Te weinig aandacht voor de risico’s voor betrokkenen
Om de mogelijke risico’s van een gegevensverwerking met een hoog risico inzichtelijk te maken wordt vaak gekozen voor een Data Protection Impact Assessment (DPIA) als instrument. Het hoofdstuk over identificatie en beoordeling van risico’s is in DPIA-rapporten echter vaak wat mager. Bovendien worden in heel wat rapporten alleen compliance fouten opgenomen en wordt niet gerept over risico’s voor de rechten en vrijheden voor de betrokkenen.
Ook Privacy-by-Design-analyses richten zich vaak alleen op maatregelen en architectuur, maar missen een vastlegging van mogelijke schendingen en wat deze kunnen betekenen voor betrokkenen.
Het is blijkbaar lastig om je te verplaatsen in de leefwereld van de betrokkenen.
Zo krijg je inzicht in de mogelijke risico’s
Stap 1: Wat is beschermenswaardig?
Probeer eerst helder te krijgen welke personen of groepen van personen beschermd moeten worden. Hebben deze bijzondere kwetsbaarheden? Wat voor soort gegevens en informatie over het gedrag van deze personen worden er verwerkt?
Stap 2: Met welke actoren moet je rekening houden?
De volgende stap is om vast te stellen wie belangstelling voor deze gegevens zou kunnen hebben. Met welke actoren moet je rekening houden? Wat is steeds het motief en de kracht van die actor? De actoren die iets met je data willen doen hoeven overigens geen criminelen te zijn. Ook zonder crimineel motief kan ongewenst gebruik plaatsvinden.
Tip: Jason Cronk geeft in het boek ‘Strategic Privacy by Design’ een uitgebreide suggestielijst als hulpmiddel bij deze oefening.
De actoren kunnen in drie categorieën worden verdeeld:
Mensen
De motieven van mensen om wat met jullie gegevens over en van andere mensen te doen te doen liggen meestal bij:
- Geld
- Wraak en haat
- Controle
- Curiositeit, nieuwsgierigheid
Vragen die interessant zijn om te beantwoorden:
- Welke actoren zouden belangstelling hebben voor gegevens van personen waar jullie mee te doen hebben?
- Komt de actor uit de eigen organisatie, uit de buurt van de organisatie, uit de buurt van de betrokkene of uit Verweggistan?
- Is de actor een eenling, een amateur crimineel (hacker) of een professionele crimineel?
- Wat is de toegang van die actor tot de informatie van de betrokkene?
- Hoe sterk is het motief en hoeveel moeite is de actor bereid te doen?
Bedrijven
De motieven van bedrijven om wat met jullie data te doen liggen meestal bij:
- Geld
- Concurrentievoordeel
Vragen die interessant zijn om te beantwoorden:
- Moet er rekening worden gehouden met een klein bedrijf, groter bedrijf, multinational of big tech (bijv. Facebook, Apple, Amazon, Microsoft, Google)?
- Heeft zo’n type bedrijf een belang?
- Is dat motief sterk genoeg?
- Hoe dicht zit dat bedrijf op de gegevens?
Overigens kan je je eigen bedrijf ook als actor zien, als je het risico op function creep met nadelige gevolgen reëel acht. In die situatie worden de gegevens voor een heel ander doel gebruikt, met mogelijk nadelige gevolgen voor de rechten en vrijheden van betrokkenen.
Overheden
De motieven van overheden om wat met jullie gegevens te doen liggen meestal bij:
- Wetshandhaving
- Controle
- Repressie
- Spionage
Dit hoeft niet ongeoorloofd te zijn, maar in de analyse moet wél naar voren komen of er belangstelling kan bestaan voor die gegevens. De volgende stap is dan om te beslissen hoe daarmee om te gaan.
Als een parkeergarage kentekens gaat scannen dan is het interessant voor de Belastingdienst om die te vorderen. Dan kun je kiezen om dat te accepteren of om geen kentekens te scannen. Maar er kan ook voor een PbD-oplossing worden gekozen, waarbij die kentekens wél voor het eigen proces worden gebruikt, maar niet worden opgeslagen. Waardoor ze dus niet vorderbaar zijn.
Ook binnen overheidstoepassingen moet rekening worden gehouden met function creep.
Stap 3: Opstellen lijst met actoren
Vanuit de actorenanalyse kan een lijst worden opgesteld van actoren met mogelijke schendingen. Bespreek met elkaar of dit reële risico’s zijn. Factoren hierbij zijn:
- Hoe groot is het motief?
- Hoe dicht staat de actor op de gegevens?
- Wat voor middelen heeft die actor en dus wat voor kracht?
Stap 4: Scenario’s
De volgende stap is om scenario’s op te stellen. Dit zijn korte verhaaltjes over hoe die actor dan te werk gaat, hoe de eigen organisatie daarop al dan niet weerstand biedt, op hoeveel betrokkenen dat effect heeft en wat de gevolgen kunnen zijn voor die betrokkenen.
Die scenario’s zijn vervolgens bruikbaar voor:
- Bespreking en besluitvorming rondom de omgang met het risico
- Analyse van de effectiviteit van de maatregelen
- Keuze van benodigde maatregelen
- Bewustwording bij medewerkers van wat beschermd moet worden (en waartegen) en wat de mogelijke gevolgen zijn voor de betrokkenen
Tot slot
Over risicoanalyses zijn boeken volgeschreven. Dit artikel geeft wat handvatten om naar actoren te kijken die iets met jullie persoonsgegevens zouden willen doen. Hiermee kunnen nog niet onderkende risico’s naar boven komen. Vanuit die analyse volgt de volgende stap: wil je die risico’s voorkomen en zo ja, hoe?
Ben je op zoek naar ondersteuning bij deze stappen? Onze consultants staan voor je klaar.
