Marieke Berghuis (Brandeis): ‘Deze stappen neem je om tot een goed datavisiebeleid te komen’
Het hoort erbij. Als je werkt met data, krijg je te maken met juridische en ethische vraagstukken. Hoe ga je daarmee om? Advocaat Marieke Berghuis: ‘Het gaat niet alleen om voldoen aan de wet, maar ook om behoorlijkheid.’
Ja, de privacywetgeving, zoals die is vastgelegd in de Algemene verordening gegevensbescherming (AVG) zit lastig in elkaar. De wet is niet altijd heel concreet. Sterker nog, je moet als ondernemer de wet deels zelf interpreteren en daarbij duidelijk uitleggen waarom je dat zo doet, aldus Marieke Berghuis, advocaat privacyrecht bij bureau Brandeis. Zo bepaalt de AVG dat gegevens niet langer mogen worden bewaard ‘dan nodig’. Of dat je gegevens in principe alleen mag verwerken (lees: opslaan en gebruiken) voor het doel waarvoor je ze hebt verkregen. ‘Ondernemers vinden het invullen van die open normen erg lastig, merk ik. Dat snap ik wel. Ze zorgen voor vragen en dilemma’s waar niet altijd een pasklaar antwoord op is’, aldus Berghuis.
Houvast
Een datavisiebeleid helpt om de juiste juridische stappen te zetten en te voldoen aan de privacywet. ‘Eigenlijk gaat het daarbij om open normen die specifiek worden gemaakt’, zegt Berghuis. ‘Het idee is dat je het document gebruikt als toetssteen bij nieuwe verwerkingen. Het geeft houvast bij juridische en ethische vraagstukken waarmee je als mkb’er of sociale onderneming te maken krijgt als je werkt met data.’ Zo stelde Diversion een datavisiebeleid op, samen met Brandeis, vanuit een wens om juridische richtlijnen vast te leggen. De sociale onderneming wilde vooral haar visie helder maken hoe ze omgaat met data, en wel op een bredere manier dan wat mág.
Hoe kom je tot zo’n datavisiebeleid, en welke stappen zijn daarin te onderscheiden? Berghuis neemt je daarin mee.
Stap: Breng de bandbreedte in kaart
‘Technisch is er veel mogelijk met data. Juridisch zijn er grenzen, en dan is er nog de vraag wat je allemaal wilt. Bij een sociale onderneming ligt die grens anders dan bij een bedrijf als Google, dat niet per se zo min mogelijk data wil verzamelen. Als je bijvoorbeeld met jongeren en kwetsbare groepen werkt, kan ik me voorstellen dat je data zo beperkt mogelijk wil verwerken en kort opslaat en je er bewust van bent dat jongeren snel van gedachten kunnen en moeten kunnen veranderen. Werken met data draait ook om behoorlijkheid, verantwoordelijkheid en ethiek – niet alleen om wat juridisch allemaal mogelijk is.’ Voordat je een datavisiebeleid opstelt, moet je jezelf de volgende vragen stellen. ‘Wat kunnen we technisch, wat mógen we juridisch en vervolgens kun je een beslissing nemen over wat je wil. Elk bedrijf zal hier andere antwoorden op geven.’
Stap: Zoek informatie, lees je in
Voldoen aan de AVG is een klus, maar zeker niet onmogelijk om zelf te regelen, aldus Berghuis. Vaak weten ICT’ers binnen een (groter) bedrijf behoorlijk wat over de AVG. Verder kun je op de site van de Autoriteit Persoonsgegevens of de European Data Protection Board adviezen vinden hoe aan de privacywetgeving te voldoen. Ook brancheorganisaties kunnen je verder helpen met informatie en workshops over de privacywet. ‘Maar als de complexiteit van de bedrijfsvoering groter is, of als een organisatie data driven werkt, is er vaak hulp nodig van een jurist.’
Stap: Word AVG-proof
Als je met persoonsgegevens werkt, moet je AVG-compliant zijn. ‘Uiteraard worden er meer eisen gesteld aan data driven ondernemingen dan aan de slager die één keer per jaar een kerstmailing uitstuurt. De AVG stelt dat je een goede reden moet hebben waarom je als bedrijf persoonsgegevens verwerkt. De verwerkingen voor dat doel moeten op een wettelijke grondslag gebaseerd zijn, bijvoorbeeld de uitvoering van de overeenkomst, een ‘gerechtvaardigd belang’ of toestemming van de betrokkene.’ In het kader van je verantwoordingsplicht moet je een verwerkingsregister opstellen, waarin je onder meer vastlegt welke gegevens je verzamelt, met welk doel en hoelang. ‘Dat register is een van de manieren waarop je als ondernemer laat zien dat je je aan de privacywet houdt.’ Verder moet je een verwerkersovereenkomst sluiten met je leveranciers: voldoen de bedrijven aan wie je jouw diensten uitbesteedt ook aan de privacywet? Is de geheimhouding vastgelegd? Als je persoonsgegevens verzamelt, ben je verplicht om gebruikers hierover te informeren en daarin transparant te zijn. Berghuis: ‘Het is een arbeidsintensief proces om AVG-compliant te zijn. Maar als je de AVG begrijpt, kun je beter bepalen wat je wil als bedrijf en daarin keuzes maken.’
Stap: Wees je bewust van dilemma’s
Werken met data betekent dat je te maken gaat krijgen met lastige vraagstukken. ‘Als de dataverwerking in dienst staat van een bepaald doel of een bepaalde groep, zoek je dan alleen naar partners en partijen die daarbij aansluiten? Als je zelf informatie verzamelt in bijvoorbeeld een schoolklas, mag je die gegevens verstrekken aan een samenwerkingspartner? Welke techniek ga je gebruiken om je doel te bereiken? Als je kunstmatige intelligentie inzet, kan bijvoorbeeld discriminatie in het algoritme sluipen. Hoe bestrijd je dat actief? De kaders voor oplossingen zet je óók in je datavisiebeleid.’ De AVG schrijft voor dat je gegevens in principe alleen mag gebruiken voor het doel waarvoor je ze hebt verkregen. ‘Het is belangrijk dat je de doeleinden goed formuleert en communiceert in je privacystatement. De betrokkene moet niet voor verrassingen komen te staan. Door zo helder en strak mogelijk te communiceren, voorkom je dat. Zo kun je er als mkb’er of sociaal ondernemer expliciet voor kiezen dat je data niet verkoopt aan derde partijen die de gegevens enkel gebruiken voor commerciële doeleinden. In beginsel mag dat niet zonder toestemming. Het is goed om je er bewust van te zijn dat in sommige vraagstukken een spanning kan zitten, en te bepalen hoe je daarmee omgaat.’
Stap: Zet een stuurgroep op
Die spanning kun je zaak per zaak oplossen. ‘Het kost tijd en mankracht om steeds die afweging te maken tussen wat je wil, wat kan en wat mag. In de praktijk van alledag kunnen deze vragen een blok aan je been zijn, en soms voor ongemakkelijkheid zorgen. Maar die dilemma’s helder hebben, leidt wél tot het beste resultaat. Het mooist is om eens in de maand met medewerkers bijeen te komen om over dergelijke kwesties te praten. Je kunt hiervoor een stuurgroep inrichten, een privacyteam, waarin alle afdelingen vertegenwoordigd zijn, van sales en marketing tot projectmanagement en waarin nieuwe ontwikkelingen worden besproken. Zo blijf je continu alert. Privacy is een voortdurend proces, je bent er niet op een bepaald moment klaar mee. De aandacht ervoor en de kennis die je door het proces zal opdoen, zal zich vertalen in goed beleid, en ervoor zorgen dat je als sociale onderneming een voorloperrol kan vervullen.’
Relevante links en handige tools:
- Zo bereid je je als ondernemer voor op de nieuwe privacy wet – https://www.vno-ncw.nl/forum/zo-bereid-je-je-als-ondernemer-voor-op-de-nieuwe-privacy-wet
- Eén jaar later: waarom de AVG ondernemers tot wanhoop drijft https://www.vno-ncw.nl/forum/1-jaar-later-waarom-de-avg-ondernemers-tot-wanhoop-drijft
- Ethisch data verzamelen, hoe dan?
- Future By Design heeft in samenwerking met MKB Datalab de Data Ethics Scan ontwikkeld. Dit is een assessment dat helpt om de ethische uitdagingen te bepalen van een dataproject. Je doorloopt een aantal vragen die belangrijke overwegingen blootleggen.
