Privacy en ethiek: introductie
Op 25 mei is de Algemene Verordering Gegevensbescherming (AVG) van toepassing. De AVG zorgt onder meer voor een versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties, en de bevoegdheid voor privacytoezichthouders om boetes tot 20 miljoen euro op te leggen.
Open normen
De AVG is vrij duidelijk over wat organisaties moeten doen om compliant te worden. Hoe dit kan worden bereikt, is echter nog niet kraakhelder geformuleerd. Zo spreekt de Verordening bijvoorbeeld vaak over ‘passende technische en organisatorische maatregelen’ en ‘redelijke inspanningen.’ Maar misschien ‘past’ een technologische toepassingen wel binnen het kader van de AVG of worden er wel ‘redelijke inspanningen’ gedaan vanuit de verwerkingsverantwoordelijke, maar kan het toch een erg negatief effect hebben op de betrokkenen of de samenleving in zijn geheel.
Zolang de jurisprudentie nog ontbreekt, ontstaat er niet alleen spanning tussen de open normen en handhaving, maar is er ook meer praktische kennis over de verordening vereist om bepaalde controles adequaat uit te voeren. Organisaties kunnen op twee manieren met hun verantwoordelijkheid omgaan:
- Verantwoordelijkheid afleggen; richten op het verleden, zodat wanneer er bijvoorbeeld een datalek is, je over kan gaan op accountability, schuld of (risico)aansprakelijkheid.
- Verantwoordelijkheid nemen; richten op de toekomst, waarbij je alvorens of tijdens de ontwikkeling van bijvoorbeeld informatiesystemen aandacht besteedt aan privacyverhogende maatregelen (bijv. privacy by design & privacy by default).
Ethisch kader
De AVG vereist de tweede variant, omdat aantoonbare compliance wordt vereist; proactief dus. Dat klinkt als een no-brainer, maar hoe doe je dat? Eén manier is om tijdig een ethisch kader uit te werken. In de eenvoudigste zin is een ethisch kader een kader van morele principes; een simpel leidraad voor het maken van maatschappelijk verantwoorde beslissingen waarin normen in een begrijpelijke taal zijn gestandaardiseerd. Zo heeft een ethisch kader de volgende aandachtspunten:
- Een aanpak (visie) van gegevensbescherming die op een principiële en omvattende manier rekening houdt met de maatschappij.
- Concrete uitwerking van de rechten van betrokken en de verantwoordelijkheden van de organisatie
- Specifieke omschrijving van goede gedragsregels tijdens het verwerken van persoonsgegevens
- Uitwerking van eventuele dilemma’s omtrent het verzamelen en verwerken van persoonsgegevens
Maar waar begin je? Om dit methodologisch aan te pakken, schrijven wij tot aan 25 mei iedere dinsdag en donderdag een blog over het opstellen van een ethisch kader. Zo kun je makkelijk zelf invulling geven aan de verordening, of je nu deel uitmaakt van een hiërarchische organisatie of een groot en complex netwerk.
De blogreeks zal bestaan uit de volgende blogs:
- 8 mei Blog #2: Privacy, ethiek en governance deel 1
- 11 mei Blog #3: Privacy, ethiek en governance deel 2
- 15 mei Blog #4: Privacy, ethiek en governance deel 3
- 17 mei Blog #5: Value sensitive design
- 22 mei Blog #6: Ethisch omgaan met privacyrisico’s
- 24 mei Longread #7: Waarom is privacy nou écht belangrijk?
Hulp nodig bij het opstellen van een ethisch kader? Neem dan contact met ons op.