“Organisaties zijn gewend om privacy vooral te benaderen als een compliancevraagstuk. Dat is logisch, want de vraag is nu eenmaal vaak: is een gegevensverwerking juridisch toegestaan? Maar in de praktijk loop je er dan tegenaan dat er ook een dieperliggende kwestie speelt, die gaat over conflicterende waarden”, zegt Puck van Dijk, filosoof en een van de docenten van de opleiding Certified Data Protection Officer.
“Stel dat je als organisatie wilt controleren, of medewerkers die thuiswerken wel echt aan het werk zijn”, geeft Van Dijk als voorbeeld. “Je kunt dan een online monitoringsysteem ontwikkelen dat voldoet aan de regels van de Algemene verordening gegevensbescherming (AVG). Maar dan ga je voorbij aan fundamentele vragen. Willen we als organisatie zo omgaan met onze medewerkers? Wat doet de controle met de cultuur van onze organisatie? Is de technische toepassing goed in de ethische zin van het woord? Welke negatieve neveneffecten zijn er te verwachten, bijvoorbeeld als het gaat om het onderlinge vertrouwen op de werkvloer?”
Van filosofische verkenning naar praktische aanpak
Als praktisch filosoof ondersteunt Puck van Dijk organisaties om na te denken over sociale en ethische issues. “In de alledaagse werkpraktijk doen zich onvermijdelijk complexe dilemma’s voor. Een project loopt stroef, en je vraagt je af wat er precies misgaat. Of je ziet dat een vernieuwende oplossing niet de verwachte resultaten oplevert, en je wilt dieper ingaan op de onderliggende oorzaken.”
De eerste reactie in dit soort situaties is meestal om te zoeken naar praktische aanpakken. Hoe gaan we het probleem oplossen? Wie is daar verantwoordelijk voor? Wat gaan we in vergelijkbare situaties voortaan anders doen? Van Dijk: “Het zijn legitieme vragen, maar het is de moeite waard om ook stil te staan bij het morele niveau. Het gaat dan om de vraag wat het goede is – en waarom. Je legt waarden, principes en overtuigingen bloot. En je stelt daar vervolgens vragen bij. Wat is de mogelijke impact op betrokkenen, de organisatie en/of de samenleving? Hoe wenselijk zijn deze gevolgen? Je denkt dus niet alleen aan of je het kan en mag, maar ook of je het wílt. Als je deze onderliggende vraagstukken doorziet, dan kan je beter aan de slag met een oplossing.”
Van Dijk ziet dat de opmars van Artificial Intelligence (AI) de zorgvuldige omgang met data-ethische vraagstukken extra hoog op de agenda zet. “Gesprekken over fundamentele waarden zijn dan een belangrijke basis om de juiste koers uit te stippelen. Daarmee creëer je voorafgaand aan een pilot een gedeelde visie op de insteek en de gewenste resultaten. Bijvoorbeeld: een zorginstelling wil een AI-tool inzetten om de persoonsgegevens van patiënten slim te analyseren, zodat de zorg verbetert. Vanuit een data-ethisch perspectief stel je dan al in de voorbereiding op een pilot een aantal fundamentele vragen. Waarom kiezen we voor technologie om onze zorg te verbeteren? Wat vinden we als organisatie echt belangrijk als het gaat om goede zorg? Hoe zien artsen over de betrouwbaarheid van een AI-tool?” De filosofische verkenning met de verschillende betrokkenen expliciteert een moreel kompas, dat richting geeft aan de vervolgstappen.
Scherpte op compliance én ethiek
“Collega’s zien de afstemming met een privacyteam nogal eens als een verplicht nummer”, zegt Van Dijk over een uitdaging voor privacy professionals die werk willen maken van data-ethiek. “Vooral in organisaties waar afdelingen nog in silo’s werken, bestaat de neiging om advies van privacy-experts te vermijden. De gedachte is dan: ik heb het goed geregeld, dus een ander mag er niets van vinden. Er zijn ook organisaties die zich verschuilen achter de stelling: als we werken volgens de wet- en regelgeving, dan is het goed. Maar dan neem je een enorm risico. Een onopgelost waardenconflict kan een project totaal laten mislukken.”
Bij de ontwikkeling en uitvoering van privacybeleid zouden waarden moeten meegenomen, vindt Van Dijk. “Organisaties willen zuiver zijn op compliance. Maar er is ook scherpte nodig op de morele aspecten van privacy. Dat betekent eigenlijk dat je een andere houding aanneemt. Stel kritische vragen. Spar samen met collega’s over wat je als organisatie wilt betekenen – intern en extern. Denk na over ethische kaders, normen en waarden. Sta open voor verschillende posities.”
Praktisch waardenkader
De tiendaagse opleiding tot Certified Data Protection Officer (CDPO) is speciaal ontwikkeld voor privacy professionals met enkele jaren werkervaring, die zich verder willen verdiepen in actuele thema’s. De multidisciplinaire opleiding geeft alle praktische en onderbouwde inzichten om de privacystrategie van de organisatie naar een hoger niveau te tillen. Onder begeleiding van ervaren docenten gaan de deelnemers aan de slag met onder meer Data Protection Impact Assessments (DPIA’s), crisiscommunicatie, awareness, de omgang met datalekken en governance rond AI. De titel CDPO® is een onafhankelijk bewijs van de deskundigheid van de professionals die de opleiding en het examen met succes hebben afgerond.
Puck van Dijk verzorgt tijdens de CDPO-opleiding de module over de omgang met privacydilemma’s en de ontwikkeling van een cultuur die bijdraagt aan privacy en informatiebeveiliging. “Het gaat erom dat je als privacy professional leert om rekening te houden met de morele laag onder de praktische en strategische vraagstukken van je organisatie. Soms is het al voldoende om een vraag te stellen over de onderliggende waarden. Welke waarden spelen er? Hoe verhouden de waarden zich tot elkaar? Waar schuurt het?”
Van Dijk geeft de deelnemers aan de CDPO-opleiding ook concrete tools om in de praktijk aan de slag te gaan. “Met een praktisch waardenkader maak je de vertaalslag van een filosofisch onderzoek naar een concrete verkenning en uitwerking. Welke waarden staan voor de organisatie voorop? Wat betekent dat als we een beleid, procedure, product of tool maken?”
Kennis, houding en moed
Wat heb je als privacy professional nodig om privacy dilemma’s en data-ethische kwesties succesvol op te lossen? Van Dijk: “Allereerst gaat het erom dat je morele issues herkent. Een issue in je organisatie lijkt misschien op het eerste gezicht een compliance vraagstuk. Bijvoorbeeld als de vraag wordt gesteld: mogen we deze persoonsgegevens verwerken? Maar soms schuilt daar een ethisch dilemma achter. Het mag misschien juridisch wel, maar wíllen we het ook? Daarnaast is een kritische houding nodig, zodat je doorziet of er sprake is van conflicterende waarden.”
Een ethische discussie vergt ook moed, benadrukt Van Dijk. “Je roept vragen op, die mogelijk een rem zetten op een snelle aanpak, of op een vernieuwend initiatief. Of je stelt kwesties aan de orde die de gebruikelijke manier van werken in de organisatie veranderen. Maar ik ben ervan overtuigd dat de fundamentele vragen over waarden een voorwaarde zijn om risico’s te verminderen. En als je privacy wilt borgen, dan wil je niet voorbijgaan aan de risico’s, toch?”
