DPIA: Data Protection Impact Assessment

Uitkomst DPIA: Microsoft moet privacy van producten bij Rijksoverheid verbeteren

- 16 November 2018

Microsoft moet de privacy van de producten die ze aan de Rijksoverheid levert verbeteren. Dat is gebleken uit de Data Protection Impact Assessment (DPIA) die het ministerie van Justitie en Veiligheid heeft laten uitvoeren. In april 2019 moet Microsoft de nodige aanpassingen hebben gedaan. Lees meer over de ins & outs van een Data Protection Impact Assessment, een instrument van de AVG dat voor een organisatie verplicht kan zijn.

Stand van zaken vanuit de overheid

"Een aantal grote ICT-leveranciers (zoals Microsoft, Oracle en SAP) heeft binnen de Rijksoverheid één aanspreekpunt. Het aanspreekpunt voor Microsoft is Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft), gevestigd binnen het ministerie van Justitie en Veiligheid en dit wordt uitgevoerd door de plaatsvervangend secretaris-generaal Ronald Barendse. 

"SLM Microsoft heeft conform de AVG een Data Protection Impact Assessment (DPIA) laten uitvoeren op de producten en diensten van Microsoft. Er is met dit eigen onderzoek van het ministerie van Justitie en Veiligheid vastgesteld dat er via de producten ‘Windows 10 Enterprise’ en ‘Microsoft Office’ informatie van en over de gebruiker verzameld en opgeslagen wordt in een database in de VS op een manier die hoge risico’s meebrengt voor de privacy van de gebruiker. 

"SLM Microsoft is op basis van deze bevindingen met Microsoft in gesprek gegaan en heeft op 26 oktober overeenstemming bereikt over een verbeterplan van Microsoft. Microsoft verplicht zich in dit plan om haar producten dusdanig te wijzigen dat het gebruik daarvan voor de Nederlandse overheid binnen de context van de AVG en ander vigerende wet- en regelgeving mogelijk is. Microsoft committeert zich deze wijzingen in april 2019 ter verificatie aan te bieden."

Strategische Leveranciersmanagement Microsoft Rijk

Het Strategisch Leveranciersmanagement Microsoft Rijk (SLM Microsoft Rijk) is belegd binnen het ministerie van Justitie en Veiligheid. SLM Microsoft Rijk stelt de sectoren en hun behoeften centraal. SLM ontzorgt de sectoren door eenheid en eenduidigheid van handelen en adviseren. Centraal staan het organiseren van netwerken, gezamenlijke ontwikkeling van kennis en kunde en het mobiliseren van innovatiekracht. SLM realiseert deze doelen door in een centraal kader met Microsoft verbeterde voorwaarden af te spreken, risico's te verminderen en kosten te besparen.

DPIA: Data Protection Impact Assessment

De DPIA of Data Protection Impact Assessment is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Onder de Algemene verordening gegevensbescherming (AVG) kan het voor organisaties verplicht zijn om een DPIA uit te voeren. Wat is een DPIA, hoe voer je de assessment uit en in welke gevallen is het inderdaad een verplicht onderdeel van de Europese privacywetgeving?

Een DPIA is een handige administratieve tool om privacyrisico’s van gegevensverwerking in kaart te brengen, waar nodig te handelen om die risico’s te verkleinen en daarmee de regels van de AVG te volgen. Om die reden is het uitvoeren van een DPIA - net als het aanstellen van een FG - ook interessant voor organisaties die dat niet verplicht zijn. Het stimuleert namelijk om in een vroeg stadium na te denken over de impact van het project op de privacy, maakt inzichtelijk wat de risico's zijn voor de personen wiens gegevens verwerkt worden en voor de organisatie zelf, en of er wellicht een aanpak is die minder gevolgen heeft voor de privacy van alle betrokkenen.

Als uit de DPIA naar voren komt dat de beoogde verwerking een hoog risico oplevert, dan moet je als organisatie de juiste maatregelen treffen om daar mee om te gaan. Lukt het niet om die maatregelen te vinden, dan ben je verplicht om met de Autoriteit Persoonsgegevens (AP) te overleggen voordat je met de verwerking start. Dat heet een voorafgaande raadpleging, waarbij de AP beoordeelt of de geplande verwerking in strijd is met de AVG. Als dat zo is, ontvang je daar een schriftelijk advies over.

Hoe moet je een DPIA uitvoeren?

Er zijn verschillende manieren om een DPIA uit te voeren. Een organisatie is daar vrij in, mits voldaan wordt aan de voorwaarden van de assessment zoals beschreven in de AVG. Die stelt dat een DPIA in ieder geval moet bestaan uit een systematische beschrijving van de beoogde gegevensverwerkingen, de doelen daarvan en eventueel de betreffende grondslag voor de verwerking.

Vervolgens dien je in een tweetal beoordelingen uiteen te zetten wat de noodzaak (noodzakelijk voor het doel?) en proportionaliteit (in verhouding tot het doel?) van de verwerking is, en wat de privacyrisico's zijn voor de betrokkenen. De laatste stap is een beschrijving van de beoogde maatregelen om de risico's aan te pakken en aan te tonen dat je aan de regels van de AVG voldoet wat de bescherming van de gegevens betreft. Stel, je bent een ondernemer met een webshop. Dan kunnen die stappen er als volgt uitzien.

  1. Een overzicht van alle verwerkingen en de doelen van deze verwerkingen.
  2. Een beoordeling van noodzaak en proportionaliteit: de verwerking is bijvoorbeeld noodzakelijk voor de uitvoering van de overeenkomst (de online aankoop), en de benodigde gegevens zijn beperkt tot het strikt noodzakelijke. Daarnaast is er toestemming van de consument.
  3. Een beoordeling van het effect van de verwerking op de betrokkenen: de gegevens van de consument die nu in handen zijn van jou als ondernemer voor de beschreven doelen.
  4. Een beschrijving van de maatregelen om de risico’s voor die consument te beperken, zoals de beveiliging van het klantenbestand en de betaalmethoden.

 

Wanneer zijn organisaties verplicht om een DPIA uit te voeren?

Het uitvoeren van een DPIA is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dat klinkt behoorlijk subjectief, en dat is het in principe ook: je bent zelf verantwoordelijk om te bepalen of de verwerking een hoog risico draagt. Dat is in ieder geval zo als een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling, op grote schaal bijzondere persoonsgegevens verwerkt of mensen systematisch volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

Daarnaast heeft de werkgroep van Europese privacytoezichthouders een lijst van 9 criteria opgesteld om je te helpen bij de inschatting van de risico's. Als vuistregel geldt dat verwerking van persoonsgegevens een hoog privacyrisico draagt als er aan twee of meer van onderstaande criteria wordt voldaan:

1. BEOORDELEN VAN MENSEN OP BASIS VAN PERSOONSKENMERKEN
Denk aan profiling op basis van kenmerken als locatie, gezondheid, economische situatie of persoonlijke interesses. Voorbeeld: tracking op websites om profielen van bezoekers te maken.

2. GEAUTOMATISEERDE BESLISSINGEN
Beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

3. STELSELMATIGE EN GROOTSCHALIGE MONITORING
Bij monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht, kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt.

4. GEVOELIGE GEGEVENS
Verwerking van bijzondere categorieën van persoonsgegevens, zoals informatie over iemands politieke voorkeuren of strafrechtelijke gegevens en informatie die over het algemeen als privacygevoelig wordt beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. GROOTSCHALIGE GEGEVENSVERWERKING
Afhankelijk van de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens, de tijdsduur van de gegevensverwerking en de geografische reikwijdte van de gegevensverwerking.

6. GEKOPPELDE DATABASE
Verzamelingen van gegevens die aan elkaar gekoppeld of met elkaar gecombineerd zijn, bijvoorbeeld in een database voortgekomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. GEGEVENS OVER KWETSBARE PERSONEN
Specifiek als er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke, waarbij betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Denk bijvoorbeeld aan werknemers, patiënten en kinderen.

8. GEBRUIK VAN NIEUWE TECHNOLOGIEËN
Persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen nog onbekend zijn, en een nieuwe technologie kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

9. BLOKKERING VAN EEN RECHT, DIENST OF CONTRACT
Gegevensverwerkingen die tot gevolg hebben dat betrokkenen een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten. Denk aan een bank die persoonsgegevens verwerkt om te bepalen of iemand wel of geen lening verstrekt krijgt.

 

LEES OOK: Hoe maak ik een verwerkingsregister?

VIND FERM OOK OP FACEBOOK | TWITTER | LINKEDIN