Privacy Impact Assessment

Transcriptie

1 Privacy Impact Assessment Versie: oktober 2018 Auteurs: ir. H.S. Leisink CIPP/E mr. ir. F.P.A. Dondorp CIPP/E

2 Versie Datum Wijziging 0.1 juli 2018 Eerste versie. 0.2 september 2018 Verwerking eerste commentaar. 1.0 oktober 2018 Laatste aanpassingen en eerste publicatie.

3 Over deze Privacy Impact Assessment Met de komst van de Algemene Verordening Gegevensbescherming (AVG) heeft privacy veel aandacht gekregen. Niet alleen in Europa, maar ook daarbuiten. Privacy is belangrijk geworden. Een van de manieren om inzichtelijk te maken of u goed omgaat met persoonsgegevens, is door het uitvoeren van een Privacy Impact Assessment (PIA). Een PIA is een aanpak waarin door middel van kritische vragen wordt nagegaan of u op een goede en respectvolle wijze omgaat met de gegevens van de betrokkenen. Een PIA helpt u bij het leren inrichten van verwerkingen volgens het privacy by design principe. Het resultaat van privacy by design is een verwerking waarbij de inbreuk op de privacy van de betrokkenen minimaal is en de rechten van de betrokkenen worden nageleefd. Dit levert u tegelijkertijd een voordeel op. Iedere overbodige verwerking die geschrapt wordt, scheelt namelijk tijd, geld en moeite voor de beveiliging van die gegevens. En gegevens die u niet in huis heeft, kunt u ook niet lekken. Of het resultaat van deze PIA nuttig zal zijn, hangt vooral af van hoe u deze hanteert. Gebruik deze PIA niet om uw (geplande) verwerking te rechtvaardigen of om de risico s vanuit de AVG voor uw organisatie in kaart te brengen. Een PIA is uitsluitend bedoeld ter bescherming van de privacy van de betrokkenen. Hanteer deze daarom ook als dusdanig. Daar waar het Model Gegevensbeschermingseffectbeoordeling Rijksdienst geschikt is voor organisaties die beschikken over de benodigde juridische kennis, richt deze PIA zich op organisaties die daar niet over beschikken. Deze PIA is daarom anders van opzet; meer sturend. Bij het opstellen van deze PIA hebben we zorgvuldig gekeken naar wat artikel 35 en 36 van de AVG daarover zegt. Deze PIA is verkrijgbaar via en is uitgegeven onder de CC BY-ND 4.0 licentie. Dit komt hoofdzakelijk neer op dat u deze PIA vrij mag gebruiken en, mits ongewijzigd, vrij mag verspreiden. Dit is een eerste versie van onze PIA en we zijn van plan deze verder te verbeteren met bijvoorbeeld stroomdiagrammen en verder te ontwikkelen naar een online te gebruiken digitale versie. Geef dus vooral uw reactie en commentaar op deze PIA. Dit kunt u sturen naar commentaar@avgpia.nl. Wij wensen u veel succes bij het uitvoeren van de PIA. Hugo Leisink en Frans Dondorp

4 Voordat u begint Deze Privacy Impact Assessment (PIA) is bedoeld voor gebruik bij de Algemene Verordening Gegevensbescherming (AVG). Het is daarom zeer raadzaam om de AVG bij de hand te hebben tijdens de uitvoering van deze PIA. U kunt de AVG als PDF downloaden via of online bekijken op Om de vragen makkelijk leesbaar te maken, wordt u in deze PIA direct aangesproken. Uiteraard wordt u daarbij niet persoonlijk bedoeld, maar de organisatie waarvoor u de PIA uitvoert. De scope van de PIA is één specifieke verwerking. Voer voor andere verwerkingen een aparte PIA uit. Beantwoord de vragen zo volledig mogelijk. Geef dus naast een gevraagde ja of nee ook een beargumentatie voor uw antwoord. Voordat u begint met het uitvoeren van een PIA, dient u er zeker van te zijn of het wel noodzakelijk is om een PIA uit te voeren. Beantwoord daarom eerst de volgende vragen. 1. Verwerkt u persoonsgegevens, zoals bedoeld in artikel 4(1)? 2. Bent u verwerkingsverantwoordelijke voor deze verwerking, zoals bedoeld in artikel 4(7)? 3. Heeft u eerder een PIA uitgevoerd voor een verwerking die wat betreft doel en wijze van verwerking sterke overeenkomsten vertoont met deze verwerking? Indien u vraag 1 of 2 met nee of vraag 3 met ja heeft beantwoord, dan hoeft u geen PIA uit te voeren en kunt u nu stoppen. Na het uitvoeren van de PIA kan blijken dat u alsnog niet verplicht was om een PIA uit te voeren, omdat de verwerking geen hoog risico oplevert. Echter, dat hoge risico kan pas worden vastgesteld na het uitvoeren van een PIA. Het kan natuurlijk nooit kwaad om voor een verwerking waarvan u met grote zekerheid weet dat die geen hoog risico oplevert, alsnog een PIA uit te voeren. Het geeft u meer zekerheid en toont aan dat u serieus met privacy omgaat. Disclaimer: Deze PIA heeft een bepaalde verwerking als scope. De uitkomst van deze PIA zegt niets over compliancy of de mate waaraan u in totaliteit aan de AVG voldoet. Deze PIA geeft alleen invulling aan artikel 35. De PIA geeft u inzicht in risico s. Het is geen beoordeling over de vraag of de verwerking wenselijk is of dat de verwerking is toegestaan. Als u na de uitvoering van deze PIA van mening bent dat de verwerking geen risico s oplevert, zegt dat niet dat de verwerking een goed idee is onder de AVG. Deze PIA is een hulpmiddel en geen wettekst. De auteurs van deze PIA beogen u te helpen bij de beoordeling van risico s, niet om de (mede)verantwoordelijkheid te dragen voor uw verwerkingen en zijn dus niet aansprakelijk voor enig gevolg dat voortvloeit uit het gebruik van deze PIA

5 De Privacy Impact Assessment 1. Algemene gegevens 1a. Wat is de datum waarop u deze PIA uitvoert? 1b. Geef de naam van de organisatie en eventueel de afdeling waarvoor de PIA wordt uitgevoerd. 1c. Geef een omschrijving van de verwerking. Vermeld daarbij welke persoonsgegevens verwerkt worden. 1d. Wat is het doel van de verwerking? Wees daarbij duidelijk en volledig. 2. Informatie over de verwerking 2a. Wat is de grondslag van de verwerking? Kies daarbij een van de grondslagen zoals bedoeld in artikel 6(1). 6(1)a: Toestemming 6(1)c: Wettelijke verplichting 6(1)e: Algemeen belang 6(1)b: Uitvoering van een overeenkomst 6(1)d: Bescherming van vitale belangen 6(1)f: Gerechtvaardigd belang 2b. Beargumenteer hoe u tot deze grondslag gekomen bent. 2c. Verwerkt u persoonsgegevens van kinderen op basis van toestemming, zoals bedoeld in artikel 8? 2d. Verwerkt u bijzondere persoonsgegevens, zoals bedoeld in artikel 9? 2e. Verwerkt u persoonsgegevens over strafrechtelijke veroordelingen of strafbare feiten, zoals bedoeld in artikel 10? 2f. Verwerkt u persoonsgegevens van kwetsbare doelgroepen? 2g. Verwerkt u persoonsgegevens op grote schaal? Zie rechtsoverweging 91. 2h. Indien de grondslag bij vraag 2a anders is dan Toestemming, ga dan door naar 2o. 2i. Het is verstandig om toestemming slechts als grondslag te gebruiken als alle andere grondslagen niet van toepassing kunnen zijn. Is toestemming de enig mogelijke grondslag voor deze verwerking? Indien uw antwoord nee is, kies dan een andere grondslag.

6 2j. Is het geven van toestemming volledig uit vrije wil? Houd daarbij rekening met een eventuele machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkenen. 2j. Zijn er voor een betrokkene negatieve gevolgen bij het niet geven van toestemming? Indien uw antwoord ja is, beschrijf dan wat deze gevolgen zijn. 2k. Kan de toestemming worden aangetoond? 2l. Kan de toestemming op dezelfde eenvoudige wijze worden ingetrokken als waarop deze is gegeven? 2m. Indien het antwoord bij vraag 2c nee is, ga dan door naar vraag 2o. 2n. Verkrijgt u de toestemming van de ouders van het kind, zoals bedoeld in artikel 8(2)? 2o. Vind de verwerking reeds plaats? 2p. Ontvangt u persoonsgegevens direct van de betrokkene of via derden? 2q. Worden de persoonsgegevens doorgezet naar derden? Indien het antwoord nee is, ga dan door naar 3. 2r. Indien deze derden verwerker zijn zoals bedoeld in artikel 28, is met hen een verwerkingsovereenkomst afgesloten? 2s. Bevinden zich onder de organisaties waar u (of anderen) gegevens naar doorzet, organisaties buiten de Europese Economische Ruimte (EER)? 3. Beoordeling van de noodzaak en de evenredigheid tot verwerken 3a. Is het proces, waarbinnen de gegevens verzameld gaan worden, qua organisatie en techniek zodanig ingericht dat een minimum aan persoonsgegevens verzameld wordt? 3b. Is het voor de betrokkenen duidelijk welke gegevens over hen verzameld worden, waarom dat is en wat hun rechten zijn? 3c. Verwerkt u de gegevens uitsluitend voor het doel waarvoor de gegevens verzameld zijn? 3d. Weegt het nadeel van de impact op de privacy van de betrokkene op tegen het beoogde voordeel van de verwerking voor de verwerkingsverantwoordelijke?

7 3e. Indien u vraag 3a, 3b, 3c of 3d met nee heeft beantwoord, dan is deze verwerking mogelijk in strijd met artikel 5. U wordt in dat geval afgeraden om met de verwerking in de huidige vorm door te gaan. 4. Risico s bij de verwerking Indien voor uw sector een gedragscode geldt, zoals bedoeld in artikel 40, hanteer deze dan bij het beantwoorden van deze vragen. 4a. Heeft u de beveiliging van de persoonsgegevens op orde? De mate van beveiliging dient in verhouding te staan tot van de gevoeligheid van de gegevens en de verwerking. Voer voor het verkrijgen van zicht op informatiebeveiliging een risicoanalyse uit via 4b. Is de directie van uw organisatie voldoende bekend met het belang van privacy, de AVG en de verwerkingen die de organisatie uitvoert? 4c. Hebben de medewerkers van uw organisatie die met persoonsgegevens in aanraking komen de juiste training en uitleg gehad over privacy, de AVG en de verwerking die zij doen? 4d. Worden de rechten van de betrokkenen voldoende nageleefd? De rechten van de betrokkenen worden beschreven in de artikelen 12 t/m 22. 4e. Heeft u processen ingericht om inbreuken in verband met persoonsgegevens, zoals bedoeld in artikel 34, te melden aan de betrokkenen? 4f. Heeft u processen ingericht om persoonsgegevens die niet meer nodig zijn te verwijderen? 4g. Heeft u de betrokkenen of hun vertegenwoordigers gevraagd naar hun mening over deze verwerking? Indien ja, wat was hun reactie? 5. Beoordeling van het risico 5a. Indien u vraag 2c, 2d, 2e, 2f of 2g met ja heeft beantwoord, dan is er sprake van een hoog risico. Ga in dat geval door naar 5c. 5b. Kan de verwerking gevolgen hebben voor de betrokkenen, zoals bijvoorbeeld een automatische beoordeling of score-toekenning, geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg of blokkering van een recht, dienst of contract? Indien nee, ga dan door naar 5e. 5c. Indien het antwoord bij vraag 2o ja is, neem daar dan over contact op met de Autoriteit Persoonsgegevens. U bent hier eigenlijk al te laat mee.

8 5d. Gaat u maatregelen nemen om het hoge risico zoals vastgesteld in 5a of 5b weg te nemen? Indien nee, waarom niet? 5e. Indien u een van de vragen 4a t/m 4f met nee heeft beantwoord, gaat u maatregelen nemen om deze risico s weg te nemen? Indien nee, waarom niet? 5f. Indien het antwoord bij vraag 5d of 5e nee is, neem daar dan contact over op met de Autoriteit Persoonsgegevens.