PIA: niet omdat het moet, maar omdat het kan. Hoe kan de Privacy Impact Assessment ingepast worden in de onderzoeks data lifecycle?

Transcriptie

1 PIA: niet omdat het moet, maar omdat het kan Hoe kan de Privacy Impact Assessment ingepast worden in de onderzoeks data lifecycle?

2 Open Science & Privacy Research Data Management Toolkit: Research Lifecycle, University of Western Australia

3 programma opening opzet programma + opdracht Wanneer is de PIA een bruikbaar instrument voor onderzoek? met inhoudsdeskundige en begeleider Achtergrond mr. Esther Hoorn Indelen groepjes, drankje pakken, naar locatie aan de slag met cases (hand-outs) terugkoppeling

4 Artikel 35 lid 1 AVG Gegevensbeschermingseffectbeoordeling Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

5 Context: Waarom een PIA? Kennis sneller bij burger + plus inzicht in gebruik van zijn gegevens Middel => doel Privacy= informationele zelfbeschikking= taak van universiteit Via raakvlak met ethische toetsing vroegtijdige peer feedback van onderzoekers Info over PIA geeft burger vertrouwen in de universiteit. Sneller inzicht in Internet of Things/ innovatieve diensten Praktisch nuttig: verschillende expertise samenbrengen Beter instrument voor betrokkenheid onderzoekers dan een register Stimuleert discussie over gedragscodes Afweging van alle relevante grondrechten ook academische vrijheid

6

7 Advies autoriteit persoonsgegevens Vuistregels voor onderzoeksdata LCRDM Wacht niet ( mei 2018) Gebruik instrumenten: PbD, PIA, register Stimuleer discussie Afbakening wetenschappelijk onderzoek. Bekende minimumvoorwaarde: dat er over gepubliceerd wordt. Juiste balans met academische vrijheid Zie preambule 121: Wijziging WHW? Zo nodig uitzonderingen mogelijk bij verdere verwerking van persoonsgegevens voor onderzoek, op voorwaarde van passende waarborgen. Zie preambule 125 Beschrijving van doel gegevensverzameling voor wetenschappelijke onderzoeksdoelen: Gebruik ( ontwikkel! EH) erkende ethische normen. Zie preambule 25aa

8 Artikel 35 lid 7 AVG De beoordeling bevat ten minste: a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden. b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; c) een beoordeling.risico's voor de rechten en vrijheden van betrokkenen; en d) de beoogde maatregelen om de risico's aan te pakken

9 Gedragscodes aanmerking nemen Art 40 lid 2 AVG met aandachtspunten o.m.: Transparante verwerking Contect Aan publiek verstrekte informatie Bescherming van kinderen Privacy enhancing technologies Vraag betrokkenen om hun mening Toets

10 Privacy by design strategies Data subject inform control separate aggregate hide minimise demonstrate enforce J.-H. Hoepman. Privacy Design Strategies. In IFIP TC11 29th Int. Conf. on Information Security (IFIP SEC 2014), pages , June A preliminary version was presented at the Amsterdam Privacy Conference (APC 2012) and the Privacy Law Scholars Conference (PLSC 2013). Controller

11 Niet omdat het moet, maar omdat het kan! What we talk about wanneer we startups vragen naar privacy Ethiek in tijden van internet Impact assessment as an "early warning system" for better data protection

12 Beschikbare algemene formats SURF PIA for security risks Updated for wet datalekken PIA Dutch government for assessment of laws and ICT projects NOREA (beroepsorganisatie IT-auditors) Version 1.2. november 2015 includes wet datalekken UK Information Commissioners Office Conducting privacy impact assessments code of practise

13 ICO, Conducting privacy impact assessments code of practice 2014 Version: 1.0 veh Step 1 -Identifying the need for a PIA» With a multi-stakeholder team Step 2 - Describing information flows Step 3 - Identifying risks New: Risikoansatz vs. Grundrechtsgewährleistung» Check against data protection principles, codes etc.» Bijv VSNU gedragscode voor verwerking persoonsgegevens» Balance with other human rights, like academic freedom Step 4 New: Identify privacy enhancing strategies Step 5 - Report» En stimuleer discussie en disseminatie

14 Opdracht Onderzoek met het multi-stakeholder team op basis van de casus wanneer de PIA een bruikbaar instrument voor onderzoek is.

15 Reflectie Landelijk peer pia s organiseren? Hoe gedragscodes en specifieke formats stimuleren? Rol FG Nieuwe rollen en deskundigheidsbevordering nodig? Verder lezen: ENISA rapport Privacy by Design in big data White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG Ein Werkzeug für einen besseren Datenschutz