ZBC Kennisbank

De privacy effect beoordeling (PIA) kan niet wachten tot 2018

 

Veel organisaties wiegen zichzelf in slaap met de gedachte dat de nieuw Europese privacywet (AVG) pas in mei 2018 in Nederland en de andere lidstaten van kracht zal worden. Dat duurt nog lang en wie dan leeft, wie dan zorgt. De werkelijkheid is echter, dat de AVG in mei 2016 is ingegaan en dat in mei 2018 de handhaving start. Op dat moment moet je er dus klaar voor zijn.

Natuurlijk kun je je privacybeleid op een regenachtige achternamiddag in elkaar spijkeren. Ook het benoemen van een privacy officer hoeft geen maanden te duren. Bewerkersovereenkomsten zijn nog wel in 2018 op te stellen. Maar als je zo met privacy omgaat, kun je er zeker van zijn, dat je jezelf slachtoffer maakt van de AVG. Je moet je dan houden aan alles wat verzonnen is in Brussel en door klanten, ketenpartners en toezichthouders. (Zie ook ‘De impact van de EU privacy verordening (AVG) op uw organisatie’.) En dat kan wel eens een heel dure cursus worden. Je zult privacy ook niet echt doorgronden. Want even kort gezegd, de grondwet geeft aan, dat je geen inbreuk op de privacy van mensen mag maken en de privacywet regelt onder welke condities dit wel mag. Het idee dat je je straks aan de AVG moet houden is dus een misverstand. De AVG geeft aan wat de spelregels zijn als je inbreuk wilt maken op iemands privacy. Kortom, privacy is een spel dat je moet leren spelen. (Zie ook ‘Hoe legaal de privacywet overtreden’.)

De privacy effect beoordeling beter nu al doen

Vanaf mei 2018 ben je verplicht tot de privacy effect beoordeling of wel je moet dan in bepaalde gevallen een gegevensbeschermingseffectbeoordeling doen. Met de privacy effect beoordeling kun je aantonen dat bij nieuwe initiatieven die je ontplooit en die een verandering inhouden voor het verzamelen, bewerken en beheren van persoonsgegevens, je rekening hebt gehouden met de privacy van de betrokkenen, dat je de risico’s op schending hiervan in kaart hebt gebracht en dat je maatregelen hebt getroffen om de inbreuk op de privacy niet te groot te maken. Je moet dit kunnen aantonen voor alle nieuwe initiatieven die je vanaf mei 2016 ontplooit. In feite betekent dit dat je de privacy effect beoordeling nodig hebt vanaf mei 2016. Want beschik je niet over een privacy effect beoordeling, dan wordt het wel moeilijk om in 2018 nog aan te tonen, dat je je begin 2017 al aan de spelregels hield (die immers toen al van kracht waren). Als je bijvoorbeeld al een jaar met een nieuwe applicatie werkt en er gaat iets mis, dan zul je nog heel moeilijk kunnen aantonen, dat je toch het juiste hebt gedaan. Het achteraf verzamelen van bewijsmateriaal hiervoor is meestal een dure hobby en in feite ook geschiedvervalsing. En zeker wordt het een dure zaak als dit betekent, dat je alle persoonsgegeven, die je in deze periode verzameld hebt, moet weggooien en alle betrokkenen moet melden wat je hebt gedaan. Daarom geldt juist voor de privacy effect beoordeling of gegevensbeschermingseffectbeoordeling, dat je er beter nu gelijk mee kunt beginnen. Want bij nieuwe initiatieven moet je je aan de AGV houden, maar met een gegevensbeschermingseffectbeoordeling zorg je er tevens voor je ook kunt aantonen dat je dat hebt gedaan. Dat kost bovendien aanzienlijk minder dan reparatie achteraf. En het hebben van een privacy officer, die wat meer weet over de spelregels van de AVG is dan meestal ook geen overbodige luxe.

Wat de AVG over de privacy effect beoordeling zegt

Artikel 35 van de AVG gaat over de privacy effect beoordeling of zoals de AVG het officieel beschrijft de gegevensbeschermingseffectbeoordeling. We zetten de hoofdzaken even op een rijtje. Lid 1 zegt:

“Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens”.

Tegenwoordig worden veel initiatieven ontplooit als uitbesteding, gebruik van andere software, gebruik van clouddiensten, cameratoezicht, big data, ketenverwerking, of het opzetten van een nieuwe dienst en ook is er snel veranderende wetgeving. Dit alles heeft effect op de verwerking van je persoonsgegevens. Dus moeten de risico’s voor de privacy worden beoordeeld en is de gegevensbeschermingseffectbeoordeling verplicht. Gelukkig is er nog lid 11, dat zegt, dat je de gegevensbeschermingseffectbeoordeling ook door je leverancier of ketenpartner kunt laten uitvoeren. Daarover straks meer. Lid 2 zegt vervolgens dat de privacy officer hierbij betrokken moet worden. Lid 3 t/m 6 is een uitwerking van lid 1. Lid 7 zegt: 

“De beoordeling bevat ten minste:
a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en
d) de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie”.

Er wordt dus een systematische beschrijving (a) geëist, waarin aangegeven wordt dat de inbreuk proportioneel (b) is en waarin de risico’s voor de betrokkene beoordeeld worden (c) en passende maatregelen (d) worden gedefinieerd. In het volgende hoofdstuk gaan we hier verder op in.

Tenslotte zit er in lid 11 nog een addertje onder het gras voor bewerkers. Lid 11 zegt:

“Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.”

Dit impliceert dat als een verantwoordelijke een nieuwe (standaard)dienst afneemt bij of uitbesteedt aan een bewerker, de verantwoordelijke niet zelf een privacy effect beoordeling hoeft te doen als de bewerker deze al heeft uitgevoerd. Hij is alleen verplicht deze te beoordelen.
Van leveranciers die bijvoorbeeld SaaS, clouddiensten, datacenterdiensten, marketingdiensten, call center diensten, en telecomdiensten standaard leveren aan veel klanten wordt dus verwacht dat zij zelf eenmalig een privacy effect beoordeling doen om te voorkomen, dat iedere klant die hun dienst na mei 2016 koopt of gekocht heeft, wordt opgezadeld met de verplichting om een privacy effect beoordeling te doen. Kortom, hier ligt voor dienstverleners een kans om zich te onderscheiden. (Zie ook ‘Moet ik als bewerker een privacy effect beoordeling doen?’.)

Uitvoeren van een privacy effect beoordeling

De NOREA (Nederlandse Orde van Register EDP-Auditors) kwam als eerste met haar Privacy Impact Assessment (PIA), nog in de tijd dat er van een AVG geen sprake was. In de loop der jaren is dit uitgegroeid tot de default standaard in Nederland. Door echter de eisen die in de AVG gesteld worden, is de PIA niet meer dekkend voor een adequate gegevensbeschermingseffectbeoordeling. Een aantal tekortkomingen:

  • De PIA is sterk gericht op het project dat tot de verandering leidt en niet op het proces van gegevensverwerking dat daarna uitgevoerd wordt.
  • De PIA heeft beveiliging onder gebracht in een apart hoofdstuk, terwijl het in de AVG gaat om de gegevensbeschermingseffectbeoordeling. Dat geldt dus voor iedere stap in de beoordeling. In de praktijk zien we vaak, dat hierdoor beveiligingsrisico’s gemist worden.
  • De PIA is nogal beschouwend, zodat je na het uitvoering weliswaar aan je compliance verplichting hebt voldaan, maar niet aan de verplichting om risico’s te beoordelen en om passende maatregelen te definiëren. Kritiek uit de praktijk is dat je na de uitvoering van de PIA nog steeds niet weet wat je moet doen.

Natuurlijk heeft de PIA ook nog steeds haar sterke kanten. Daarom heeft ZBC een gegevensbeschermingseffectbeoordeling of privacy effect beoordeling (PEB) gemaakt, waar de sterke kanten van de PIA behouden blijven en waarmee wel volledig voldaan wordt aan de eisen die de AVG stelt en waarin ook beter tegemoet gekomen wordt aan de kritiek uit de praktijk.
Zo is de scope nadrukkelijk gericht op het gegevensverwerkingsproces na het project en de bescherming van die gegevens is geïntegreerd in alle onderdelen van de PEB. Ook worden direct risico’s beoordeeld en maatregelen gedefinieerd, zodat je na afloop in één keer kunt bepalen, hoe je om wilt gaan met de risico’s en welke maatregelen je dus wilt nemen. Een goede oplossing is vaak ‘privacy by design’, waardoor maatregelen zonder veel kosten doorgevoerd kunnen worden. (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Deze PEB is daarom ook uitstekend geschikt voor bewerkers die veel klanten hebben.
Verder is de PEB niet meer primair een instrument voor auditors die op basis van de PIA aanbevelingen kunnen doen, maar ook voor organisatie om zelf te gebruiken. In de ‘Cursus Privacy Officer in de praktijk’ wordt de PEB uitgebreid besproken en krijg je de beschikking over de sjablonen en de toelichting. Hetzelfde geldt voor coachingstrajecten die ZBC uitvoert.

Kortom, het is zaak om op korte termijn te beginnen met het uitvoeren van privacy effect beoordelingen of om deze tenminste te eisen van je leveranciers en/of ketenpartner die als bewerker op gaan treden. Als je hiermee wacht tot 2018, zul je op dat moment veel kosten moeten maken om aantoonbaar te maken, dat je de privacy aspecten voldoende hebt meegewogen in initiatieven en veranderingen die na mei 2016 zijn gestart.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 9 april 2017


2 Responses to “De privacy effect beoordeling (PIA) kan niet wachten tot 2018”

  1. Eric Wonink schreef:

    Wanneer je als organisatie in het bezit bent van een ISO 27001 certificaat moet je dan alsnog een PIA uitvoeren? MvG Eric Wonink

    • Wiebe Zijlstra schreef:

      Hallo Eric,
      Bij elke verandering in de verwerking van persoonsgegevens (uitbesteding, andere software, andere technologie, andere verwerking (bijv big data) moet de verantwoordelijke een PIA uitvoeren.
      ISO 27001 is niet genoeg, want daarmee dek je alleen de beveiliging van de persoonsgegevens af. De privacy-wet eist ook andere zaken (communicatie, waar opslag, inzagerecht etc).
      Groet, Wiebe

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *