Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 14: hou rekening met privacy by design en DPIA.

29/08/2018

Al gehoord van de concepten ‘privacy by design’ en ‘privacy by default’? Beide begrippen worden vaak in 1 adem genoemd, maar dekken elk een andere lading. De AVG vernoemt ze allebei op expliciete wijze, maar dan wel als “Gegevensbescherming door ontwerp en door standaardinstellingen” (art. 25 AVG). Ook de DPIA (data protection impact assessment, of in het Nederlands de gegevensbeschermingseffectbeoordeling) komt ter sprake als een noodzakelijke stap inzake persoonsgegevensbescherming. Meer info hieronder.

Privacy by design

Wat is privacy by design juist?

Letterlijk vertaald als “gegevensbescherming door ontwerp” komt privacy by design erop neer om al in een vroeg stadium zowel technisch als organisatorisch een zorgvuldige omgang met persoonsgegevens af te dwingen. Bij de ontwikkeling van producten en diensten moet er dus al aandacht zijn voor privacy. In het bijzonder bij ICT-producten en -diensten kan er bij het ontwikkelproces gebruik gemaakt worden van privacyverhogende maatregelen (ook wel ‘privacy enhancing technologies’ of PET’s genoemd).

Enkele bestaande voorbeelden van PET’s:

  • Anoniem surfen (‘communciation anonymizer’): deze methode zorgt ervoor dat uw echte identiteit online geheim blijft en vervangt het met een niet-achterhaalbare identiteit. Kan worden toegepast voor e-mail, surfen, P2P-networking, VoIp, chat, instant messaging, etc.
  • Valse gemeenschappelijke online account (‘shared bogus online account’): je creëert een online account met valse persoonsgegevens die je kunt delen met collega’s, vrienden… Je hoeft je geen zorgen te maken over persoonsgegevens (die zijn incorrect) en je spaart tijd uit omdat niet iedereen zich hoeft te registreren onder een aparte account.
  • Verduistering (‘obfuscation’): je verbergt het doel, de logica of de impliciete waarden van een online handeling door gebruik te maken van broncode of machinetaal die voor mensen amper begrijpbaar is. Dit kan manueel of via een geautomatiseerde tool gebeuren.
  • Toegang tot persoonlijke data (‘access to personal data’): de infrastructuur van de service provider is zo opgebouwd dat gebruikers hun eigen persoonsgegevens die bij de provider bewaard zijn kunnen inspecteren, corrigeren of verwijderen.
  • Geavanceerde privacy-ID (‘Enhanced privacy ID’ of ‘EPID’): digitaal handtekeningalgoritme dat anonimiteit in de hand werkt. I.t.t. klassieke algoritmes voor digitale handtekeningen (bv. PKI), waar elke entiteit een unieke publieke verificatiesleutel en een unieke private verificatiesleutel heeft, zorgt EPID voor een gemeenschappelijke publieke verificatiesleutel die met vele unieke private verificatiesleutels wordt geassocieerd. Op die manier kan een toestel aan een 3de partij bewijzen wat voor toestel het is zonder de exacte identiteit mee te geven (bv. je maakt kenbaar dat je een authentiek lid bent van een groep, maar je zegt niet welk lid precies).

Met welke aspecten moet ik binnen mijn organisatie rekening houden als ik privacy by design wil garanderen?

1) Moet ik wel werken met persoonsgegevens?

Je kunt je bijvoorbeeld afvragen of het voor het product of de dienst écht nodig is om persoonsgegevens te verwerken of dat er bijvoorbeeld ook kan gewerkt worden met volledig geanonimiseerde gegevens. Volledig geanonimiseerde persoonsgegevens zijn niet langer persoonsgegevens en hoeven dus op zichzelf niet speciaal beveiligd te worden.

2) Beveiliging van persoonsgegevens

Kies je er toch voor om persoonsgegevens te gaan verwerken, dan is het van belang om na te denken over de beveiliging van deze gegevens. Voorbeelden van zowel organisatorische als technische beveiligingsmaatregelen vind je in stap 7 van deze reeks, maar hier alvast enkele voorbeelden:

  • Pseudonimisering: de procedure waarbij identificeerbare gegevens m.b.v. een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Dit kan omkeerbaar en onomkeerbaar worden toegepast.
  • Encryptie: het coderen (versleutelen) van gegevens op basis van een bepaald algoritme. Deze versleutelde gegevens kunnen nadien weer gedecrypteerd (ontcijferd of gedecodeerd) worden zodat je de originele informatie terugkrijgt. Dit heet decryptie.
  • Toegangscontrole (‘access control’): het proces dat bepaalt of iemand al dan niet toegang heeft tot bepaalde mappen. Hou hierbij het need-to-knowprincipe in het achterhoofd (heeft deze persoon toegang nodig tot deze persoonsgegevens in het kader van zijn functie?).

3) Bewaartermijnen

U kunt binnen toepassingen bepaalde soorten informatie labelen als een type persoonsgegevens. Aan dat type persoonsgegevens kunt u vervolgens een bewaartermijn toekennen, zodat wanneer de termijn verloopt de gegevens automatisch worden gewist uit de database. Het risico op het lekken van die data wordt dan weggehaald.

4) Rechten van betrokkenen

Voor het opzetten van procedures waarmee de betrokkene zijn rechten m.b.t. persoonsgegevens kan inroepen kun je teruggrijpen naar stap 10 uit deze reeks. Weet dat je binnen software een bepaald scherm kunt voorzien waarin de betrokkene in oogopslag zijn persoonsgegevens kan inzien (kan je o.a. via koppelingen regelen). Dit kan een manier zijn om het recht van inzage en/of correctie op te vangen. Als een betrokkene zijn persoonsgegevens op 1 scherm gebundeld ziet is er eigenlijk al voldaan aan het recht van inzage. Dan is een kleine stap om gebruikers de kans te geven foute gegevens via een meldingssysteem te laten corrigeren door u, de verwerkingsverantwoordelijke (bv. een knop met ‘foute gegevens aanpassen’).

5) Dataminimalisatie

Software moet zo ontwikkeld zijn dat er niet meer persoonsgegevens in verwerkt worden dan strikt noodzakelijk is voor het doel van de verwerking. Denk bijvoorbeeld aan het inrichten van een online bestelproces. Het vragen naar het adres zal mogelijk noodzakelijk zijn om een product te kunnen afleveren. Een geboortedatum is daarvoor hoogstwaarschijnlijk niet noodzakelijk. Maak dus niet klakkeloos een veld aan waarin je vraagt naar de geboortedatum, maar sta stil bij de vraag of dit persoonsgegeven wel écht nodig is. En als je dan toch vraagt naar de geboortedatum voor bijvoorbeeld marketingdoeleinden, dan mag dat geen verplicht veld zijn en moet duidelijk zijn wat de gevolgen zijn van het wel of niet invullen van het veld.

6) Afschermen van persoonsgegevens

Er moet voor gezorgd worden dat persoonsgegevens nooit standaard openbaar zichtbaar zijn. Het meest sprekende voorbeeld is wellicht een profiel op social media. Dit mag wel openbaar zijn, maar slechts als een gebruiker daar eerst zélf actief voor kiest. De sociaalnetwerksite moet in de standaardinstellingen de gebruikersprofielen zoveel mogelijk afschermen. Dit principe van het afschermen van persoonsgegevens geldt voor alle ICT-toepassingen: van browser-instellingen tot een bedrijfs-app. Vergelijk het met nieuwsbrieven. Tegenwoordig mag je niet langer zomaar  nieuwsbrieven sturen: je moet je contacten informeren en actief toestemming laten geven om deze nieuwsbrief te ontvangen (= ‘opt-in’, vergeet niet dat je ook een opt-out moet voorzien!). Zo is het ook met privacy: deze moet standaard zo hoog mogelijk zijn en je moet mensen actief laten kiezen voor het breder laten delen van hun gegevens.

7) Privacy by default

Ten slotte kan privacy by default gezien worden als een onderdeel van privacy by design. Privacy by default (gegevensontwerp door standaardinstellingen) vereist dat alle standaardinstellingen van een toepassing altijd zo privacyvriendelijk mogelijk zijn. De insteek is dat je start vanaf een privacyveilige toepassing, en dat je waar nodig de privacyregels kunt versoepelen, bijvoorbeeld door op een sociaalnetwerksite foto’s te delen met meer mensen dan louter je familie. Een ander voorbeeld van privacy by default is een toepassing waar gevoelige persoonsgegevens in een apart tabblad verwerkt wordt, zodat alleen dat tabblad extra beveiligd moet worden (bv. in het geval van een zorginstelling alleen zichtbaar voor de begeleider van een patiënt).

Ok, nu snap ik ongeveer waar het om gaat. Maar hoe leg ik dit uit aan mijn collega’s?

Maak gebruik van het Privacy by Design Framework. Dit is een tool ontwikkeld door de Privacy Company (Nederlands bedrijf dat zich inzet voor een betere kennis rond privacyregels) en mede mogelijk gemaakt door het SIDN Fonds. De PDF geeft een overzicht van de stappen die je moet doorlopen om in orde te zijn met het ‘privacy by design’ principe en legt in een oogopslag uit hoe alles werkt. Zie volgende URL’s voor meer info:

(uitleg raamwerk) https://www.privacycompany.eu/blog-privacy-by-design-raamwerk/

(PDF met raamwerk) https://www.privacycompany.eu/files/Privacy%20by%20Design%20Framework.pdf

Data Protection Impact Assessment (DPIA)

Wat is een Data Protection Impact Assessment?

Een Data Protection Impact Assessment (DPIA) ofwel Gegevensbeschermingseffectbeoordeling (GEB) is een instrument waarmee organisaties privacyrisico’s in een vroegtijdig stadium op een gestructureerde en heldere manier in kaart kunnen brengen. ‘Vroegtijdig stadium’ kun je o.a. opvatten als de opbouw of aanwending van nieuwe IT-toepassingen, of het opstarten van nieuwe verwerkingsactiviteiten. Nieuwe softwaresystemen of verwerkingsactiviteiten betekent immers nieuwe databronnen, datastromen, actoren en risico’s (denk aan inventarisatie uit stap 5). Als je risico’s op een vroeg punt wegwerkt heb je het grote voordeel dat je achteraf geen wijzigingen moet doorvoeren in informatiesystemen, waardoor je grote kosten vermijdt. De AVG spreekt over DPIA (Data Protection Impact Assessment) en in de Nederlandse versie over gegevensbeschermingseffectbeoordeling (GEB), maar er wordt in teksten ook wel gesproken over Privacy Impact Assessment en privacyeffectbeoordeling.

Wanneer moet ik dit toepassen?

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Wat een ‘hoog privacyrisico’ betekent, dat moet de verwerkingsverantwoordelijke zelf bepalen. Volgens de Gegevensbeschermingsautoriteit betreft het een gegevensverwerking waarvan het waarschijnlijk is dat zij wezenlijke negatieve gevolgen zal of kan hebben voor de fundamentele rechten en vrijheden van natuurlijke personen. Dit betekent dus niet dat deze rechten en vrijheden daadwerkelijk geschonden hoeven te zijn, een waarschijnlijkheid volstaat. In het geval van nieuwe IT-toepassingen of nieuwe verwerkingsactiviteiten mag u niet beginnen met het verwerken van gegevens voordat u een DPIA (en indien nodig een voorafgaande raadpleging) heeft uitgevoerd.

Hoe bepaal ik als DPO het risico?

De AVG geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Om uit te maken hoe hoog het risico al dan niet is kunt u gebruik maken van de 9 criteria die de Artikel 29-werkgroep (WP29), het overkoepelend Europese orgaan van toezichthoudende autoriteiten, heeft opgesteld:

  • evaluatie en scoretoekenning (met inbegrip van profilering en voorspelling);
  • verwerking van gevoelige gegevens of gegevens van zeer persoonlijke aard;
  • gegevens met betrekking tot kwetsbare betrokkenen (bijvoorbeeld kinderen, bejaarden, maar ook werknemers...);
  • geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
  • verwerking van persoonsgegevens op grote schaal (op basis van het aantal betrokkenen, het volume van de gegevens, duur of permanent karakter of de geografische omvang van de activiteit);
  • innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen;
  • stelselmatige monitoring;
  • matching of samenvoeging van datasets;
  • wanneer als gevolg van de verwerking zelf betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.

De Gegevensbeschermingsautoriteit volgt bovenstaande criteria en voegt toe dat u een DPIA moet uitvoeren van zodra uw verwerking aan 2 of meer van de bovenstaande criteria voldoet.

Wanneer is een DPIA niet verplicht?

In welbepaalde gevallen is een DPIA niet verplicht. De Gegevensbeschermingsautoriteit heeft hier een lijst voor opgemaakt en benadrukt dat deze lijst evolutief is en aangepast kan worden wanneer blijkt dat ze haar doel niet meer bereikt. Ook benadrukt de Gegevensbeschermingsautoriteit dat de lijst geen enkele afbreuk doet aan de algemene verplichting van de verwerkingsverantwoordelijke om aan behoorlijke risicobeoordeling en risicobeheersing te doen. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.

Een GEB is niet vereist wanneer de verwerking:

  • noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  • uitsluitend betrekking heeft op de gegevens welke noodzakelijk zijn voor de loonadministratie van personen in dienst of werkzaam ten behoeve van de verwerkingsverantwoordelijke;
  • uitsluitend betrekking heeft op de administratie van het personeel in dienst of werkzaam ten behoeve van de verwerkingsverantwoordelijke;
  • uitsluitend betrekking heeft op de boekhouding van de verwerkingsverantwoordelijke wanneer de gegevens uitsluitend worden gebruikt voor die boekhouding;
  • uitsluitend betrekking heeft op de administratie van aandeelhouders en vennoten wanneer de verwerking alleen betrekking heeft op gegevens nodig voor die administratie;
  • is verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten;
  • uitsluitend betrekking heeft op de registratie van bezoekers in het kader van toegangscontrole;
  • is verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten in het kader van hun onderwijsopdrachten;
  • uitsluitend betrekking heeft op het beheer van de klanten of leveranciers van de verwerkingsverantwoordelijke.

Hoe voer ik een DPIA uit?

Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Belangrijke basisvereisten zijn bijvoorbeeld een systematische beschrijving van de gegevensverwerking die u gaat doen, een beoordeling van de privacyrisico’s en de maatregelen om de risico’s aan te pakken. Let overigens op dat een voorgenomen gegevensverwerking in elk geval rechtmatig is.

De DPIA moet in ieder geval het volgende bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
  • Een beoordeling van de privacyrisico's voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat je aan de AVG voldoet.

Waar vind ik een DPIA?

Er staan verschillende soorten DPIA online, waarvan de meeste betrouwbaar zijn. Hier alvast enkele voorbeelden:

https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2014/04/14-0404-Vragenlijst-PIA-v1.0.pdf

https://www.norea.nl/download/?id=522

Laat u er niet door afschrikken dat het gaat om Nederlandse voorbeelden. De AVG heeft dezelfde werking in Nederland als in België. Onthoud dat, wanneer er wordt gesproken over de Autoriteit Persoonsgegevens, u dit denkbeeldig mag vervangen door de Gegevensbeschermingsautoriteit.

Verder vindt u hier een nuttig referentiedocument:

https://www.awdc.be/en/qa-and-templates (Gegevensbeschermingseffectbeoordeling - leidraad CCTV)

Hoe kan V-ICT-OR mij helpen?

V-ICT-OR kan in het kader van een premiumabonnement helpen bij de uitvoering van een DPIA. Ook kunnen we meedenken over hoe je je software kunt optimaliseren in functie van priv