Uitleg over risico's, DPIA, score Verwerking van Ervaringwijzer
Dit artikel is een toelichting over het proces waarin risico's in kaart worden gebracht bij de verwerking van persoonsgegevens.
Aan het einde van het artikel wordt dit proces toegespitst op dit proces bij Ervaringwijzer.
Definities:
Risico: een scenario dat een gebeurtenis en de gevolgen ervan beschrijft, ingeschat in termen van ernst en waarschijnlijkheid.
Risicobeheer: de gecoördineerde activiteiten om een organisatie te sturen en te beheren wat risico's betreft.
Data Protection Impact Assessment (DPIA): een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.
Het Proces
Het proces start met een beoordeling van negen criteria die zijn opgesteld vanuit de Europese privacy toezichthouders. Deze negen criteria beoordelen of de verwerking van persoonsgegevens een hoog risico opleveren van betrokkenen. Wanneer twee of meer van de onderstaande criteria van toepassing zijn op het proces waar persoonsgegevens worden verwerkt, dan moet een DPIA worden uitgevoerd.
Beoordelen van mensen op basis van persoonskenmerken - kenmerken als gezondheid, persoonlijke voorkeuren, gedrag interesses etc.
Geautomatiseerde beslissingen - beslissingen die rechtsgevolgen hebben voor betrokkenen.
Stelselmatige en grootschalige monitoring - dit heeft betrekking op openbare toegankelijke ruimte zoals cameratoezicht.
Gevoelige informatie - etnische afkomst, politieke opvattingen, gezondheid etc.
Grootschalige gegevensverwerking - dit wordt bepaald op basis van: de hoeveelheid mensen, de hoeveelheid gegevens, de tijdsduur en de geografische reikwijdte. Een grootschalige verwerker is er een die individuen volgt of bijzondere persoonsgegevens van individuen verwerkt.
Gekoppelde databases - databases die voortkomen uit twee of meer gegevensverwerkingen.
Gegevens over kwetsbare personen - ongelijke machtsverhouding waardoor betrokkenen niet altijd in staat zijn om zelf toestemming kunnen geven of weigeren.
Gebruik van nieuwe technologieën - Kunstmatige intelligentie, Internet of Things etc.
Blokkering van een recht, dienst of contract - de verwerking mag geen belemmering opleveren voor een van de drie genoemde.
Indien het lastig is deze negen criteria te beoordelen, dan kan ook worden gekeken naar het advies van de Autoriteit Persoonsgegevens: "Voer een DPIA uit wanneer:
Systematisch en uitgebreid persoonlijke aspecten worden geëvalueerd gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen.
Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt.
Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)."
Resultaat DPIA
Uit een DPIA komt naar voren of er bij de voorgenomen verwerking sprake is van (rest)risico’s omtrent privacy. Het gaat dan om ernstige situaties die ondanks voorzorgsmaatregelen nog zouden kunnen gebeuren. De beoordeling van deze restrisico's gebeurt aan de hand van deze vier punten:
Geef aan welke hoge privacy risico’s niet volledig kunnen worden voorkomen.
Vermeld specifiek in welke situatie(s), of met betrekking tot welke onderdelen, er sprake is van een hoog restrisico.
Geef aan hoe waarschijnlijk het lijkt dat de omschreven situatie zich ondanks de getroffen maatregelen toch voordoet.
Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie persoonsgegevens worden verwerkt.
Deze vier velden worden in een matrix ingedeeld op Kans en Impact. Dit wordt vervolgens gekwantificeerd door een getal toe te kennen tussen de 1 en 16.
Aan de hand van de score kan bepaald worden of er maatregelen moeten worden getroffen om de risico's in te perken.
Bij een score van 1 tot 5 is het niet nodig om een risico te mitigeren.
Bij een score van 6 tot 8 moet de afweging worden gemaakt om het risico te mitigeren met een maatregel.
Bij een score van 9 of hoger dienen meerdere maatregelen te worden getroffen binnen 3 tot 6 maanden.
Verwerking Ervaringwijzer
Met Ervaringwijzer stuur je (digitaal) vragenlijsten naar personen. In het proces van uitsturen geven gebruikers hierbij persoonsgegevens (mobiel nummer, mailadres of N.A.W. gegevens) door aan Ervaringwijzer. Ervaringwijzer koppelt deze gegevens aan een unieke link (uitnodiging) en geeft een sub verwerker de opdracht om de uitnodiging te sturen naar de persoon. Welke sub verwerker de verwerking realiseert hangt af van welke persoonsgegevens zijn doorgegeven. Een mobiel nummer resulteert in een SMS, een mailadres in een email en N.A.W. gegevens in een fysieke brief.
Uit de negen criteria aan het begin van het artikel zijn vier criteria die op het eerste gezicht raakvlakken hebben met de Verwerking van Ervaringwijzer:
Gevoelige informatie
Grootschalige gegevensverwerking
Gekoppelde databases
Gegevens over kwetsbare personen
Drie van de vier punten staan ter discussie en dienen naar eigen inzicht te worden beoordeelt.
Gekoppelde databases is het enige criteria dat met zekerheid van toepassing is bij Ervaringwijzer.
Diverse partijen hebben een DPIA uitgevoerd met als meest recente de gemeente Amersfoort, Gemeente Utrecht, Gemeente Stichtse Vecht en KOOS Utrecht.
Uit hun onderzoek kwam naar voren dat geen enkel onderdeel van Ervaringwijzer hoger scoort dan een vier in de matrix van Kans vs. Impact.
De risico’s bij de Verwerking van Ervaringwijzer zijn dus klein. De bovengenoemde organisaties delen graag hun bevindingen. Indien u dit wilt kunt u contact met ons opnemen.
In het geval naar voren komt dat de verwerking van persoonsgegevens een hoog risico oplevert en er niet voldoende maatregelen zijn om het risico te beperken. Dan moet er contact worden gezocht met de Autoriteit Persoonsgegevens voor de verwerking start. Dit proces wordt een ‘voorafgaande raadpleging’ genoemd.
Bijgewerkt op: 16/01/2023
Dankuwel!