DPIA´s theorie en praktijk

Francis JoungPrivacy Management Partners

francis.joung@pmpartners.nl

0620452863

www.pmpartners.nl

✓Data Protection Impact assessment

✓Gegevensbeschermingseffectenbeoordeling (nl)

Agenda

1. Voorstelronde

2. Wat is een PIA

3. Juridische context

4. Hoe pak je het aan?

5. Oefenen

6. Tooling

7. Samenvatting DPIA

1. VOORSTELRONDE

WAT IS PRIVACY?

Lichamelijke privacy

Gegevens-privacy

Huiselijkeprivacy

Communicatie-privacy

Vier soorten privacy

Art. 10

Grondwet

Art. 12

Grondwet

Art. 13

Grondwet

Art. 11

Grondwet

2. WAT IS EEN DPIA

Art. 35 AVG

DPIA is

• een instrument om (vooraf) privacy risico’s van een gegevensverwerking in

kaart te brengen, zodat een organisatie vervolgens passende maatregelen kan

nemen om de risico’s te verkleinen

• belangrijk om aan te tonen dat voldoet aan AVG

• verplicht bij hoog risico verwerkingen

NB: Art.35 wordt toegelicht in Guidelines on DPA van Working Party 29 17

EN/WP 248 (concept)

Stevige sanctie bij niet nakomen DPIA plichten van art. 35 AVG:

boete maximaal 10 miljoen of 2% van de wereldwijde jaaromzet

3. JURIDISCHE CONTEXT:

VERANTWOORDINGSPLICHT

Algemeen: organisatie moetaantonen dat voldoet aan AVG:

Doelspecificatie✓ Welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden

Doelbinding✓ Niet verder verwerken voor onverenigbare doeleinden

Dataminimalisatie (proportionaliteit)✓ Toereikend, ter zake dienend, noodzakelijk voor de doeleinden

Datakwaliteit✓ Juist en up-to-date

Informatiebeveiliging✓ Passende technische en organisatorische maatregelen

Bewaartermijnen✓ Opslagbeperking, niet langer identificeerbaar dan voor doeleinden noodzakelijk

Verwerkingenregister art. 30 AVG

.

Register bevat:

➢ Gegevens Verantwoordelijke(n) en FG

➢ Verwerkingsdoeleinden (beter ook: grondslag verwerking)

➢ Betrokkenen en persoonsgegevens

➢ Ontvangers (ook derde landen of internationale org.) (beter ook: verzender)

➢ Gegevens derde land/internationale organisatie

➢ Bewaartermijn

➢ Alg. beschrijving technische en organisatorische beveiligingsmaatregelen

4. HOE PAK JE HET AAN?

DPIA is multidisciplinairSpecialisten vereist, maar altijd in combinatie

Privacy

Juridisch

IT-security

ComplianceICT

Audit

Praktijk aanpak:

➢ Analyse juridisch kader

➢ Vragenlijst (maatwerk)

➢ Workshop

➢ Aangevulde vragenlijst

➢ Interviews

➢ Check systemen

➢ Concept DPIA rapport

➢ Review

➢ Definitief DPIA rapport

Art 35: een DPIA bevat minimaal:

➢ Juridisch kader (stap 1)

➢ Beschrijving proces en doelen (stap 2)

➢ Beoordeling noodzaak/evenredigheid (stap 3)

➢ Beoordeling risico’s (stap 4)

➢ Passende maatregelen (stap 5)

Stap 1: Juridisch kader

- AVG

- Andere toepasselijke algemene privacyregels✓ Telecommuncatiewet

✓ ..

- Sectorspecifieke privacyregels✓ Gedragscode

✓ Wet Financieel Toezicht

✓ Wet ter voorkoming van witwassen en financieren terrorisme

✓ Zorgverzekeringswet

✓ ..

- Verplichtingen vanuit toezichthouders✓ Bijv. DNB Cloudrisico analyses bij SAAS, IAAS en PAAS toepassingen

✓ ..

Stap 2: Beschrijving proces en doelen

- Procesbeschrijving omvat:✓ Artikel 30 AVG elementen (doelen, soort persoonsgegevens etc.)

✓ Vennootschappen

✓ Afdelingen

✓ Software

✓ Hardware

✓ Verwerkers

✓ .NB: ook relevante afwijkingen van reguliere proces, zoals workarounds en excels.

Voorbeeld

AAA gaat als verzekeraar contracten aan met klanten. Potentiële klanten

(prospects) kunnen enkel via de website of via een bemiddelaar een

leveringscontract met AAA aangaan.

We lichten het contracteringsproces toe met een flowchart en een tabel met de

basisgegevens van de verschillende processtappen.

In de flowchart hieronder is te zien dat een prospect een contract aangaat (1a)

door het invullen een digitaal aanmeldformulier op de website. Diens gegevens

worden dan via de front end van Internetbedrijf BBB direct opgeslagen (4) in

CCC (administratiesoftware van DDD), die draait op de servers van EEE. (1b)

De prospect kan ook een contract aangaan via een bemiddelaar. (2) Tijdens

het aanmeldproces wordt er gecheckt in het FFF-systeem van GGG of …. (3)

Indien de klant vragen heeft, kan hij/zij ondersteuning vragen bij de

Klantenservice, telefonisch, via de e-mail of per brief. (5) Na het sluiten van het

contract wordt de contractinformatie doorgegeven aan FFF-systeem.

Voorbeeld

Stap 3: Beoordeling noodzaak/evenredigheid

= analyse of verwerking van deze persoonsgegevens noodzakelijk is

gelet op de rechtsgrondslag(en) en doel(en)

Hier bespreken:

1. de grondslagen

2. de doelen

3. en of de verwerkte persoonsgegevens in dit proces proportioneel zijn

gelet op de doelen

Voorbeeld

Grondslagen:

* Verwerking is noodzakelijk voor de uitvoering van een overeenkomst (artikel 6

lid 1 sub b AVG). Dit speelt bij het aangaan van de verzekeringsovereenkomst,

contract management en facturatie

* Verwerking is noodzakelijk voor gerechtvaardigd belang (artikel 6 lid 1 sub f

AVG). Dit speelt bij verwerking voor bijvoorbeeld fraudemanagement,

marketing of analyticsdoeleinden

Doelen:

* het aangaan van verzekeringsovereenkomsten

* het verwerken van mutaties

* het uitvoeren van die verzekeringsovereenkomsten

We zijn op basis van de door XX geleverde informatie van oordeel dat de

verwerking van persoonsgegevens in de YY processen (dus van de in

hoofdstuk 3 in de tabellen opgesomde categorieën persoonsgegevens)

voldoen aan de door de AVG genoemde eisen van noodzakelijk en

evenredigheid (proportionaliteit) voor deze doelen. Want … (voorbeeld geven)

Stap 4: Beoordeling risico’s

= uitwerking en wegen kans en impact van risico’s

Er zijn verhoogde risico’s bij:

➢ Gebruik van bijzondere persoonsgegevens (zoals ras/etnische afkomst,

politieke opvattingen, genetische gegevens, gezondheidsgegevens en

strafrechtelijke persoonsgegevens)

➢ Gebruik van persoonsgegevens van minderjarigen

➢ Grootschalig monitoren van het publiek

➢ Gebruik van nieuwe technologieën

➢ Gebruik van geautomatiseerde individuele besluitvorming, waaronder

profilering

➢ Overige risico's:

NB: doe dit ook voor organisatie risico’s

Beoordeling risico’s

Voorbeeld

• Ernstige persoonlijke risico’s zijn een 3 op de X-as, maar dan in negatieve

zin (‘-3’). Het gaat om levensverwoestende persoonlijke risico’s. Bijvoorbeeld

ernstige persoonlijke beschadiging in sociale context, gevaren voor de

persoonlijke veiligheid of gezondheid of ernstige economische schade

(bijvoorbeeld risico van faillissement).

• Ernstige organisatierisico’s (‘-C’ op de Y-as) bestaan uit grote imagoschade,

klantverlies, bestuurders in opspraak, hoge kosten door schadeclaims,

reparatie, juridische kosten of bestuurlijke boetes tot 10% van de jaaromzet

Stap 5: Passende beheers-maatregelen

= voor elke risico dient een voor de omvang van dat risico passende

beheersmaatregel aanwezig te zijn of te worden geïmplementeerd

Bijvoorbeeld:

➢ Voldoe aan de wettelijke (privacy)informatieverplichtingen jegens

betrokkenen door het tonen van op het betreffende proces afgestemde

privacy statement op de in de wet voorgeschreven tijdstippen

➢ Maak schriftelijke verwerkersafspraken met alle verwerkers, volgens een

standaardprocedure met inschakeling van de juiste disciplines, zoals

Juridische Zaken

➢ Gebruik de informatie uit dit PIA-rapport -aangevuld met nog vast te stellen

rechtmatige bewaartermijnen- voor het maken van een artikel 30 AVG-

register voor de verwerkingen van XX

5. OEFENEN

Sessie 1

Vraag 1: Wat zijn de 10 grootste privacy risico’s in het door uw

organisatie gebruikte verkoopproces van verzekeringen? Kunt u per

risico een beheersmaatregel formuleren? Hoe waardeert u het risico van

dat proces, laag midden of hoog? Waarom

Vraag 2: Zilveren Kruis gaat een nieuw klantadministratiesysteem

opzetten. Is een DPIA verplicht? Schat u het risico van deze verwerking in

op laag, midden of hoog?

Vraag 3: Voor een deel van de processen van uw bedrijf is gelet op de

criteria van artikel 35 geen DPIA verplicht. Houdt dit in dat u geen

onderzoek moet doen/inzicht hebben in deze processen? Zo ja, op grond

waarvan? En welk inzicht moet u hebben? Zo nee, waarom niet?

Vraag 4: Uw bedrijf gaat de internet activiteiten/privégebruik van werkmail

van uw werknemers monitoren. Is een DPIA verplicht? Benoem 5

privacyrisco’s in dit proces. En de bijbehorende passende

beheersmaatregel die u voorstelt

Sessie 1

Vraag 5: Uw bedrijf heeft in haar privacy beleid opgenomen dat zij op de

belangrijke processen eens per 4 jaar een DPIA uitvoert. Is dat voldoende

frequent?

Sessie 2

Vraag 1: Ziektekostenverzekeraar XX kiest ervoor om met name via de

mail met haar klanten te communiceren. Zij vraagt ook medische

gegevens op per mail.

Wat ziet u als de 4 voornaamste privacy risico’s en welke

beheersmaatregelen stelt u voor?

Vraag 2: Ziektekostenverzekeraar XX is van plan komend jaar in plaats

van via de mail al haar communicatie via een portal die wordt gehost door

bedrijf YY te gaan doen. Welke 10 vragen gaat u in uw PIA vragenlijst

stellen mbt de belangrijkste risico’s? En welke beheersmaatregelen

waarvan minimaal 2 die zien op informatiebeveiliging kunt u bedenken?

Vraag 3: De medewerkers van klantenservice van uw bedrijf hebben

onvoldoende basiskennis van privacy. Wat zijn de risico’s? En welke

beheersmaatregelen zijn te bedenken?

Sessie 2

Vraag 4: Levensverzekeraar XX bewaart haar dossiers voor onbepaalde

tijd, vanuit de gedachte dat er altijd nog claims kunnen binnenkomen.

Wat is het risico en welke beheersmaatregel kunt bedenken?

Sessie 3

Vraag 1: Het verzekeringsconcern XX is van plan de

verzekeringsadministratie van haar schade- en levensverzekeraar uit te

besteden aan een bedrijf met een cloudoplossing. Dat bedrijf gaat ook

analyses uitvoeren op beide datasets voor mogelijke marketingacties. Is

een DPIA hierop verplicht? Welke 10 risico’s ziet u hier en welke

beheersmaatregelen stelt u voor?

Vraag 2: Uw bedrijf gaat fingerprint recognition gebruiken voor de

toegang van uw medewerkers. Is een DPIA verplicht?

Vraag 3: Wat ziet u als de 8 voornaamste privacy risico’s is het proces

waarin u nu werkzaam bent? En welke beheersmaatregelen stelt u voor?

Hoe waardeert u dat proces qua risico, laag ,midden of hoog? En

waarom?

6. TOOLING

VR: WELKE TOOLS

GEBRUIKEN JULLIE VOOR

DPIA’S?

Tooling

is een hulpmiddel

Tooling voor:

- Analyse

- Datamapping

- GRC (Governace Risk & Complaince)

1. Analyse

brengt in beeld waar persoonsgegevens

zitten in systemen en processen

2. DatamappingLegt vast waar, hoe en waarompersoons gegevens verwerkt en gedeeld

Binnen de organisatie

Persoonsgegevens

HR

Sales

Marketing

Uitvoering

En in processen tussen verschillende organisaties

Uw organisatie

Partner 1

Partner 2

Persoonsgegevens

Persoonsgegevens

V.b.: PMP DataMapper

Verwerkingsregister(art 30 AVG)

Naam van verwerking ……

Ten behoeve van welk proces ……

Naam van verantwoordelijke ……

Doeleneinde(n) gegevensverwerking ……

Wie zijn (categorieën) betrokkenen van de verwerking? ……

Welke gegevens of gegevenscategorieën worden verwerkt? ……

Aan wie worden de gegevens (mogelijk) verwerkt gedurende de

verwerking?

……

Zijn er voorgenomen doorgiften van gegevens aan derde landen of

internationale organisaties?……

Wat zijn de beoogde bewaartermijnen, voor zover dit duidelijk is? ……

Welke technische en organisatorische beveiligingsmaatregelen gelden

er? Geef een algemene beschrijving voor zover dit duidelijk is.……

3. GRC (Governance Risicomanagement & Compliance)

PrivacyManager

Advies – Toolbox - Ondersteuning

Opstart Organisatie-PIAKapstokbeleid(beleidskader) Werkprogramma

Implementatie Proces-PIA’sProcesplannen

(Privacy byDesign)

Uitvoering (projectaanpak)

Beheer Key controls Artikel 30-registerMonitoring &

bijsturing

V.b.: PMP Privacy manager

• Op basis van risico’s worden controls geformuleerd

• die worden gescored (beheersmaatregel aanwezig en effectief ja/nee,deels)

• waarbij evidence kan worden opgenomen (rode punaise in laatste kolom)

• Drie rollen: uitvoerder, reviewer en procesmanager

Uitvoerder: 1e lijn die invult

Reviewer: 2e lijn die controleert

Procesmanager: FG/privacy officer/compliance officer die monitort,

voortgang bewaakt en rapporteert

aan directie

• Rapportages

7. SAMENVATTING DPIA

DPIA verplicht

Mogelijk hoog risico *

- Bijz persoonsgegevens

- Nieuwe technologiën

- Systematische monitoring

- Grootschalige verwerking

- Geautom. besluitvorming

- Combineren datasets

Mening

verwerking

betrokkenen

Art. 35(9)

Gedragscode(s)

Art.35(8)

DPO advies

Art. 35(2)

Controle

Art. 39.1(c)

Uitvoeren DPIA

Hoog risico

beperkt met

redelijke

middelen

Raadpleeg

toezichthouder

Art. 36

JaNee

DPIA voldoende

Geen DPIA nodig

Ja Nee

Toets aan witte en

zwarte lijsten

toezichthouder

Art. 35(4)(5)(6)

Toets aan

soortgelike

verwerkingen

Grotere scope

door

samenwerking

met anderen

Toestemming

uitvoering

gegevens-

verwerking

Ja

Gegevensverwerking niet

toegestaan

Nee* Indien aan minimaal 2 van de 10 criteria uit de

lijst op pagina 7 t/m 10 van de Guidelines on

DPIA van WP 29 is voldaan is een DPIA verplicht

DPIA omvat

Beschrijving van de

(beoogde)

verwerking

Beoordeling

noodzaak en

proportionaliteit

Beoordeling

juridisch kader en

beschrijving

verwerking/doelen

Beoordeling

Risico’s van

rechten en vrijheid

betrokkenen

Beoogde beheers-

maatregelen

Vastleggen en

documenteren

Monitoren en

revieuwen

Vragen?

PMPPrivacy Management Partnersrancis.joung@pmpartners.nl

francis.joung@pmpartners.nl

Expertise en ervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en de Autoriteit Persoonsgegevens

Praktische oplossingen voor privacy

• Advies• Support• Beleidsinstrumenten• Toezicht (FG-diensten) • Privacy Impact Assessments• Monitoring & documentering• Regulatory Affairs