Post on 02-Jan-2021
DPIA´s theorie en praktijk
Francis JoungPrivacy Management Partners
francis.joung@pmpartners.nl
0620452863
www.pmpartners.nl
✓Data Protection Impact assessment
✓Gegevensbeschermingseffectenbeoordeling (nl)
Agenda
1. Voorstelronde
2. Wat is een PIA
3. Juridische context
4. Hoe pak je het aan?
5. Oefenen
6. Tooling
7. Samenvatting DPIA
1. VOORSTELRONDE
WAT IS PRIVACY?
Lichamelijke privacy
Gegevens-privacy
Huiselijkeprivacy
Communicatie-privacy
Vier soorten privacy
Art. 10
Grondwet
Art. 12
Grondwet
Art. 13
Grondwet
Art. 11
Grondwet
2. WAT IS EEN DPIA
Art. 35 AVG
DPIA is
• een instrument om (vooraf) privacy risico’s van een gegevensverwerking in
kaart te brengen, zodat een organisatie vervolgens passende maatregelen kan
nemen om de risico’s te verkleinen
• belangrijk om aan te tonen dat voldoet aan AVG
• verplicht bij hoog risico verwerkingen
NB: Art.35 wordt toegelicht in Guidelines on DPA van Working Party 29 17
EN/WP 248 (concept)
Stevige sanctie bij niet nakomen DPIA plichten van art. 35 AVG:
boete maximaal 10 miljoen of 2% van de wereldwijde jaaromzet
3. JURIDISCHE CONTEXT:
VERANTWOORDINGSPLICHT
Algemeen: organisatie moetaantonen dat voldoet aan AVG:
Doelspecificatie✓ Welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
Doelbinding✓ Niet verder verwerken voor onverenigbare doeleinden
Dataminimalisatie (proportionaliteit)✓ Toereikend, ter zake dienend, noodzakelijk voor de doeleinden
Datakwaliteit✓ Juist en up-to-date
Informatiebeveiliging✓ Passende technische en organisatorische maatregelen
Bewaartermijnen✓ Opslagbeperking, niet langer identificeerbaar dan voor doeleinden noodzakelijk
Verwerkingenregister art. 30 AVG
.
Register bevat:
➢ Gegevens Verantwoordelijke(n) en FG
➢ Verwerkingsdoeleinden (beter ook: grondslag verwerking)
➢ Betrokkenen en persoonsgegevens
➢ Ontvangers (ook derde landen of internationale org.) (beter ook: verzender)
➢ Gegevens derde land/internationale organisatie
➢ Bewaartermijn
➢ Alg. beschrijving technische en organisatorische beveiligingsmaatregelen
4. HOE PAK JE HET AAN?
DPIA is multidisciplinairSpecialisten vereist, maar altijd in combinatie
Privacy
Juridisch
IT-security
ComplianceICT
Audit
Praktijk aanpak:
➢ Analyse juridisch kader
➢ Vragenlijst (maatwerk)
➢ Workshop
➢ Aangevulde vragenlijst
➢ Interviews
➢ Check systemen
➢ Concept DPIA rapport
➢ Review
➢ Definitief DPIA rapport
Art 35: een DPIA bevat minimaal:
➢ Juridisch kader (stap 1)
➢ Beschrijving proces en doelen (stap 2)
➢ Beoordeling noodzaak/evenredigheid (stap 3)
➢ Beoordeling risico’s (stap 4)
➢ Passende maatregelen (stap 5)
Stap 1: Juridisch kader
- AVG
- Andere toepasselijke algemene privacyregels✓ Telecommuncatiewet
✓ ..
- Sectorspecifieke privacyregels✓ Gedragscode
✓ Wet Financieel Toezicht
✓ Wet ter voorkoming van witwassen en financieren terrorisme
✓ Zorgverzekeringswet
✓ ..
- Verplichtingen vanuit toezichthouders✓ Bijv. DNB Cloudrisico analyses bij SAAS, IAAS en PAAS toepassingen
✓ ..
Stap 2: Beschrijving proces en doelen
- Procesbeschrijving omvat:✓ Artikel 30 AVG elementen (doelen, soort persoonsgegevens etc.)
✓ Vennootschappen
✓ Afdelingen
✓ Software
✓ Hardware
✓ Verwerkers
✓ .NB: ook relevante afwijkingen van reguliere proces, zoals workarounds en excels.
Voorbeeld
AAA gaat als verzekeraar contracten aan met klanten. Potentiële klanten
(prospects) kunnen enkel via de website of via een bemiddelaar een
leveringscontract met AAA aangaan.
We lichten het contracteringsproces toe met een flowchart en een tabel met de
basisgegevens van de verschillende processtappen.
In de flowchart hieronder is te zien dat een prospect een contract aangaat (1a)
door het invullen een digitaal aanmeldformulier op de website. Diens gegevens
worden dan via de front end van Internetbedrijf BBB direct opgeslagen (4) in
CCC (administratiesoftware van DDD), die draait op de servers van EEE. (1b)
De prospect kan ook een contract aangaan via een bemiddelaar. (2) Tijdens
het aanmeldproces wordt er gecheckt in het FFF-systeem van GGG of …. (3)
Indien de klant vragen heeft, kan hij/zij ondersteuning vragen bij de
Klantenservice, telefonisch, via de e-mail of per brief. (5) Na het sluiten van het
contract wordt de contractinformatie doorgegeven aan FFF-systeem.
Voorbeeld
Stap 3: Beoordeling noodzaak/evenredigheid
= analyse of verwerking van deze persoonsgegevens noodzakelijk is
gelet op de rechtsgrondslag(en) en doel(en)
Hier bespreken:
1. de grondslagen
2. de doelen
3. en of de verwerkte persoonsgegevens in dit proces proportioneel zijn
gelet op de doelen
Voorbeeld
Grondslagen:
* Verwerking is noodzakelijk voor de uitvoering van een overeenkomst (artikel 6
lid 1 sub b AVG). Dit speelt bij het aangaan van de verzekeringsovereenkomst,
contract management en facturatie
* Verwerking is noodzakelijk voor gerechtvaardigd belang (artikel 6 lid 1 sub f
AVG). Dit speelt bij verwerking voor bijvoorbeeld fraudemanagement,
marketing of analyticsdoeleinden
Doelen:
* het aangaan van verzekeringsovereenkomsten
* het verwerken van mutaties
* het uitvoeren van die verzekeringsovereenkomsten
We zijn op basis van de door XX geleverde informatie van oordeel dat de
verwerking van persoonsgegevens in de YY processen (dus van de in
hoofdstuk 3 in de tabellen opgesomde categorieën persoonsgegevens)
voldoen aan de door de AVG genoemde eisen van noodzakelijk en
evenredigheid (proportionaliteit) voor deze doelen. Want … (voorbeeld geven)
Stap 4: Beoordeling risico’s
= uitwerking en wegen kans en impact van risico’s
Er zijn verhoogde risico’s bij:
➢ Gebruik van bijzondere persoonsgegevens (zoals ras/etnische afkomst,
politieke opvattingen, genetische gegevens, gezondheidsgegevens en
strafrechtelijke persoonsgegevens)
➢ Gebruik van persoonsgegevens van minderjarigen
➢ Grootschalig monitoren van het publiek
➢ Gebruik van nieuwe technologieën
➢ Gebruik van geautomatiseerde individuele besluitvorming, waaronder
profilering
➢ Overige risico's:
NB: doe dit ook voor organisatie risico’s
Beoordeling risico’s
Voorbeeld
• Ernstige persoonlijke risico’s zijn een 3 op de X-as, maar dan in negatieve
zin (‘-3’). Het gaat om levensverwoestende persoonlijke risico’s. Bijvoorbeeld
ernstige persoonlijke beschadiging in sociale context, gevaren voor de
persoonlijke veiligheid of gezondheid of ernstige economische schade
(bijvoorbeeld risico van faillissement).
• Ernstige organisatierisico’s (‘-C’ op de Y-as) bestaan uit grote imagoschade,
klantverlies, bestuurders in opspraak, hoge kosten door schadeclaims,
reparatie, juridische kosten of bestuurlijke boetes tot 10% van de jaaromzet
Stap 5: Passende beheers-maatregelen
= voor elke risico dient een voor de omvang van dat risico passende
beheersmaatregel aanwezig te zijn of te worden geïmplementeerd
Bijvoorbeeld:
➢ Voldoe aan de wettelijke (privacy)informatieverplichtingen jegens
betrokkenen door het tonen van op het betreffende proces afgestemde
privacy statement op de in de wet voorgeschreven tijdstippen
➢ Maak schriftelijke verwerkersafspraken met alle verwerkers, volgens een
standaardprocedure met inschakeling van de juiste disciplines, zoals
Juridische Zaken
➢ Gebruik de informatie uit dit PIA-rapport -aangevuld met nog vast te stellen
rechtmatige bewaartermijnen- voor het maken van een artikel 30 AVG-
register voor de verwerkingen van XX
5. OEFENEN
Sessie 1
Vraag 1: Wat zijn de 10 grootste privacy risico’s in het door uw
organisatie gebruikte verkoopproces van verzekeringen? Kunt u per
risico een beheersmaatregel formuleren? Hoe waardeert u het risico van
dat proces, laag midden of hoog? Waarom
Vraag 2: Zilveren Kruis gaat een nieuw klantadministratiesysteem
opzetten. Is een DPIA verplicht? Schat u het risico van deze verwerking in
op laag, midden of hoog?
Vraag 3: Voor een deel van de processen van uw bedrijf is gelet op de
criteria van artikel 35 geen DPIA verplicht. Houdt dit in dat u geen
onderzoek moet doen/inzicht hebben in deze processen? Zo ja, op grond
waarvan? En welk inzicht moet u hebben? Zo nee, waarom niet?
Vraag 4: Uw bedrijf gaat de internet activiteiten/privégebruik van werkmail
van uw werknemers monitoren. Is een DPIA verplicht? Benoem 5
privacyrisco’s in dit proces. En de bijbehorende passende
beheersmaatregel die u voorstelt
Sessie 1
Vraag 5: Uw bedrijf heeft in haar privacy beleid opgenomen dat zij op de
belangrijke processen eens per 4 jaar een DPIA uitvoert. Is dat voldoende
frequent?
Sessie 2
Vraag 1: Ziektekostenverzekeraar XX kiest ervoor om met name via de
mail met haar klanten te communiceren. Zij vraagt ook medische
gegevens op per mail.
Wat ziet u als de 4 voornaamste privacy risico’s en welke
beheersmaatregelen stelt u voor?
Vraag 2: Ziektekostenverzekeraar XX is van plan komend jaar in plaats
van via de mail al haar communicatie via een portal die wordt gehost door
bedrijf YY te gaan doen. Welke 10 vragen gaat u in uw PIA vragenlijst
stellen mbt de belangrijkste risico’s? En welke beheersmaatregelen
waarvan minimaal 2 die zien op informatiebeveiliging kunt u bedenken?
Vraag 3: De medewerkers van klantenservice van uw bedrijf hebben
onvoldoende basiskennis van privacy. Wat zijn de risico’s? En welke
beheersmaatregelen zijn te bedenken?
Sessie 2
Vraag 4: Levensverzekeraar XX bewaart haar dossiers voor onbepaalde
tijd, vanuit de gedachte dat er altijd nog claims kunnen binnenkomen.
Wat is het risico en welke beheersmaatregel kunt bedenken?
Sessie 3
Vraag 1: Het verzekeringsconcern XX is van plan de
verzekeringsadministratie van haar schade- en levensverzekeraar uit te
besteden aan een bedrijf met een cloudoplossing. Dat bedrijf gaat ook
analyses uitvoeren op beide datasets voor mogelijke marketingacties. Is
een DPIA hierop verplicht? Welke 10 risico’s ziet u hier en welke
beheersmaatregelen stelt u voor?
Vraag 2: Uw bedrijf gaat fingerprint recognition gebruiken voor de
toegang van uw medewerkers. Is een DPIA verplicht?
Vraag 3: Wat ziet u als de 8 voornaamste privacy risico’s is het proces
waarin u nu werkzaam bent? En welke beheersmaatregelen stelt u voor?
Hoe waardeert u dat proces qua risico, laag ,midden of hoog? En
waarom?
6. TOOLING
VR: WELKE TOOLS
GEBRUIKEN JULLIE VOOR
DPIA’S?
Tooling
is een hulpmiddel
Tooling voor:
- Analyse
- Datamapping
- GRC (Governace Risk & Complaince)
1. Analyse
brengt in beeld waar persoonsgegevens
zitten in systemen en processen
2. DatamappingLegt vast waar, hoe en waarompersoons gegevens verwerkt en gedeeld
Binnen de organisatie
Persoonsgegevens
HR
Sales
Marketing
Uitvoering
En in processen tussen verschillende organisaties
Uw organisatie
Partner 1
Partner 2
Persoonsgegevens
Persoonsgegevens
V.b.: PMP DataMapper
Verwerkingsregister(art 30 AVG)
Naam van verwerking ……
Ten behoeve van welk proces ……
Naam van verantwoordelijke ……
Doeleneinde(n) gegevensverwerking ……
Wie zijn (categorieën) betrokkenen van de verwerking? ……
Welke gegevens of gegevenscategorieën worden verwerkt? ……
Aan wie worden de gegevens (mogelijk) verwerkt gedurende de
verwerking?
……
Zijn er voorgenomen doorgiften van gegevens aan derde landen of
internationale organisaties?……
Wat zijn de beoogde bewaartermijnen, voor zover dit duidelijk is? ……
Welke technische en organisatorische beveiligingsmaatregelen gelden
er? Geef een algemene beschrijving voor zover dit duidelijk is.……
3. GRC (Governance Risicomanagement & Compliance)
PrivacyManager
Advies – Toolbox - Ondersteuning
Opstart Organisatie-PIAKapstokbeleid(beleidskader) Werkprogramma
Implementatie Proces-PIA’sProcesplannen
(Privacy byDesign)
Uitvoering (projectaanpak)
Beheer Key controls Artikel 30-registerMonitoring &
bijsturing
V.b.: PMP Privacy manager
• Op basis van risico’s worden controls geformuleerd
• die worden gescored (beheersmaatregel aanwezig en effectief ja/nee,deels)
• waarbij evidence kan worden opgenomen (rode punaise in laatste kolom)
• Drie rollen: uitvoerder, reviewer en procesmanager
Uitvoerder: 1e lijn die invult
Reviewer: 2e lijn die controleert
Procesmanager: FG/privacy officer/compliance officer die monitort,
voortgang bewaakt en rapporteert
aan directie
• Rapportages
7. SAMENVATTING DPIA
DPIA verplicht
Mogelijk hoog risico *
- Bijz persoonsgegevens
- Nieuwe technologiën
- Systematische monitoring
- Grootschalige verwerking
- Geautom. besluitvorming
- Combineren datasets
Mening
verwerking
betrokkenen
Art. 35(9)
Gedragscode(s)
Art.35(8)
DPO advies
Art. 35(2)
Controle
Art. 39.1(c)
Uitvoeren DPIA
Hoog risico
beperkt met
redelijke
middelen
Raadpleeg
toezichthouder
Art. 36
JaNee
DPIA voldoende
Geen DPIA nodig
Ja Nee
Toets aan witte en
zwarte lijsten
toezichthouder
Art. 35(4)(5)(6)
Toets aan
soortgelike
verwerkingen
Grotere scope
door
samenwerking
met anderen
Toestemming
uitvoering
gegevens-
verwerking
Ja
Gegevensverwerking niet
toegestaan
Nee* Indien aan minimaal 2 van de 10 criteria uit de
lijst op pagina 7 t/m 10 van de Guidelines on
DPIA van WP 29 is voldaan is een DPIA verplicht
DPIA omvat
Beschrijving van de
(beoogde)
verwerking
Beoordeling
noodzaak en
proportionaliteit
Beoordeling
juridisch kader en
beschrijving
verwerking/doelen
Beoordeling
Risico’s van
rechten en vrijheid
betrokkenen
Beoogde beheers-
maatregelen
Vastleggen en
documenteren
Monitoren en
revieuwen
Vragen?
PMPPrivacy Management Partnersrancis.joung@pmpartners.nl
francis.joung@pmpartners.nl
Expertise en ervaring van professionals die hun sporen hebben verdiend in het bedrijfsleven, bij de overheid en de Autoriteit Persoonsgegevens
Praktische oplossingen voor privacy
• Advies• Support• Beleidsinstrumenten• Toezicht (FG-diensten) • Privacy Impact Assessments• Monitoring & documentering• Regulatory Affairs