DPIA delen?
Bij Privacy Company merken we duidelijk een overgang in het soort werk dat we doen voor klanten sinds de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Organisaties hebben veelal de verplichtingen geïmplementeerd binnen de organisatie en steken nu meer moeite in het vasthouden van het behaalde niveau. Denk hierbij aan het instellen van een Plan Do Check Act cyclus voor privacy en gegevensbescherming, of het uitvoeren van een Data Protection Impact Assessment (DPIA) op een nieuw systeem of dienst (artikel 35 AVG). Over deze laatste verplichting gaat deze blog, en wel in het bijzonder over het openbaar maken van een uitgevoerde DPIA. Ik vertel je over de redenen om een DPIA openbaar te maken met wat tips hoe je dit het beste kunt doen!
Wat is een DPIA?
De DPIA is een manier om verwerkingen te analyseren die mogelijk een hoog risico voor de betrokkene inhouden. Denk hierbij aan systemen die de betrokkene kunnen volgen, of gemakkelijk in een hokje kunnen plaatsen (‘profileren’). Het heeft als doel om de bescherming van persoonsgegevens onderdeel te maken van het afwegingsproces bij de ontwikkeling van een nieuwe dienst of product. Het is één manier om aan het Privacy by Design-vereiste uit de AVG te voldoen. Het instrument is dus een middel om naleving van de privacyregelgeving te verbeteren.
De uitkomsten van de DPIA moeten leidend zijn bij het kiezen van de passende maatregelen om zo aan te tonen dat de privacyregelgeving wordt nageleefd bij het verwerken van persoonsgegevens. Op deze manier worden de hoge risico’s door de maatregelen verlaagd tot een acceptabel niveau. Wanneer dit niet lukt en het risico te hoog blijft, moet een organisatie bij de Autoriteit Persoonsgegevens aankloppen (Zie hiervoor de ‘voorafgaande raadpleging’ in artikel 36 AVG).
Wat verder nog relevant is om te vertellen over de DPIA, is dat het geen statisch onderzoek is. Dit betekent dat de DPIA aangepast moet worden wanneer de verwerking dermate verandert, dat ook de eerder geconstateerde risico’s wijzigen. Ook als er geen merkbare veranderingen optreden, dan is het nog steeds goed om periodiek (bijv. elke drie jaar) te controleren of de DPIA nog up-to-date is.
Waarom een DPIA openbaren?
Veel van onze klanten zitten met de vraag of ze hun DPIA-rapport zullen openbaren. Op het antwoord van deze vraag zijn een aantal factoren van belang, die je kan helpen bij dit besluit.
Het openbaren van je DPIA-rapport is niet verplicht op grond van de AVG. Je hebt natuurlijk wel de algemene informatieplicht waar je aan moet voldoen door de betrokken te vertellen over de verwerking van zijn of haar persoonsgegevens (artikel 5 lid 1 onder a en artikel 12 tot en met 14 AVG).
Toch kan het nuttig zijn om het DPIA-rapport – of een samenvatting daarvan – te publiceren in het kader van transparantie. Het uitvoeren van een DPIA en het informeren daarover versterkt namelijk vaak het vertrouwen van de betrokkene in de gegevensverwerking, en daarmee in de organisatie. Dit is een groot voordeel voor de organisatie. Sommige organisaties leggen zichzelf in het ethisch kader daarom stengere regels op, om nog transparanter te zijn over het verwerken van persoonsgegevens dan de AVG vereist.
Verder kan het nuttig zijn om een DPIA openbaar te maken, zodat andere organisaties hier ook iets aan hebben. Vaak vinden DPIA’s plaats op het gebruik van systemen, die natuurlijk door veel meer organisaties worden gebruikt. Door de DPIA’s van andere organisaties te kunnen gebruiken, wordt het wiel niet steeds opnieuw uitgevonden. Ook kan men de maker van de oorspronkelijke DPIA feedback geven, waardoor die DPIA verbeterd kan worden. Op deze manier stimuleert het openbaar maken van DPIA’s wisdom of the crowd.
Vaak zit er veel werk in een DPIA, waardoor het misschien niet goed voelt om deze knowhow vrij beschikbaar te maken. Wanneer je daarom het DPIA-rapport liever niet voor de wereld bekend wil maken, maar de andere organisaties binnen de branche wel tegemoet wil komen kan dat natuurlijk ook. Spreek bijvoorbeeld af dat jij een DPIA uitvoert op systeem X en de ander op project Y, zodat je daarna de kennis kunt uitwisselen.
Hoe een DPIA openbaar maken?
Wanneer je besluit om een DPIA openbaar te maken, is het noodzakelijk om enkele maatregelen te treffen. En dan heb ik het niet over de maatregelen die genoemd staan in de rapportage om de privacyrisico’s te verlagen. Ik heb het over maatregelen om je vertrouwelijke bedrijfsgegevens te beschermen.
Voordat je de DPIA openbaar maakt, moeten alle vertrouwelijke gegevens eruit gehaald worden. Denk hierbij aan beveiligingsinstellingen die je hebt getroffen die hun werking (deels) verliezen als ze publiek bekend worden (Zie hiervoor ook het Principe van Kerckhoffs). Of informatie over hoe jij het systeem specifiek hebt ingericht waaruit jouw ‘geheime recept’ voor je dienstverlening blijkt. Denk verder aan de antwoorden van de leverancier die je van het systeem hebt gekregen, waarvoor je geen toestemming hebt om deze openbaar te maken. Maar ook voor de namen van de makers van de DPIA, zeker als deze extern zijn en er afspraken liggen over het intellectueel eigendom, zullen aanpassingen nodig zijn.
Hierbij kun je ook een stap verder gaan, en een template creëren voor het uitvoeren van een DPIA op een bepaald systeem of project. In dat geval haal je alle vertrouwelijke gegevens eruit, maar geef je ook specifiek aan bij welke instellingen welk risico hoort. Op deze manier kan de gebruiker van de template snel en makkelijk de DPIA uitvoeren.
Wat kun je met een openbare DPIA?
Je hebt de DPIA openbaar gemaakt, en dan? Nou, de overwegingen en voordelen voor het openbaar maken zijn hiervoor al besproken. Maar als we het vanuit het perspectief bekijken van iemand die jouw openbare DPIA heeft gevonden, zijn er nog een paar punten die ik wil meegeven.
Het gebruiken van de openbare DPIA, bijvoorbeeld door iemand die een vergelijkbaar systeem gebruikt, kan heel erg nuttig zijn. Let dan wel goed op de beschrijving van het systeem en de verwerking van persoonsgegevens, want dit kan voor de openbare DPIA misschien wel heel anders zijn dan voor jouw situatie. Daarom is het van belang om duidelijk te zijn wat wel en niet binnen de scopevan de DPIA valt, zodat (her)gebruikers geen cruciale dingen over het hoofd zien. Onderzoek dus goed de openbare DPIA, en leg de verschillen bloot en stel vast of je de risico inschatting en maatregelen kan overnemen of dat je hier misschien iets moet aanpassen.
Conclusie
Je DPIA hoef je niet verplicht openbaar te maken, maar kan zowel jouw organisatie als anderen helpen bij het toepassen van de AVG. Let bij het openbaar maken wel goed op vertrouwelijke gegevens, en controleer bij het gebruiken van een openbaar rapport of je de conclusies kunt overnemen of dat je ze nog even moet aanpassen. Op deze manier kunnen we allemaal een steentje bijdragen aan een privacy vriendelijke wereld.