Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan?

Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan?

Privacyvraagstukken als risico voor uw project

De  laatste  jaren  is  er  veel  te  doen  rondom  het  onderwerp  privacy.  De  onthullingen  van  Edward   Snowden,   het   gebruik   van   persoonsgegevens   in   het   kader   van   Big   Data   en   nieuwe   technologieën   zoals   drones   en   wearable   compu5ng   roepen   steeds   meer   privacyvragen   op.   Onzekerheid  over  privacybescherming  slaat  snel  om  in  weerstand.  Hierdoor  hebben  projecten   zoals   de   Slimme   Energiemeter,   de   OV-­‐chipkaart   en   het   Elektronisch   PaDëntendossier   jarenlange  vertraging  opgelopen.   Ook   de   poliDek   wordt   steeds   kriDscher   als   het   gaat   om   privacy.   In   mei   2011   werd   de   moDe   Franken   aangenomen   in   de   Eerste   Kamer.*   De   moDe   eist   dat   bij   wetsvoorstellen   die   de   persoonlijke   levenssfeer   van   de   burger   kunnen   raken   een   inschaMng   wordt   gemaakt   van   de   privacyrisico’s.  In  2012  is  in  het  regeerakkoord  deze  verplichDng  tot  het  doen  van  een  Privacy   Impact  Assessment  (PIA)  vastgelegd.     Een  andere  belangrijke  ontwikkeling  is  de  Europese  Privacy  Verordening.**  Deze  verordening   zal  naar  alle  waarschijnlijkheid  in  2014  of  2015  worden  aangenomen  en  grote  veranderingen   op   het   gebied   van   privacywetgeving   met   zich   meebrengen.   Een   van   de   eisen   uit   de   Verordening   is   dat   organisaDes   die   persoonsgegevens   willen   verwerken,   verplicht   zijn   om   een   PIA   te   doen.   Overheden   en   bedrijven   die   géén   PIA   doen   lopen   het   risico   op   torenhoge   boetes   tot  wel  100  miljoen  euro  of  5%  van  de  wereldwijde  jaaromzet.   Wilt  u  reputaDeschade  en  handhavingsrisico’s  voorkomen,  dan  is  het  verstandig  om  een  PIA  te   doen.  In  deze  whitepaper  beschrijW  ConsideraD  hoe  u  dat  moet  doen.    

         Wilt  u  reputaDeschade  en  handhavingsrisico’s  voorkomen,  dan  is  het  verstandig  om              een  PIA  te  doen.  In  deze  whitepaper  beschrijW  ConsideraD  hoe  u  dat  doet.    

*  MoDe-­‐Franken  (CDA)  c.s.  over  criteria  in  het  geval  van  nieuwe  wetsvoorstellen  waarbij  van  een  beperking  op   het  grondrecht  van  de  bescherming  van  de  persoonlijke  levenssfeer  sprake  is  (EK  31.051,  D).   **   Voorstel   voor   een   verordening   van   het   Europees   Parlement   en   de   Raad   betreffende   de   bescherming   van   natuurlijke  personen  in  verband  met  de  verwerking  van  persoonsgegevens  en  betreffende  het  vrije  verkeer  van   die  gegevens  (algemene  verordening  gegevensbescherming),  Brussel  (COM)2012.  

I. Waarom een PIA?

U  kunt  een  PIA  doen  voor  wetgeving  en  voorgenomen  beleid,  maar  ook  voor  concrete   producten,  diensten  en  systemen.  In  alle  gevallen  krijgt  u  met  een  PIA  in  een  vroeg  stadium   zicht  op  de  mogelijke  privacyrisico’s  van  uw  project.  U  gebruikt  de  resultaten  van  een  PIA  om   uw  project  aan  te  passen  of  noodzakelijke  privacybeschermende  maatregelen  door  te  voeren   in  de  technologie  en  organisaDe  (privacy  by  design).  Hoe  eerder  u  een  PIA  laat  uitvoeren,  hoe   meer  kosten  u  bespaart.  Het  aanpassen  van  een  idee  is  immers  goedkoper  dan  het  achteraf   aanpassen  van  een  afgerond  project  omdat  het  niet  in  lijn  is  met  de  privacywetgeving  of   verwachDngen  van  burgers.    

©  ConsideraD  2014    

Zorgvuldig  omgaan  met  privacy  creëert  tenslo`e  meer  maatschappelijk  draagvlak  voor  uw   product  of  dienst.  Zoals  het  mislukken  van  grote  ICT  projecten  door  privacyproblemen  laat   zien,  is  maatschappelijk  draagvlak  van  cruciaal  belang  voor  het  slagen  van  een  project.  

II. Het PIA-proces Een  goede  PIA  moet  bijdragen  aan  het  realiseren  van  de  volgende  doelstellingen:   •   Het  idenDficeren  en  adresseren  van  privacyrisico’s  binnen  het  project;   •   Het  verantwoorden  van  gemaakte  keuzes  binnen  het  project;   •   Het  vergroten  van  het  maatschappelijk  draagvlak  voor  het  project.     Een  Privacy  Impact  Assessment  is  dan  ook  geen  compliance-­‐  of  audit  instrument.  Een  PIA  is   een  iteraDef  proces  waarbij  vanaf  het  begin  van  het  ontwikkeltraject  wordt  nagedacht  over   privacyrisico’s  en  het  voorkomen  daarvan.  Het  PIA  proces  bestaat  uit  verschillende  stappen,  te   weten:   1.  2.  3.  4.  5.  6.  7. 

PIA  pre-­‐screening   Voorbereiding  PIA   IniDële  assessment   Externe  ConsultaDe   Gedetailleerde  assessment   Rapportage     Review  &  Audit  

©  ConsideraD  2014    

Hieronder  worden  de  stappen  een  voor  een  toegelicht.  

II. Het PIA-proces Stap 1: PIA pre-screening Allereerst  moet  u  bepalen  of  het  uitvoeren  van  een  PIA  voor  uw  beleid,  product  of  dienst   noodzakelijk  is.  Aan  de  hand  van  een  aantal  pre-­‐screening  vragen  kunt  u  inscha`en  of  u  een   PIA  moet  doen.  Voorbeelden  van  screening  vragen  zijn:   “Worden  voor  het  project  meerdere  gegevensbronnen  aan  elkaar  gekoppeld,  met  elkaar   vergeleken  of  anderszins  geïntegreerd?”   “Worden  voor  het  project  (nieuwe)  technologieën  toegepast  die  mogelijk  een  bedreiging  voor   de  privacy  vormen,  zoals  biometrie,  RFID  of  data  mining?   Deze  stap  kunt  u  gemakkelijk  en  snel  zelf  uitvoeren  door  de  Privacy  Impact  Assessment   Quickscan  te  doen  op  PrivacyChecker.nl.  Aan  de  hand  van  Den  eenvoudige  vragen  verkrijgt  u   inzicht  in  de  vraag  of  het  doen  van  een  PIA  noodzakelijk  of  wenselijk  is.  Deze  door  ConsideraD   ontwikkelde  tool  won  in  2013  de  Privacy  InnovaDon  Award  van  de  InternaDonal  AssociaDon  of   Privacy  Professionals  (IAPP).  

©  ConsideraD  2014    

II. Het PIA-proces Stap 2: Voorbereiding Een  goede  voorbereiding  is  essenDeel  om  de  PIA  zo  efficiënt  en  zorgvuldig  mogelijk  uit  te   kunnen  voeren.  In  de  voorbereidingsfase  wordt  allereerst  vastgesteld  waarop  de  PIA   betrekking  heeW  en  welke  doelen  de  PIA  heeW.   Een  PIA  kan  op  verschillende  niveaus  worden  uitgevoerd.  Binnen  het  bedrijfsleven  heeW  een   PIA  meestal  betrekking  op  een  nieuw  product  of  een  nieuwe  dienst.  Binnen  de  overheid  kan   een  PIA  betrekking  hebben  op  wetgeving  of  voorgenomen  beleid,  maar  ook  op  de  concrete   uitvoering  van  het  beleid  en  op  de  systemen  en  processen  die  nodig  zijn  om  het  beleid  uit  te   voeren.  Het  doel  van  een  PIA  is  mede-­‐alankelijk  van  het  object  van  de  PIA:  heeW  de  PIA   betrekking  op  wetgeving  dan  wordt  gekeken  naar  de  effecten  van  de  wetgeving  op  de  burger,   heeW  de  PIA  betrekking  op  een  systeem  dat  wordt  gekeken  hoe  dit  systeem  in  concreto  wordt   gebruikt  en  welke  privacyrisico’s  dat  mogelijk  oplevert.  

©  ConsideraD  2014    

Na  het  vaststellen  van  het  object  van  de  PIA  en  de  doelstellingen,  bepaalt  u  aan  wie  de   resultaten  van  de  PIA  worden  gericht.  Dit  kan  bijvoorbeeld  de  FuncDonaris  voor   Gegevensbescherming  binnen  uw  organisaDe  zijn,  de  Chief  InformaDon  Officer  (CIO),  de   directeur  of  het  management.  

II. Het PIA-proces Vervolgens  wordt  het  team  samengesteld  dat  de  PIA  uitvoert.  Binnen  de  organisaDe  zullen  dit   meestal  mensen  zijn  van  de  operaDonele-­‐,  juridische-­‐,  beleids-­‐,  ICT-­‐  en  compliance  afdelingen.   Het  is  noodzakelijk  om  een  goede  mix  van  diverse  disciplines  te  betrekken  bij  het  PIA  proces.   Dit  vergroot  niet  alleen  het  draagvlak  voor  de  resultaten  van  de  PIA  binnen  de  organisaDe,   maar  maakt  het  ook  mogelijk  om  samen  naar  oplossingen  te  zoeken  voor  gesignaleerde   privacyproblemen.   In  de  voorbereidingsfase  wordt  de  scope  van  het  project  en  de  PIA  voor  de  iniDële  assessment   ook  vastgelegd.     In  deze  fase  bepaalt  u  tenslo`e  of  het  noodzakelijk  is  om  een  externe  parDj  te  betrekken  bij   het  PIA  proces.  Het  voordeel  van  een  externe  parDj  is  niet  alleen  dat  zij  gespecialiseerd  zijn  in   privacyrecht  en  het  doen  van  PIA’s,  maar  ook  dat  zij  buiten  uw  organisaDe  staan.  Naast   experDse  kan  de  externe  parDj  door  haar  onalankelijke  posiDe  de  organisaDe  een  spiegel   voorhouden  en  als  aanjager/projectleider  voor  het  PIA  proces  dienen.    

II. Het PIA-proces Stap 3: Initiële assessment In  de  eerste  fase  van  het  assessment  wordt  vastgesteld  wat  de  doelen  van  het  project  zijn,   welke  gegevens  er  worden  verzameld  en  uitgewisseld  (de  zogenaamde  data  flow),  welke   parDjen  betrokken  zijn  en  wat  hun  rol  is.  In  dit  stadium  wordt  ook  een  eerste  inschaMng   gemaakt  van  de  legiDmiteit  van  de  verwerkingen.  Hierbij  bepaalt  u  of  de  doelen  een   gerechtvaardigde  grondslag  hebben  op  grond  van  de  Wet  bescherming  persoonsgegevens.   Hierbij  moet  u  zich  ook  telkens  afvragen:  zijn  de  verwerkingen  van  persoonsgegevens  binnen   ons  project  effecDef,  proporDoneel  en  zijn  er  geen  minder  ingrijpende  middelen  voorhanden   (subsidiariteit)?    

©  ConsideraD  2014    

Om  een  goede  beoordeling  te  maken  van  de  legiDmiteit  moet  u  uiteraard  ook  op  hoofdlijnen   de  privacyrisico’s  voor  de  betrokkenen  in  kaart  brengen  en  kijken  welke  risicobeperkende   maatregelen  genomen  kunnen  worden  (subsidiariteit).   Voor  deze  stap  kunt  u  onder  andere  de  vragen  uit  het  Toetsmodel  Privacy  Impact  Assessment   Rijksdiensten  gebruiken.  

II. Het PIA-proces Stap 4: Externe consultatie Bij  een  externe  consultaDe  wordt  bepaald  welke  maatschappelijke  actoren  relevant  zijn  in  het   kader  van  het  project  en  of  het  noodzakelijk  of  wenselijk  is  om  ze  erbij  te  betrekken.  Denk   bijvoorbeeld  aan  consumentenorganisaDes,  vakbonden,  burgerrechtenorganisaDes  en   academici.  Aan  de  hand  van  de  iniDële  assessment  kunt  u  deze  actoren  om  hun  mening   vragen  en  feedback  krijgen  op  het  voorgenomen  project.  Daarnaast  wordt  maatschappelijk   draagvlak  gecreëerd  doordat  u  laat  zien  dat  u  privacy  serieus  neemt  en  stappen  onderneemt   om  de  risico’s  zoveel  mogelijk  te  beperken.   Nota  bene:  De  externe  consulta5e  is  een  op5onele  stap  in  het  PIA-­‐proces.  U  kunt  ervoor  kiezen   deze  stap  over  te  slaan,  bijvoorbeeld  in  verband  met  de  vertrouwelijkheid  van  het  project.   Mocht  u  hiervoor  kiezen,  dan  vallen  het  ini5ële  en    het  gedetailleerde  assessment  (gedeeltelijk)   samen.  

Stap 5: Gedetailleerde assessment In  het  gedetailleerde  assessment  wordt  op    gekeken  naar  de  gegevensuitwisselingen  binnen   de  organisaDe  en  gaat  u  diep  in  op  alle  aspecten  van  de  beveiliging  van  gegevens.  Alle   betrokken  actoren  worden  geïdenDficeerd  en  hun  rol  (verantwoordelijke,  bewerker,   betrokkene)  wordt  vastgesteld.  De  systemen  waarmee  persoonsgegevens  worden  verwerkt   worden  geïdenDficeerd  en  er  wordt  per  systeem  vastgesteld  welke  gegevens  er  worden   verwerkt  en  door  wie.  Daarnaast  worden  koppelvlakken  en  gegevensoverdrachten,  zowel   inkomend,  intern  als  uitgaand,  geanalyseerd  en  worden  de  ‘privacy  controls’  vastgesteld  voor   alle  gegevensverwerkingen.     De  risico’s  die  in  deze  fase  naar  voren  komen  worden  geadresseerd  door  Privacy  by  Design  en   Privacy  Enhancing  Technologies  (PET)  toe  te  passen.    

II. Het PIA-proces Stap 6: Rapportage De  resultaten  van  de  PIA  worden  vastgelegd  in  een  eindrapportage.  Hierbij  kan  indien   gewenst  onderscheid  worden  gemaakt  tussen  een  interne  rapportage  en  een  externe   rapportage.  De  interne  rapportage  is  bedoeld  voor  de  interne  opdrachtgever  (meestal  het   management),  de  externe  rapportage  is  bedoeld  om  openbaar  te  maken  aan  het  publiek.   In  de  rapportage  legt  u  vast  welke  risico’s  er  zijn  geïdenDficeerd  en  of  deze  risico’s  zijn   weggenomen,  verminderd  of  geaccepteerd.  Een  duidelijke  beschrijving  van  uw  keuzes  en   overwegingen  is  noodzakelijk  voor  de  maatschappelijke  acceptaDe  van  uw  project.   Wanneer  risico’s  nog  niet  zijn  weggenomen  beschrijW  u  welke  acDes  er  nog  ondernomen   moeten  worden  en  door  wie.    

Stap 7: Review & Audit Indien  u  de  PIA  heeW  uitgevoerd  zonder  behulp  van  een  externe  parDj  kunt  u  uw  bevindingen   ter  controle  alsnog  voorleggen  aan  een  expert  van  buitenaf.  ConsideraD  adviseert  echter  om   er  vanaf  het  begin  van  het  proces  een  externe  parDj  bij  de  PIA  te  betrekken,  omdat  achteraf   vaak  nog  maar  beperkt  wijzigingen  door  te  voeren  zijn.  Om  deze  reden  is  de  stap  review  &   audit  ook  facultaDef.  

III. Tot slot: PIA’s in een breder verband Het  laten  uitvoeren  van  een  PIA  staat  niet  op  zichzelf,  maar  is  onderdeel  van  de  bredere   privacy  governance  &  compliance  binnen  uw  organisaDe.  Daar  waar  een  PIA  gericht  is  op  het   idenDficeren  van  privacyrisico’s  van  een  project,  is  een  privacy  governance  &  compliance   programma  gericht  op  de  zorgvuldige  omgang  met  persoonsgegevens  binnen  de  organisaDe   als  geheel.  Een  zorgvuldig  beleid  voor  privacy  governance  en  compliance  verkleint  de   algemene  risico’s  die  u  als  organisaDe  loopt  op  het  gebied  van  privacy.  Uiteraard  betekent  een   onzorgvuldige  omgang  met  privacy  in  het  algemeen  vaak  ook  dat  de  risico’s  binnen  het  project   waarvoor  u  de  PIA  doet  groter  worden.       Privacy  governance  is  een  doorlopend  verbeterproces  op  basis  van  de  Plan-­‐Do-­‐Check-­‐Act   cyclus.  Een  PIA  helpt  u  bij  het  in  kaart  brengen  van  de  stand  van  zaken  op  het  gebied  van   privacy  en  het  formuleren  van  een  privacystrategie.  Samen  met  andere  instrumenten  zoals   een  compliance  check  en  een  maturity  scan  krijgt  u  een  goed  overzicht  van  de  risico’s  voor  uw   organisaDe  (plan).  Op  basis  van  de  door  u  geformuleerde  privacystrategie  kunt  u  vervolgens   werk  maken  van  het  verbeteren  van  het  privacybeleid  (do),  monitoring,  handhaving  (check)   maken  het  mogelijk  om  vervolgens  het  beleid  bij  te  stellen  (act).  

©  ConsideraD  2014    

Voor  meer  informaDe  over  privacy  governance  &  compliance  zie:  www.consideraD.com.  

Meer weten? Wilt  u  meer  weten  over  het  doen  van  een  PIA  of  zoekt  u  naar  professionele  en  prakDsche  hulp   bij  het  uitvoeren  van  een  PIA?  Neem  dan  contact  op  met  de  experts  van  ConsideraD:  

mr.  dr.  Bart  W.  Schermer   Partner   E-­‐mail:  [email protected]   Telefoon:  06-­‐13433437  

mr.  drs.  Mar8ne  Wubben  CIPP/E   Senior  Adviseur   E-­‐mail:  [email protected]   Telefoon:  06-­‐14586741  

Over Considerati ConsideraD  is  het  enige  adviesbureau  dat  volledig  gespecialiseerd  is  in  zowel  juridisch  advies   als  strategische  communicaDe  /  public  affairs  voor  ICT  en  nieuwe  technologieën.  Onze   kernspecialismen  zijn  privacy,  cybersecurity,  ISP-­‐aansprakelijkheid,  digitaal  vertrouwen  en   copyright.  Wij  bieden  een  unieke  combinaDe  van  juridisch  advies,  public  affairs  en  consultancy   en  zorgen  voor  prakDsche  oplossingen  die  organisaDes  helpen  om  juridische  en  compliance   risico’s  te  vermijden  en  reputaDeschade  te  voorkomen.  ConsideraD  heeW  veel  ervaring  met   het  uitvoeren  van  PIA’s  voor  overheden  en  bedrijven.   ConsideraD  heeW  in  november  2013  de  HP-­‐IAPP  Privacy  InnovaDon  Award  gewonnen  voor   PrivacyChecker.eu,  een  tool  waarmee  bedrijven  en  overheden  snel  en  gemakkelijk  aan  de   hand  van  een  aantal  vragen  kunnen  kijken  of  zij  voldoen  aan  de  Wet  bescherming   persoonsgegevens,  hoe  hoog  de  boete  is  die  ze  riskeren  onder  de  aankomende  nieuwe   privacywetgeving  en  of  het  doen  van  een  Privacy  Impact  Assessment  noodzakelijk  is.     ConsideraD  bestaat  uit  een  team  van  ervaren  experts  met  een  juridische  achtergrond  en  veel   ervaring  met  technologie.  ConsideraD  werkt  discreet  en  op  vertrouwelijke  basis.  Al  onze   medewerkers  hebben  een  veiligheidsscreening  doorlopen.  Daarnaast  draagt  ConsideraD  bij   aan  het  ontwikkelen  van  kennis  van  en  begrip  voor  de  digitale  samenleving  door   wetenschappelijke  publicaDes,  docentschappen  en  onderzoeksposiDes  aan  gerenommeerde   universiteiten  als  Leiden  en  Oxford.  

         Wilt  u  op  de  hoogte  gehouden  worden  van  veranderingen  in  privacyregels  of  innovaDes                      op  het  gebied  van  privacy,  stuur  dan  een  e-­‐mail  naar  [email protected],  schrijf  u  in              voor  onze  nieuwsbrief  of  kijk  op  onze  website  www.consideraD.com.