Een organisatie moet niet alleen persoonsgegevens verwerken volgens de Algemene Verordening Gegevensbescherming (AVG), maar moet ook de naleving ervan kunnen aantonen. Dit omvat het implementeren van ’privacy by design’, het bijhouden van een verwerkingsregister en in bepaalde omstandigheden het uitvoeren van een ’data protection impact assessment’.
Privacy by design en default
Als verwerkingsverantwoordelijke moet je, zowel bij het ontwerpen van een verwerking als op het moment van verwerking, passende maatregelen en waarborgen treffen om ervoor te zorgen dat de beginselen op het gebied van gegevensbescherming worden nageleefd. Je moet er ook voor zorgen dat standaard alleen persoonsgegevens worden verwerkt die nodig zijn voor elk specifiek doeleinde (dit geldt voor de hoeveelheid gegevens, de omvang van de verwerking, de opslagbeperking en de toegankelijkheid ervan).
Met andere woorden, een organisatie die gegevensbescherming in het ontwerp en standaard toepast (‘privacy by design’ en ‘privacy by default’), is een organisatie die gegevensbescherming en de privacy van personen in het vizier houdt in elk aspect en in elke fase van haar verwerkingsactiviteiten, in de gebruikte tools of enige andere zakelijke activiteit in.
Om dit te doen, moet je organisatie, alvorens verwerkingen op te zetten, rekening houden met:
- de aard, de context en de reikwijdte van de voorgenomen verwerking;
- de risico’s die kunnen voortvloeien uit de beoogde verwerkingen of andere bedrijfsactiviteiten die van invloed kunnen zijn op de persoonsgegevens van personen;
- de technische en organisatorische maatregelen die moeten worden genomen om de vastgestelde risico’s te beperken, en ervoor te zorgen dat de persoonsgegevens adequaat worden beschermd;
- de technische en organisatorische maatregelen of procedures die moeten worden ingevoerd om ervoor te zorgen dat de verwerking van persoonsgegevens (met name het verzamelen, opslaan en gebruiken van gegevens van personen) beperkt blijft tot wat nodig is in het licht van de nagestreefde doelstellingen.
In de praktijk
- Een boekwinkel wil zijn omzet verhogen door boeken online te verkopen. De eigenaar van de boekhandel wil een gestandaardiseerd formulier opstellen voor het bestelproces. In eerste instantie maakt de eigenaar alle velden in het formulier verplicht, inclusief de geboortedatum van de klant, telefoonnummer en huisadres. Echter, niet alle velden in de vorm zijn nodig voor de verkoop en levering van de boeken.
Bijvoorbeeld, bij het bestellen van een eBook kan de klant het product rechtstreeks naar een apparaat downloaden. In dit geval kunnen niet alle velden in het webformulier verplicht zijn om boeken te bestellen. De eigenaar besluit daarom twee webformulieren te maken: één voor het bestellen van fysieke boeken, met een veld voor het adres van de klant en één voor het bestellen van eBooks zonder een veld voor het adres van de klant. Daarbij zorgt de eigenaar ervoor dat alleen de gegevens die nodig zijn voor de verwerking worden verzameld. - Een medische praktijk die meerdere artsen in dienst heeft, verzamelt gegevens over zijn patiënten in zijn organisatie-informatiesysteem. De verschillende artsen hebben toegang tot alle patiëntendossiers nodig, bijvoorbeeld wanneer een andere arts afwezig is en er een besluit moet worden genomen over een behandeling van een patiënt. Standaard wordt alleen toegang verleend aan die artsen die zijn toegewezen aan de behandeling van de betreffende patiënt.
Het is zinvol om dit soort beoordelingen en maatregelen te documenteren om aan te tonen dat je voldoet aan de beginselen van ’privacy by design’ en ‘privacy by default’. Een goedgekeurd certificeringsmechanisme kan ook worden gebruikt als element om de naleving van deze principes aan te tonen.
Verplichting om een verwerkingsregister bij te houden
Als organisatie heb je de plicht om je gegevensverwerkingen bij te houden. Deze gegevens moeten schriftelijk worden bijgehouden, ook in elektronische vorm.
Dit register geeft je een overzicht van je verwerkingsactiviteiten. Om een dergelijk register te maken, moet je aangeven welke van je activiteiten verwerking van persoonsgegevens vereisen (bijvoorbeeld werving, loonadministratie, opleiding, badge- en toegangsbeheer, lijst van potentiële klanten, enz.). Elk van deze verwerkingen moet in het register worden beschreven met de volgende gegevens:
- het doel van de verwerking (bv. klantenloyaliteit);
- de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
- wie toegang heeft tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
- indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
- waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief);
- waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.
Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van je organisatie. Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.
Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel.
Hoe een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren?
Wat is een DPIA?
Wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen, moet de verwerkingsverantwoordelijke een ‘data protection impact assessment’ (DPIA) uitvoeren. Een DPIA is een schriftelijke beoordeling van een geplande verwerking. Het helpt je om de juiste maatregelen te kiezen om de risico’s te beperken en om naleving aan te tonen.
Wanneer doe je een DPIA?
Hoewel het altijd de voorkeur heeft om te anticiperen op de impact van geplande verwerkingen van je organisatie door een DPIA uit te voeren, is een DPIA verplicht wanneer de verwerking waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van personen.
Dit is met name het geval wanneer de beoogde verwerking betrekking heeft op:
- de verwerking — op grote schaal — van bijzondere persoonsgegevens en gegevens over strafrechtelijke veroordelingen;
- een systematische en uitgebreide evaluatie van de persoonlijke aspecten van een persoon op basis van geautomatiseerde verwerking, met inbegrip van profilering, en waarop besluiten zijn gebaseerd die rechtsgevolgen hebben voor de betrokkene in kwestie of op vergelijkbare wijze aanzienlijke gevolgen hebben voor personen;
- systematische monitoring op grote schaal van een voor het publiek toegankelijk gebied.
In de meeste gevallen moeten verwerkingen die aan twee van de volgende criteria voldoen, worden beoordeeld aan de hand van een DPIA:
- evaluatie of score;
- geautomatiseerde besluitvorming met een juridisch of soortgelijk significant effect;
- systematische monitoring;
- bijzondere gegevens of gegevens van zeer persoonlijke aard;
- gegevens die op grote schaal worden verwerkt:
- het matchen of combineren van datasets;
- gegevens over kwetsbare betrokkenen;
- innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen;
- Wanneer de verwerking op zichzelf personen belet om een recht uit te oefenen of gebruik te maken van een dienst of een contract.
Moet ik een DPIA uitvoeren?
Beantwoord de vragen via ons interactieve stroomschema om erachter te komen!
Kan de verwerking leiden tot hoge risico’s?
Gelden er uitzonderingen?
EVoorbeelden van wanneer een DPIA mogelijk niet nodig is:
- de voorgenomen verwerking lijkt sterk op een verwerking waarvoor eerder al een DPIA is gedaan;
- het soort verwerking staat in een vrijstellingslijst die je gegevensbeschermingsautoriteit mogelijk heeft goedgekeurd;
- de verwerking is toegestaan op grond van EU- of nationale wetgeving.
Moet ik een DPIA uitvoeren?
Ja, je moet een DPIA uitvoeren
Zijn er nog grote risico’s na de DPIA?
Moet ik een DPIA uitvoeren?
Geen DPIA nodig
Raadpleeg je gegevensbeschermingsautoriteit
Je hoeft je gegevensbeschermingsautoriteit niet te raadplegen
Top DPIA-tip
Neem contact op met de gegevensbeschermingsautoriteit van het EER-land waar je organisatie is gevestigd om na te gaan of zij een document hebben met daarin de voorwaarden waaronder verwerkingen een DPIA nodig hebben en welke verwerking geen DPIA nodig heeft.
Voorbeelden van wanneer een DPIA nodig kan zijn:
- het verwerken van biometrische gegevens, bijvoorbeeld het scannen van vingerafdrukken of gezichtskenmerken om patiënten te identificeren;
- het gebruik van gegevens van kwetsbare personen voor marketingdoeleinden, bijvoorbeeld om hun aankopen te voorspellen;
- mobiele app die de locatie van een persoon volgt.
Voorbeelden van wanneer een DPIA mogelijk niet nodig is
- de voorgenomen verwerking lijkt sterk op een verwerking die het voorwerp was van een eerdere DPIA;
- de verwerking is opgenomen in de facultatieve lijst van verwerkingen (opgesteld door je nationale gegevensbeschermingsautoriteit) waarvoor geen DPIA nodig is;
- de verwerking is toegestaan op grond van EU- of nationale wetgeving.
Wat moet ik opnemen in een DPIA?
Een DPIA moet omvatten:
- een beschrijving van de geplande verwerking en het doel ervan;
- een beoordeling van de noodzaak en evenredigheid;
- de risico’s die de verwerking met zich mee kan brengen;
- de te nemen maatregelen om deze risico’s aan te pakken.
Voorafgaand overleg tijdens een DPIA
Wanneer de verwerkingsverantwoordelijke onvoldoende maatregelen kan nemen om de risico’s tot een aanvaardbaar niveau te beperken (d.w.z. de restrisico’s zijn nog steeds hoog), is overleg met de gegevensbeschermingsautoriteit vereist. In dat geval moet de verwerkingsverantwoordelijke de volgende informatie verstrekken:
- de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerkers die bij de verwerking betrokken zijn;
- het doel van de verwerking en de wijze waarop de verwerking zal worden uitgevoerd;
- de voorgenomen maatregelen ompersoonsgegevens te beschermen;
- de contactgegevens van de functionaris gegevensbescherming van je organisatie, indien van toepassing;
- de DPIA in kwestie.
Na een DPIA — Test het, verbeter het, controleer het!
Zodra je DPIA is opgesteld, moet je deze testen; indien nodig verbeteren; de verwerking uitvoeren; opnieuw beoordelen of je DPIA overeenkomt met de verwerking; en extra check.
Lees meer
De Groep artikel 29: Richtsnoeren voor ‘data protection impact assessment’ (DPIA)
Nieuwszaal van de Europese Commissie
Nationale lijsten van soorten gegevensverwerkingsoperaties waarvoor al dan niet een ‘data protection impact assessment’ vereist is
Commissie voor gegevensbescherming, Ierse toezichthoudende autoriteit
Gedragscodes
Afhankelijk van waar je organisatie zich in de EER bevindt, kunnen er verenigingen of andere organen zijn die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen. Deze verenigingen en organen kunnen gedragscodes opstellen, met inbegrip van mechanismen voor gegevensbescherming, waaraan verwerkingsverantwoordelijken en verwerkers zich kunnen houden om ervoor te zorgen dat persoonsgegevens worden behandeld in lijn met de AVG.
Deze gedragscodes moeten er bijvoorbeeld voor zorgen:
- dat persoonsgegevens op een eerlijke en transparante manier worden verwerkt;
- dat de doeleinden waarvoor de persoonsgegevens worden verwerkt legitiem zijn;
- dat persoonsgegevens op de juiste manier worden gepseudonimiseerd;
- dat transparante informatie wordt verstrekt aan personen van wie de persoonsgegevens worden verwerkt;
- dat naar behoren wordt verzocht om toestemming voor de verwerking van persoonsgegevens van personen, met name persoonsgegevens van kinderen;
- dat alle technische en organisatorische maatregelen worden genomen om de veilige verwerking van persoonsgegevens waarborgen;
- dat procedures voor de melding van datalekken worden gevolgd;
- dat procedures, met inbegrip van maatregelen, worden gevolgd met betrekking tot de doorgifte van persoonsgegevens naar niet-EER-landen en organisaties;
- dat procedures met betrekking tot gerechtelijke procedures en geschillenbeslechting worden gevolgd.
Top tip
- Neem contact op met de relevante vereniging of instantie die AVG-gedragscodes opstelt, aangezien deze je kunnen helpen met je AVG-naleving.
Certificering
Wat is een AVG-certificering?
Een organisatie die een AVG-certificering krijgt, kan deze certificering gebruiken om aan te tonen dat haar verwerkingsactiviteiten voldoen aan de AVG.
De gegevensbeschermingsautoriteiten van de EER kunnen bijvoorbeeld:
- AVG-certificeringen afgeven met betrekking tot haar eigen certificeringsregeling;
- zelf AVG-certificeringen afgeven met betrekking tot haar eigen certificeringsregeling, maar het gehele of een deel van het beoordelingsproces delegeren aan derden;
- een eigen certificeringsregeling op te zetten en specifieke instanties inschakelen om deze certificeringen af te geven;
- de markt aanmoedigen om certificeringsmechanismen te ontwikkelen;
- de certificeringsregelingen van certificatie-instanties beoordelen.
Een certificeringsinstantie is belast met de afgifte, evaluatie en intrekking van certificeringen op basis van een certificeringsmechanisme en goedgekeurde criteria.
Certificeringsinstanties moeten hun beoordeling van de verwerkingen van je organisatie waarvoor een AVG-certificering kan worden afgegeven, documenteren.
Mijn organisatie heeft een AVG-certificering ontvangen, wat is de volgende stap?
De AVG-certificering van een verwerking die je organisatie uitvoert, is maximaal 3 jaar geldig, maar kan worden verlengd of ingetrokken. Om deze certificering te behouden, moet je organisatie voortdurend en consequent de maatregelen rond de gecertificeerde verwerking in praktijk brengen.