Privacy Platform

Het Privacy Platform is een netwerk van Nederlandse brancheverenigingen waarvan hun leden persoonsgegevens verwerken of verzamelen.

Contactpersoon

Esther Mieremet

Proactive

Wees risicobewust

De AVG is risicogebaseerd. Bij een laag risico voor een persoon hoeft een organisatie minder beschermingsmaatregelen te treffen dan bij een hoog risico.
Nadenken over de beheersing van de risico’s moet bij het ontwerp van een nieuw product of dienst beginnen. Anders wordt het ‘dweilen met de kraan open’. De samenwerkende Europese toezichthouders hebben een Richtlijn opgesteld die helpt bij het bepalen van de risico’s.
proactive-nl

Data protection impact assessment

Weten met welke risico’s een verwerking gepaard gaat en hier ook passende maatregelen voor treffen, is het doel van een data protection impact assessment. Een eerste stap is het verkennen of er een uitgebreide DPIA moet worden uitgevoerd. Is dat het geval dan vindt een inventarisatie van de risico’s plaats en een analyse van de maatregelen om risico’s in te perken. Kan dit laatste niet (of niet afdoende) dan is contact met de AP noodzakelijk voor de verwerking kan beginnen.

Privacy by design

Een goede bescherming van persoonsgegevens begint bij het ontwerp van een nieuw systeem. Die bescherming kan zich richten op de gegevensstroom en op organisatorische maatregelen. In een overzichtelijk schema dat is ontwikkeld aan de Radboud Universiteit staan alle gepaste technische en organisatorische maatregelen bij elkaar:

Hoe bepaal ik het risico?

De samenwerkende Europese toezichthouders geven aan hoe je kunt bepalen of een verwerking van persoonsgegevens een hoog risico voor de betrokkenen inhoudt.  Het is goed om je te realiseren dat dit een eerste aanzet is. Het is ‘werk in uitvoering’.  De Nederlandse toezichthouder heeft deze aanpak overgenomen.

Als je op twee of meer van onderstaande rubrieken bevestigend antwoordt, is een DPIA noodzakelijk:

  1. Evaluatie van personen of scoretoekenning.
  2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg.
  3. Stelselmatige monitoring.
  4. Gevoelige gegevens of gegevens van zeer persoonlijke aard.
  5. Op grote schaal verwerkte gegevens.
  6. Matching of samenvoeging van datasets.
  7. Gegevens met betrekking tot kwetsbare betrokkenen.
  8. Innovatieve toepassing van nieuwe technologische of organisatorische oplossing.
  9. Blokkering van een recht, dienst of contract.

Maar let op! De AVG geeft aan dat bij de volgende drie situaties het altijd noodzakelijk is een DPIA uit te voeren. Voor die gevallen is één bevestigend antwoord dus al voldoende.

  1. Systematische en uitvoerige evaluatie van persoonlijke aspecten, waaronder profiling.
  2. Op grote schaal verwerking van bijzondere persoonsgegevens.
  3. Het op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).