Werknemers heimelijk filmen, zwarte lijst gebruiken of uw websitebezoekers profileren? Dan is een Privacy Impact Assessment (PIA) verplicht!
Voor verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico inhouden dient een gegevensbeschermingseffectbeoordeling, ofwel een Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA) te worden uitgevoerd. Dit volgt uit de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) heeft deze zomer een lijst gepubliceerd met verwerkingen waarvoor een PIA verplicht is.
Wat is een PIA?
Een PIA is een risicobeoordeling van de privacy-effecten van een nieuwe verwerking van persoonsgegevens. Een nieuwe verwerking is bijvoorbeeld een overstap naar een nieuw IT systeem, zoals een CRM- of personeelssysteem. Ook het inzetten van cameratoezicht of het gaan analyseren van websitebezoekers voor online marketing zijn nieuwe verwerkingen. Een PIA moet voorafgaand aan die verwerking worden uitgevoerd en heeft als doel om de privacyrisico’s zo vroeg mogelijk in beeld te hebben en de nodige maatregelen te treffen om die risico’s te verkleinen.
Wanneer is een PIA verplicht?
Het uitgangspunt van de AVG is dat een PIA verplicht is indien de voorgenomen verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de personen van wie de persoonsgegevens worden verwerkt (de betrokkenen). De AVG noemt drie verwerkingen waarbij een PIA in ieder geval verplicht is. Namelijk indien een organisatie:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens en/of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Europese privacy toezichthouders, verenigd in de Werkgroep 29, de voorganger van het Europees Comité voor Gegevensbescherming, hebben in april 2017 richtsnoeren gepubliceerd met een toelichting op de verplichting tot het uitvoeren van een PIA. Daarin hebben zij negen criteria opgesteld met als vuistregel dat een PIA moet worden uitgevoerd als een verwerking aan twee of meer van die criteria voldoet. Een voorbeeld van een criterium is of de verwerking het beoordelen van personen op basis van persoonskenmerken inhoudt, zoals beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of locatie, ook wel profilering genoemd. Andere criteria zijn of sprake is van een koppeling van databases die een ander doel dienen of dat er bijzondere persoonsgegevens of gegevens van kwetsbare groepen worden verwerkt. Deze criteria zijn opgesomd op de website van de Autoriteit Persoonsgegevens, te vinden via deze link onder de vraag ‘Wat zijn de criteria van de Europese privacytoezichthouders?’.
Lijst Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens heeft deze zomer een (voorlopige) lijst met zestien soorten verwerkingen opgesteld waarvan zij meent dat het uitvoeren van een PIA verplicht is vóórdat u met verwerken begint. Deze lijst moet een handvat bieden, maar is niet uitputtend. Het is altijd aan de organisatie zelf om te beoordelen of een voorgenomen verwerking een hoog privacyrisico oplevert voor de betrokkenen of niet en of een PIA moet worden uitgevoerd. Een PIA is alleen verplicht bij nieuwe verwerkingen na 25 mei 2018 (de inwerkingtreding van de AVG) of in geval van wijzigingen van bestaande verwerkingen, zoals bij de overstap naar een ander systeem. De lijst bestaat uit zestien verwerkingen die te vinden is via deze link onder de vraag ‘Wat zijn de criteria van de AP voor een verplichte DPIA’, waarvan ik er een aantal kort zal bespreken:
Heimelijk onderzoek
Denk aanonderzoek bij fraudebestrijding of online handhaving van auteursrechten. Ook (incidenteel) heimelijk cameratoezicht door werkgevers valt hieronder. Is er sprake van een vermoeden van diefstal en wilt u een verborgen camera plaatsen, dan zult u eerst een PIA moeten uitvoeren en deze documenteren. Anders handelt u in strijd met de AVG met alle risico’s op boetes en reputatieschade van dien.
Zwarte lijsten
Wanbetalers of personen die hinderlijk gedrag hebben vertoond op een lijst plaatsen om deze in de toekomst te kunnen weigeren of alleen onder bepaalde voorwaarden bedienen? Dan zult u voorafgaand aan de registratie een PIA moeten uitvoeren.
Gezondheidsgegevens
Een PIA is verplicht indien er sprake is van een grootschalige verwerking van gezondheidsgegevens. Grootschalig betekent onder meer dat het om gezondheidsgegevens van veel personen gaat, zoals bij een ziekenhuis, arbodienst, apotheek of zorgverzekeraar.
Cameratoezicht en flexibel cameratoezicht
Het gaat om stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones. Flexibel cameratoezicht ziet op camera’s geplaatst op kleding of helmen, dan wel dashcams.
Controle werknemers
Als een werkgever wil overgaan op het monitoren van werknemers, zoalshetcontroleren van e-mail en internetgebruik, gebruiken van GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding zal de werkgever een PIA moeten uitvoeren.
Hoe ziet een PIA eruit?
De PIA is een risicobeoordeling en bestaat uit diverse vragen die beantwoord moeten worden om de privacy impact te kunnen beoordelen. In een volgende blogpost zal ik daar nader op ingaan.