Persoonsgegevens opslaan? Breng zelf de risico's in kaart

Koen Konings
Koen Konings © RTV Noord
Sinds de invoering van de nieuwe privacywet zijn burgers beter beschermd tegen misbruik van persoonsgegevens. Wanneer bedrijven op de juiste manier met die gegevens om willen gaan moeten ze vaak maatregelen nemen.
NoordZaken-expert en privacyspecialist Koen Konings praat ons bij.

Door Koen Konings

De nieuwe privacywetgeving die vorig jaar inging brengt nogal wat nieuwe verplichtingen met zich mee. Zo moet iedere organisatie in bepaalde gevallen zelfonderzoek doen naar de impact die gebruik van persoonsgegevens heeft op de privacy van de mensen waarover de gegevens gaan. Dit geldt voor persoonsgegevens die sinds 25 mei 2018 zijn ingevoerd of gewijzigd.
In lelijk Nederlands noemt de Algemene Verordening Gegevensbescherming (AVG) het een 'gegevensbeschermingseffectbeoordeling'. Een hele mond vol. Het is dan ook een behoorlijk vergaande plicht.

Verplicht?

Wanneer bij verwerking van persoonsgegevens risico's zijn voor de privacy van mensen, dan dient een organisatie een zogeheten Data Protection Impact Assessment (DPIA) te doen.
Een andere term voor hetzelfde is Privacy Impact Assessment (PIA). Deze is bedoeld om de oorsprong, de aard en de ernst van de risico's te bepalen. Het kan zijn dat de uitkomst is dat de organisatie de beveiliging van persoonsgegevens moet verbeteren. Heel logisch eigenlijk.

Profiling

Zo'n onderzoek naar de privacyconsequenties van gegevensverwerking is zeker belangrijk bij 'profiling' van bijvoorbeeld webshopbezoekers, bij grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens of bij cameratoezicht, cameraregistratie, of andere gevallen waarin publieke ruimten worden geobserveerd.
Zijn de privacyrisico's hoog en is het niet haalbaar om de risico's in te perken, dan moet dat gemeld worden bij de Autoriteit Persoonsgegevens.

Waarborg

Het verplichte zelfonderzoek is er gekomen omdat de oude regelgeving onvoldoende waarborg bood voor de privacy. Dat geldt zeker wanneer sprake is van het gebruik van nieuwe technologieën of wanneer het type van verwerkingen nieuw is.
Denk bijvoorbeeld aan het gebruik van nieuwe algoritmes op persoonsgegevens, het overgaan op nieuwe IT-systemen of aan het vastleggen van meer persoonsgegevens dan voorheen.
Dan dienen organisaties op hun hoede te zijn. Organisaties moeten kunnen aantonen dat de persoonsgegevens voldoende worden beschermd en dat aan de AVG is voldaan.

Privacy-expert

Het zelfonderzoek heet niet voor niets zo, het moet door de organisatie die de persoonsgegevens verwerkt zelf worden gedaan. Via internet zijn uitgebreide DPIA's te vinden. Wanneer er een functionaris voor gegevensbescherming, de FG, in dienst is, dan is dat de aangewezene om het onderzoek te doen.
Je kunt ook overwegen een privacy-expert in te schakelen. Dat zal dan een externe partij zijn, zoals een advocaat of een andere privacy-adviseur. Soms kan uit een DPIA volgen dat de organisatie een interne functionaris voor gegevensbescherming moet aanstellen.

Privacy en bewaren van gegevens is een zaak die aandacht vraagt. Mijn tips:

- Ga na of er sinds 25 mei 2018 risicovol gebruik van persoonsgegevens plaatsvindt in de organisatie
- Is dat het geval, voer dan een DPIA of PIA uit. De verplichting geldt wanneer de risico's van het gebruik van persoonsgegevens groot is
- Ga na of het hebben van een FG verplicht is
- Neem passende beveiligingsmaatregelen. Denk aan betere technische beveiliging van de IT-systemen of het laten doen van 'penetratie tests' door beveiligingsonderzoekers.


Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer van Privacy-Administratie.nl

Lees ook eerdere blogs van Koen: