Privacy, Law & Security Data Protection Impact assessment (DPIA) xxxxxxxxxxxxxxx 11/27/2018 Privacy, Law & Security Data Protection Impact assessment (DPIA)  xxxxxxxxxxxxx

Bijeenkomsten inhoud Week College Docent Onderwerp 1 MS & SW xxxxxxxxxxxxxxx 11/27/2018 Bijeenkomsten inhoud Week College Docent Onderwerp 1 MS & SW Introductie PLS 2 SW Inleiding, bewustwording, rechten en overzicht 3 MS Stakeholder verantwoordelijkheid 4 DPIA 5 Wat is goed handelen? 6 MS/ Gast Workshop datalekken 7 Functionaris, datalekken, opslag van data 8 Waarom Privacy? (Haidt en Kesebir) 9 Privacy by Design/ Default 10 Overeenkomst, toezichthouder 11 MS/Gast Hacking workshop 12 Risk analyses xxxxxxxxxxxxx

Les opzet Bespreken Opdracht Bewustwording Hoorcollege DPIA Casus DPIA xxxxxxxxxxxxxxx 11/27/2018 Les opzet Bespreken Opdracht Bewustwording Hoorcollege DPIA Casus DPIA xxxxxxxxxxxxx

Toepassen leerstof op casus Korte vragen ronde; (5 min) Daarna peer review door studenten. (30 min) Conclusies bespreken (10 min)

xxxxxxxxxxxxxxx 11/27/2018 Lesmateriaal Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf NOREA, de beroepsorganisatie van IT Auditors (2015) Privacy Impact Assessment (PIA), introductie, handreiking en vragenlijst. Versie 1.2 https://www.norea.nl/download/?id=522 xxxxxxxxxxxxx

xxxxxxxxxxxxxxx 11/27/2018 Hoorcollege DPIA In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) “gegevensbeschermingseffectbeoordeling” genoemd. xxxxxxxxxxxxx

Wat is een DPIA? De DPIA doet dit door op gestructureerde wijze: de mogelijk (negatieve) gevolgen van het gebruik van persoonsgegevens voor de betrokken personen en organisaties in kaart te brengen; en de risico’s voor de betrokken personen en organisaties zo veel mogelijk te lokaliseren.

Wat levert een DPIA op? (1/2) Het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s.

Wat levert een DPIA op? (2/2) Het verbeteren van de kwaliteit van gegevens. Het verbeteren van de dienstverlening. Het verbeteren van de besluitvorming. Het verhogen van het privacy bewustzijn binnen een organ isatie. Het verbeteren van de haalbaarheid van een project. Het verstevigen van het vertrouwen van de klanten, werknemers of burgers in de wijze waarop persoonsgegevens worden verwerkt en privacy wordt gerespecteerd. Het verbeteren van de communicatie over privacy en de bescherming van persoonsgegevens.

DPIA verplicht? Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

9 criteria om te toetsen of u een DPIA moet uitvoeren Vuistregel Een DPIA moet uitgevoerd worden als de dataverwerking van een organisatie aan 2 of meer van de 9 criteria voldoet.

1. Beoordelen van mensen op basis van persoonskenmerken Profiling

Opdracht: Wat is hoog en laag? Risicoschattingen bevatten vaak de elementen: - hoog risico, laag risico -hoge impact, lage impact Noem uit elk kwadrant 3 risico’s in het gewone leven Laag ---- Hoog Impact Kans Laag  ------------------ -> Hoog

1. Beoordelen van mensen op basis van persoonskenmerken xxxxxxxxxxxxxxx 11/27/2018 1. Beoordelen van mensen op basis van persoonskenmerken 1. Beoordelen van mensen op basis van persoonskenmerken Het gaat hierbij onder meer om en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt. Voor meer inforamtie zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling xxxxxxxxxxxxx

Opdracht Zoek 3 bedrijven die systematisch mensen beoordelen op persoonskenmerken (nb.: niet Google, Facebook, Netflix). Kies er 1 uit. Zoek in de privacy statement van die organisatie of zij dit ook zo vermelden, en zo ja: hoe.

2. Geautomatiseerde beslissingen

2. Geautomatiseerde beslissingen Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende WP29-guidelines over profiling volgt hierover meer uitleg.

3. Stelselmatige en grootschalige monitoring

3. Stelselmatige en grootschalige monitoring Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

3. Stelselmatige en grootschalige monitoring

4. Gevoelige gegevens Voorbeeld Informatie over iemands politieke voorkeuren

4. Gevoelige gegevens Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

4. Gevoelige gegevens, locatie

5. Grootschalige gegevensverwerkingen

5. Grootschalige gegevensverwerkingen De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’ de hoeveelheid mensen van wie gegevens worden verwerkt; de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt; de tijdsduur van de gegevensverwerking; de geografische reikwijdte van de gegevensverwerking.

Voorbeelden grootschalige gegevensverwerking Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.

Voorbeelden grootschalige gegevensverwerking Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

Voorbeelden grootschalige gegevensverwerking Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.

Voorbeelden grootschalige gegevensverwerking Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.

Voorbeelden grootschalige gegevensverwerking Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden

Niet grootschalig De gezamenlijke Europese toezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten (‘eenpitters’) niet als grootschalig.

Opdracht: zoek in de AVG De AVG spreekt over “grootschalige verwerking”. Wat bepaalt de AVG hier precies over? Welk artikel(len)?

6. Gekoppelde databases Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

8. Gebruik van nieuwe technologieën De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

8. Gebruik van nieuwe technologieën De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn.

Opdracht Beschrijf een technologie waarvan de maatschappelijke gevolgen waarvan de maatschappelijke of persoonlijke gevolgen van gebruik nog niet duidelijk zijn. Gebruik hiervoor: https://www.wired.com/, of https://www.technologyreview.com/

8. Gebruik van nieuwe technologieën Een DPIA helpt de verantwoordelijke om de risico’s te begrijpen en te verhelpen. Sommige ‘Internet of Things’-toepassingen kunnen bijvoorbeeld een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

9. Blokkering van een recht, dienst of contract Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen: een recht niet kunnen uitoefenen of;  een dienst niet kunnen gebruiken of; een contract niet kunnen afsluiten. Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

Opdracht: Strijdige belangen Vorm koppels van 3 Zoek een bedrijf uit, dat zeker onder de DPIA regels valt. (Iegen bedrijf, Internet). Jullie hebben drie rollen: 1. Sales. Verkoop is je doel 2. Data protection Officer 3. Algemeen management. Je zoekt balans. Identificeer in jouw organisatie 5 risico’s. Benoem hoog/laag kans en impact, en maatregelen. Doe dit alle 3 vanuit je eigen ROL en Belang. Bediscussieer de verschillende invalshoeken Noteer je bevindingen

Wanneer geen DPIA data protection impact assessment (PIA) is niet verplicht wanneer de gegevensverwerking: Waarschijnlijk geen hoog privacyrisico oplevert. Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd. Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is. Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.

Wie moet de DPIA uitvoeren? De verantwoordelijke moet ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. De verantwoordelijke moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. De verantwoordelijke hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. U blijft wel eindverantwoordelijk.

Opdracht Zoek uit wie volgens de AVG de DPIA mag LEZEN

Methodes voor een DPIA Er zijn verschillende methodes om een data protection impact assessment (DPIA) uit te voeren.

Methodes voor een DPIA Voorwaarden DPIA 1/2 De DPIA moet in ieder geval het volgende bevatten: Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.  Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?

Methodes voor een DPIA Voorwaarden DPIA 2/2 De DPIA moet in ieder geval het volgende bevatten: Een beoordeling van de privacyrisico's voor de betrokkenen. De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

DPIA handleiding Gebruik voor jullie DPIA het de handleiding: Privacy Impact Assessment (PIA), introductie, handreiking en vragenlijst van NOREA, de beroepsorganisatie van IT Auditors

Opdracht Maak voor jouw organisatie een eerste plan van aanpak om tot een DPIA te komen. Is DPIA verplicht? Welke proces ga je doorlopen? Wie (functies) heb je nodig? Welke info heb je nodig.

Einde college