Veel organisaties kunnen wel onder woorden brengen wat het inhoudt dat verwerkingen ‘privacy by design’ moeten worden ingericht. Tegelijkertijd heb ik gemerkt dat organisaties het in praktijk lastig vinden om te komen tot een vaste werkwijze die gevolgd moet worden, niet in de laatste plaats omdat organisaties ‘from scratch’ een aanpak voor het werken volgens privacy by design proberen op te tuigen.
Het is belangrijk om je te realiseren dat privacy by design een algemeen beginsel is en geen technisch vereiste. De essentie is dat medewerkers die aan de slag gaan met persoonsgegevens op tijd nadenken over persoonsgegevensbescherming, oftewel vóórdat zij keuzes maken ten aanzien van de vormgeving van de verwerking. Om dit te realiseren reikt de AVG al verschillende concrete instrumenten aan die helpen om de essentie van privacy by design een plek te geven in het voortbrengingsproces en/of de beleidsontwikkeling. Het eerste is de DPIA (art 35 AVG; Nederlandse afkorting: GEB). Het tweede is de verplichte registratie van verwerkingen in het verwerkingsregister (art 30 AVG). Als organisaties hier slim mee omgaan, is de basis voor het voldoen aan privacy by design gelegd.
De DPIA
De (lijn)verantwoordelijke heeft altijd de plicht om passende maatregelen tegen privacyrisico’s te nemen. De AVG ‘helpt’ aan deze plicht te voldoen door een DPIA (data protection impact assessment) bij verwerkingen met verhoogde risico’s zelfs verplicht te stellen. Bij iedere verwerking moet de (lijn)verantwoordelijke een afweging maken of een DPIA nodig is. Of er een DPIA uitgevoerd moet worden, kan je het beste laten toetsen door middel van op de eigen sector of organisatie toegespitste controlevragen. Let er daarbij op dat er soms sectorale afspraken gelden ten aanzien van het uitvoeren van DPIA’s. Binnen het Rijk geldt bijvoorbeeld dat een DPIA altijd uitgevoerd moet worden op verwerkingen die horen bij de uitvoering van wet- of regelgeving.
De afweging die de verantwoordelijk medewerker per verwerking op basis van de opgestelde controlevragen maakt, moet worden gedocumenteerd. Voor een deel van de verwerkingen leidt deze afweging tot het (laten) uitvoeren van een DPIA, die vervolgens uitmondt in aanbevelingen waarmee privacy by design gerealiseerd wordt. Voor het deel van de verwerkingen waarbij de conclusie is dat géén DPIA nodig is, levert het beantwoorden van de controlevragen wel concrete aandachtspunten op, waarbij je per type aandachtspunt algemene beschermingsmaatregelen kunt vereisen.
Het verwerkingsregister
Naast de verplichte DPIA-afweging stelt de AVG voor de meeste organisaties ook het bijhouden van een verwerkingsregister verplicht. Aangezien dit betekent dat je iedere nieuwe verwerking in het register moet opnemen, biedt het registreren van een verwerking de gelegenheid om bij de verantwoordelijk medewerker voor de verwerking te toetsen of die de nodige afwegingen heeft gemaakt voorafgaand aan de verwerking. Ik zou daarom willen aanraden om in aanvulling op de wettelijke vereisten aan het register ook controlevragen in het register op te nemen, zodat een verwerking niet ongemerkt geregistreerd kan worden zonder de nodige aanvullende checks en bijbehorende maatregelen.
Een organisatie dient echter wel serieus werk te maken van de genoemde instrumenten voordat ze kunnen leiden tot verwerkingen die voldoen aan privacy by design. Als de eindverantwoordelijke of de interne toezichthouder het door de vingers ziet wanneer lijnverantwoordelijken zich van deze twee taken te makkelijk afmaken, hoeft het ook geen verwondering te wekken als er verwerkingen aan het licht komen waarmee onnodig hoge risico’s voor de betrokkenen gemoeid zijn, want dat is nu juist wat ‘privacy by design’ moet voorkomen.
Heeft u vragen over dit onderwerp of wilt u meer informatie ontvangen? Neem contact op.
Door: Bart de Goeij