Goed begin van het jaar: Heeft jouw organisatie (privacy) risico's inzichtelijk?
Het uitvoeren van een DPIA, een risicoanalyse ten aanzien van gegevensverwerking
De eerste week van het nieuwe jaar zit er alweer op en de goede voornemens, ook op zakelijk gebied, worden gemaakt. Bij veel klanten waar wij komen, zien we dat privacy consultants vaak laat in het proces worden aangehaakt om een risicoanalyse te maken op het nieuwe systeem of een nieuwe verwerking. Het jaar goed voorbereid starten? Breng dan tijdig de risico’s ten aanzien van gegevenswerking in kaart door het uitvoeren van een Data Protection Impact Assessment (DPIA). In dit blog vertel ik, Hayke (Business Unit Manager Privacy & Legal – zorg), je meer over de toegevoegde waarde van een DPIA voor jouw organisatie. Daarnaast geeft ik antwoord op de vraag waarom het van specifiek belang is in de zorgsector. Het inzichtelijk maken van de risico’s van jouw organisatie ten aanzien van gegevenswerking en het implementeren van maatregelen beperkt de kans op het voordoen van deze risico’s en dus een betere bescherming van de betrokkenen.
Hoe maak je je risico’s inzichtelijk?
Eerst even terug naar de basis. Wat is een verwerking? Een verwerking houdt in datgene wat een organisatie met persoonsgegevens kan doen. Bijvoorbeeld het verzamelen, vastleggen, opslaan of raadplegen van persoonsgegevens. Hierdoor is er al snel sprake van een verwerking. Het openen van een medisch dossier om te kijken wat de geboortedatum van een patiënt is, is al een verwerking. Het is belangrijk dat je op een vertrouwelijke manier omgaat met de persoonsgegevens die jouw organisatie verwerkt. De eerste stap is het in kaart brengen of er sprake is van verwerking die een hoog privacy-risico oplevert, hiervoor kunnen eventueel maatregelen worden genomen. Risico’s op het gebied van gegevensverwerking kunnen inzichtelijk worden gemaakt middels het uitvoeren van een risicoanalyse. Deze risicoanalyse wordt een Data Protection Impact Assessment (DPIA) genoemd. Het resultaat van een DPIA is een overzicht van risico’s in een specifieke verwerking of applicatie. Vervolgens wordt er, op basis van de geïnventariseerde risico’s, advies gegeven over de te nemen maatregelen.
Waarom is het belangrijk om een DPIA uit te voeren?
Er zijn verschillende argumenten waarom het goed is om een DPIA uit te voeren. De belangrijkste reden is het beschermen van de betrokkenen wiens persoonsgegevens worden verwerkt door jouw organisatie. Middels het uitvoeren van een DPIA breng je de risico’s voor de betrokkenen van de gegevensverwerking in kaart. Een DPIA maakt duidelijk waar de kwetsbaarheden zitten en draagt bij aan het verder optimaliseren van de processen van gegevensverwerking. Je toetst onder andere of de verwerking noodzakelijk is, of de bewaartermijnen goed zijn ingericht en of de rechten van betrokkenen juist zijn ingericht.
Maar wat zijn dan de gevolgen als bovenstaande zaken niet inzichtelijk zijn? Wanneer er geen DPIA wordt uitgevoerd terwijl deze wel noodzakelijk is, loopt jouw organisatie het risico dat mogelijke hoge privacy-risico’s niet aan het licht komen. Ook kan het zijn dat je bijvoorbeeld gegevens van betrokkenen verwerkt die niet zijn toegestaan of buitensporig zijn. Hierdoor is het lastig om een veilige en verantwoorde omgang van de persoonsgegevens van de betrokkenen te garanderen.
Daarnaast is de DPIA een middel waarmee je als organisatie verantwoording kan afleggen over de wijze waarop je de verwerking uitvoert. Als organisatie maak je het proces en daarmee de keuzes gedurende het proces van de verwerking aantoonbaar én inzichtelijk. Vaak zijn er namelijk meerdere (technische) keuzes te maken gedurende dit proces. Het inzichtelijk maken van deze keuzes is ondersteunend aan de toelichting die je in de DPIA geeft omtrent het subsidiariteitsbeginsel en proportionaliteitsbeginsel. Inzicht geven in de afwegingen die gemaakt zijn draagt mede bij aan het transparantiebeginsel. Wat zowel voor de betrokkenen als voor de organisatie duidelijkheid geeft.
Naast het feit dat je door het uitvoeren van een DPIA als organisatie betere grip hebt op de verantwoorde omgang van gegevensverwerking, is het in sommige gevallen ook een wettelijke verplichting. De Algemene verordening gegevensbescherming (AVG) stelt onder andere dat een organisatie een DPIA moet uitvoeren wanneer deze op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn dat het een grote(re) impact op de betrokkenen kan hebben als een organisatie deze gegevens verwerkt, bijvoorbeeld gegevens over iemands gezondheid. Dit is bijvoorbeeld het geval in de zorgsector wanneer je spreekt over het patiëntendossier. Of de verwerking op grote schaal is hangt af van het aantal betrokkenen, de hoeveelheid gegevens, hoe lang de verwerking duurt en de geografische reikwijdte ervan. Een voorbeeld van een verwerking die de Europese privacytoezichthouders als grootschalig zien is een ziekenhuis dat patiëntengegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden. Een verwerking van bijzondere persoonsgegevens door individuele artsen wordt niet als grootschalige verwerking gezien.
Het niet juist inrichten van verplichtingen rondom gegevensbescherming kan leiden tot schending van de AVG. De AVG geldt voor iedereen die persoonsgegevens verwerkt. Met de komst van de AVG hebben organisaties meer verantwoordelijkheden gekregen en de betrokkenen, van wie gegevens worden verwerkt, meer rechten. De AVG draagt bij aan de bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) is de toezichthouder van de AVG en kan bij het schenden van de wet boetes opleggen.
Waarom belangrijk in de zorgsector?
Het uitvoeren van een DPIA brengt risico’s met betrekking tot gegevensbescherming in kaart en draagt bij aan een verantwoorde omgang van de persoonsgegevens van betrokkenen. Dit geldt ook voor de zorgsector. In de zorg is er bijna altijd sprake van een verwerking van bijzondere persoonsgegevens, namelijk medische gegevens. Bij de verwerking van bijzondere persoonsgegevens is het risico voor de persoon waarvan je de gegevens verwerkt hoger, omdat het gaat om zeer persoonlijke en vertrouwelijke informatie. Als zorgorganisatie wil je ten alle tijden voorkomen dat deze vertrouwelijke persoonsgegevens in verkeerde handen terecht komen en mogelijk misbruikt worden. In de zorgsector is er vaak sprake van verwerkingen waarvoor een DPIA verplicht wordt gesteld, onder andere bij:
- Verwerking van bijzondere persoonsgegevens op grote schaal.
- Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens. Hierbij kan je denken aan DNA-analyses om persoonlijke kenmerken in kaart te brengen.
- Het gebruik van cameratoezicht in de zorg ten behoeve van zorgverlening.
- De monitoring van werkgevers, bijvoorbeeld het inregelen van logging in een Elektronisch Patiënten Dossier (EPD) waarmee kan worden nagegaan welke medewerkers wanneer het dossier geraadpleegd hebben.
Ook wanneer de DPIA niet verplicht is, kan het voor de zorgsector wenselijk zijn op eigen initiatief deze uit te voeren. Naast de eerder genoemde argumenten om een DPIA uit te voeren, draagt het in de zorgsector ook bij aan de vertrouwensrelatie tussen de betrokkenen en de zorg. De betrokkenen kan erop vertrouwen dat er zorgvuldig met zijn/haar gegevens wordt omgegaan. De persoonsgegevens, zoals een medisch dossier, zijn goed geborgd bij de zorginstelling waar hij/zij zich laat behandelen. Risico’s met betrekking tot de borging van deze gegevens worden inzichtelijk gemaakt door een DPIA, waarna een zorginstellingen maatregelen kan treffen om alsnog de verantwoorde omgang te kunnen garanderen.
Een DPIA uitvoeren, hoe doe je dat?
Er is niet een standaard manier waarop je een DPIA uitvoert. Je bent als organisatie vrij om de vorm van de DPIA te bepalen, zolang de DPIA maar een beoordeling bevat van onder andere de verwerkingsdoeleinden en de belangen van gegevensverwerking, de noodzaak en evenredigheid van de verwerking, de risico’s voor de rechten en vrijheden van de betrokkenen en de maatregelen om de risico’s aan te pakken (Artikel 35 lid 7, AVG). Wat ik vaak in de praktijk zie is dat een DPIA een papieren tijger wordt en met name wordt gebruikt als een middel om de verplichtingen af te vinken. Persoonlijk ben ik van mening dat een pragmatische wijze van uitvoering veel meer waarde heeft voor de organisatie én daarmee voor de betrokkenen. Dit betekent niet een lang rapport met lappen tekst, maar een duidelijke rapportage waarin risico’s overzichtelijk worden weergegeven. Het rapport zelf is daarbij niet eens het belangrijkste, maar met name het proces van het opstellen van het rapport. Het doel is namelijk niet dat er een rapport wordt opgeleverd, die op de plank beland, maar dat medewerkers worden meegenomen in de kwetsbaarheden van de processen en zich ook daadwerkelijk verantwoordelijk voelen om deze verder te verbeteren waar nodig. Zo is het in de zorgsector belangrijk om goed te bepalen wie er toegang hebben tot bijvoorbeeld het medisch dossier. Dit moet je niet eenmalig doen tijdens het opstellen van de DPIA, maar moet je ook regelmatig controleren. Dit wordt alleen bereikt wanneer de medewerkers bewust zijn van dit belang en zich hiervoor verantwoordelijk voelen.
Daarnaast is de timing van de DPIA belangrijk. Helaas gebeurt het nog te vaak dat aan het einde van de oplevering van een project of proces er aan privacy wordt gedacht. Dan nog een DPIA moeten uitvoeren zorgt vaak voor frustratie en vertraging. Om dit te voorkomen is het belangrijk om over een DPIA-proces te beschikken en goed te implementeren in de organisatie, waarbij een privacy adviseur zoals een Privacy Officer of een Functionaris Gegevensbescherming tijdig wordt aangehaakt om mee te kijken naar eventuele privacy-risico’s. Dit hoeft dan nog niet om een volledige uitvoering van een DPIA te gaan. Maar door vroegtijdig vragen te stellen als ‘Waarom worden juist deze gegevens verwerkt van de betrokkenen? Wat is de noodzaak daarvan? Worden deze gegevens nog met andere partijen gedeeld? Waar worden de gegevens opgeslagen?’ worden al heel veel verwerkingen inzichtelijk inclusief eventuele bijbehorende risico’s van de verwerking. Een DPIA is dan ook niet altijd nodig en kort privacyadvies aan de voorkant voorkomt dan al een heleboel (technisch) inregelen achteraf.
Mijn ervaring is dat je dit alles bereikt door het uitvoeren van een DPIA in gezamenlijkheid met de proceseigenaren. Tuurlijk schrijf ik als jurist vaak het rapport, maar altijd in afstemming en samenspraak met de proceseigenaren en andere relevante stakeholder bij het proces. Persoonlijk geef ik voorkeur aan een informeel gezamenlijk moment, waarbij alle verantwoordelijke medewerkers en stakeholders aanwezig zijn, waarin de processtappen worden doorgenomen en er scherpt wordt neergezet wat de wijze van inrichting is. Hierbij kijken we zowel naar zaken die privacy-vriendelijk zijn ingeregeld en conform de wet als naar zaken die nog verbeterd kunnen worden. Het is altijd een mooi proces om te zien hoe medewerkers in de eerste ontmoeting een nog wat sceptische houding hebben over de noodzaak van een DPIA, maar tijdens de tweede meeting de meerwaarde inzien van het uitvoeren van de DPIA. Zo loop ik met een voldaan gevoel de meeting uit, wetende dat ik niet een rapport oplever dat op de plank belandt, maar ook daadwerkelijk heb kunnen bijdragen aan een juiste borging en omgang van de persoonsgegevens van betrokken. En aan een stukje bewustwording, maar ook enthousiasmeren van de medewerkers om het proces verder conform te privacy standaarden te optimaliseren. Daarbij ligt dus niet de focus op wat niet goed is en wat niet mag, maar op wat de organisatie wil bereiken en hoe dat goed ingericht kan worden. En als het al is ingericht, wat er dan gedaan kan worden om het nog beter te maken.
Conclusie
Met het uitvoeren van een DPIA maak je risico’s voor betrokkenen inzichtelijk, kun je processen optimaliseren en maatregelen implementeren om de privacy-risico’s te reduceren of elimineren. Hierdoor heb je als organisatie grip op de verwerkingen en wek je vertrouwen richting de personen waarvan je de gegevens verwerkt. Tevens voldoe je aan de eventuele aanwezige wettelijke verplichtingen om een DPIA uit te voeren. Hoe je de DPIA uitvoert kun je als organisatie zelf bepalen. Bij Cuccibu hanteren wij daarbij een pragmatische aanpak waarin niet het rapport centraal staat, maar het proces daar naartoe. Oftewel geen lastig leesbaar rapport, maar een continue afstemming waarbij de stakeholders volledig zijn meegenomen in zaken die nog aandacht behoeven op het gebied van privacy. Het rapport zorgt er voor dat dit nog eens duidelijk op papier staat en kan dienen als naslagwerk en als document om je verantwoording af te leggen richting de toezichthouder, wanneer dit nodig is. Start het jaar goed en zorg ervoor dat je als organisaties de risico’s in beeld hebt! Meer weten over de DPIA? Download ons whitepaper hieronder.
