Handreiking

Data Protection Impact Assessment (DPIA)

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

Colofon Naam document

Handreiking Data Protection Impact Assessment (DPIA)

Versienummer

1.0

Versiedatum

Juni 2019

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk

Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende

voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te

verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld.

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden.

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven

onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten.

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf

vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van

Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaring

De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin

kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden,

onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende

uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

3 Informatiebeveiligingsdienst

Wijzigingshistorie

Versie Datum Wijziging / Actie

0.1 23-04-2018 Initiële versie DPIA

0.8 13-05-2018 Opmerkingen van interne review verwerkt

0.9 18-06-2019 Structuur en teksten van deze handreiking gelijkgetrokken met

structuur DPIA-tool

1.0 Juni 2019 Definitieve versie

Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle

Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is

voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij

hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig

kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere

overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de

producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

Leeswijzer Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is

eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

Doel

Het doel van dit document is het geven van een toelichting op de data protection impact assessment (DPIA) voor

gemeenten ter ondersteuning bij het uitvoeren van de DPIA in overeenstemming met de Algemene Verordening

Gegevensbescherming (AVG).1

Doelgroep

Dit document is van belang voor het verwerkingsverantwoordelijke, de functionaris voor gegevensbescherming (FG), de

verwerkers, management van de gemeente, de systeemeigenaren, de ICT-afdeling en de Chief Information Security

Officer (CISO).2

Relatie met overige producten

• Baseline Informatiebeveiliging Overheid (BIO)

• Handreiking informatiebeveiligingsbeleid BIO gemeenten met apart format informatiebeveiligingsbeleid

• Baselinetoets BIO inclusief uitleg, diepgaande risicoanalyse en handreiking dataclassificatie

Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)

18.1.4 1 Privacy en bescherming van persoonsgegevens Privacy en bescherming van persoonsgegevens

behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante

wet- en regelgeving. 1 De Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018. 2 Zie voor een definitie van verwerkingsverantwoordelijke en verwerkers artikel 4 van de AVG.

Inhoudsopgave

1. Inleiding ....................................................................................................................................... 6 1.1. DEDA-model .................................................................................................................................... 7 1.2. Doelstelling handreiking .................................................................................................................. 7 1.3. Aanwijzing voor gebruik .................................................................................................................. 8

2. Uitvoeren DPIA .......................................................................................................................... 9 2.1. Uitvoeren DPIA verplicht ................................................................................................................. 9 2.2. Geen DPIA uitvoeren ..................................................................................................................... 13 2.3. Tijdstip uitvoeren DPIA .................................................................................................................. 13 2.4. Uitvoerder DPIA ............................................................................................................................. 14 2.5. Methode uitvoeren DPIA ............................................................................................................... 15 2.6. Betrokkenen bij uitvoeren DPIA .................................................................................................... 16

3. DPIA-tool IBD .......................................................................................................................... 18 3.1. Delen van DPIA’s ............................................................................................................................ 19 3.2. Naamgeving DPIA’s ........................................................................................................................ 19 3.3. Opslag DPIA’s ................................................................................................................................. 19 3.4. Workflow binnen de DPIA-tool ..................................................................................................... 21 3.5. Ondersteunde browsers ................................................................................................................ 21

4. Beschrijf beoogde gegevensverwerking ....................................................................... 22 4.1. Beschrijf verwerkingsvoorstel ....................................................................................................... 23 4.2. Beschrijf verwerkingsdoeleinden .................................................................................................. 24 4.3. Beschrijf verwerkingslocaties ........................................................................................................ 25 4.4. Beschrijf verantwoordelijkheden gegevensverwerking ................................................................ 26 4.5. Beschrijf juridisch en beleidsmatig kader ...................................................................................... 31 4.6. Beschrijf gedragscode(s) ................................................................................................................ 32

5. Beschrijf kenmerken gegevensverwerking ................................................................. 33 5.1. Beschrijf persoonsgegevens .......................................................................................................... 33 5.2. Beschrijf bijzondere persoonsgegevens ........................................................................................ 36 5.3. Bewaartermijn gegevens. .............................................................................................................. 37 5.4. Beschrijf Informatiestromen ......................................................................................................... 39

6. Beschrijf systemen gegevensverwerking ..................................................................... 42 6.1. Beschrijf de systemen, technieken en methoden voor gegevensverwerking............................... 42 6.2. Beschrijf systemen ......................................................................................................................... 43 6.3. Beschrijf technieken en methoden voor gegevensverwerkingen ................................................. 44

7. Rechtmatigheid gegevensverwerkingen ....................................................................... 48 7.1. Beschrijf doelbinding ..................................................................................................................... 48 7.2. Beschrijf rechtsgrond .................................................................................................................... 50 7.3. Beschrijf noodzaak en evenredigheid ........................................................................................... 51 7.4. Beschrijf stappen om de gegevenskwaliteit te waarborgen ......................................................... 53 7.5. Beschrijf rechtvaardiging bewaartermijn ...................................................................................... 53

8. Rechten van betrokkenen ....................................................................................................... 54 8.1. Informeren betrokken ................................................................................................................... 55 8.2. Toestemming betrokkenen ........................................................................................................... 55 8.3. Inzage en overdraagbaarheid van gegevens ................................................................................. 56

5 Informatiebeveiligingsdienst

8.4. Gegevens corrigeren of wissen ..................................................................................................... 56 8.5. Beperking van gegevensverwerking .............................................................................................. 56 8.6. Verplichtingen verwerkers ............................................................................................................ 57 8.7. Internationale doorgifte ................................................................................................................ 57

9. Beschrijf risico’s ......................................................................................................................... 58 9.1. Risico’s beoordelen ....................................................................................................................... 60 9.2. Risico’s identificeren ...................................................................................................................... 61 9.3. Risico’s inschatten ......................................................................................................................... 62

10. Beschrijf voorgenomen maatregelen ............................................................................. 66 10.1. Maatregelen die bijdragen aan de rechten van de betrokkenen ......................................... 69 10.2. Maatregelen die bijdragen aan veilig gebruik Big Data ........................................................ 70 10.3. Maatregelen die bijdragen aan evenredigheid en noodzaak gegevensverwerking ............. 71

11. Belanghebbenden.................................................................................................................. 72 11.1. Advies van de functionaris voor gegevensbescherming ....................................................... 72 11.2. De mening van betrokkenen of hun vertegenwoordigers .................................................... 73 11.3. Voorafgaande raadpleging .................................................................................................... 73 11.4. Redenen voor het niet uitvoeren van onderzoek ................................................................. 73

Bijlage 1: Naslag: tekst uit AVG, UAVG en MVT bij UAVG ................................................. 74

Bijlage 2: Criteria DPIA ................................................................................................................ 78

Bijlage 3: Bronnen ......................................................................................................................... 79

1. Inleiding De verwerkingsverantwoordelijke moet voorafgaand aan de gegevensverwerking een data protection impact

assessment (DPIA)3 uitvoeren om de waarschijnlijkheid en ernst van risico's te beoordelen. Hierbij moet rekening

worden gehouden met de aard, omvang, context en doelen van de gegevensverwerking en de bronnen van de risico's.

Bij een DPIA moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om risico’s

te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan de Algemene Verordening

Gegevensbescherming (AVG)4 wordt voldaan.

Een DPIA is een proces dat is bedoeld om de gegevensverwerking van persoonsgegevens te beschrijven, de noodzaak

en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke

personen te helpen beheren.5 Hiervoor moeten risico’s worden ingeschat en maatregelen worden bepaald om deze

risico’s aan te pakken. Een DPIA is een belangrijk verantwoordingsinstrument. Het helpt

verwerkingsverantwoordelijken om aan de eisen van de AVG te voldoen, en om aan te tonen dat passende

maatregelen zijn genomen om ervoor te zorgen dat de AVG wordt nageleefd.6 Met andere woorden: een DPIA is een

proces voor het realiseren en aantonen van naleving (zie ook Figuur 3).

Als niet aan de eisen van de DPIA wordt voldaan, kan dat onder de AVG tot gevolg hebben dat de bevoegde

toezichthoudende autoriteit boetes oplegt.7 Als geen DPIA wordt uitgevoerd terwijl dat voor de gegevensverwerking

wel verplicht is8, als een DPIA niet correct wordt uitgevoerd9, of als de Autoriteit Persoonsgegevens (AP)10 niet wordt

geraadpleegd terwijl dat wel vereist is11, kan dat leiden tot een administratieve boete van maximaal 10 miljoen

EUR.12,13

De AVG vereist dat verwerkingsverantwoordelijken passende maatregelen treffen om de naleving van de AVG te

waarborgen en te kunnen aantonen, onder meer rekening houdend met "de qua waarschijnlijkheid en ernst

uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen".14 De verplichting voor

verwerkingsverantwoordelijken om in bepaalde omstandigheden een DPIA uit te voeren, komt voort uit hun algemene

verplichting om risico's die verbonden zijn aan de gegevensverwerking van persoonsgegevens op passende wijze te

beheren. Er moet worden benadrukt dat om de risico's voor de rechten en vrijheden van natuurlijke personen te

beheren, de risico's moeten worden geïdentificeerd, geanalyseerd, ingeschat, geëvalueerd, aangepakt (bijvoorbeeld

afgezwakt) en regelmatig moeten worden herbeoordeeld. Verwerkingsverantwoordelijken kunnen hun

verantwoordelijkheid niet ontlopen door risico's te verzekeren.15

Voor het samenstellen van deze handreiking ‘Data Protection Impact Assessment (DPIA)’ is gebruik gemaakt van de

documentatie zoals beschreven in Bijlage 3: Bronnen.

3 In de Nederlandse vertaling van de Algemene Verordening Gegevensbescherming (AVG) wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). 4 De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR) (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/gdpr.pdf). 5 In de AVG wordt het concept "data protection impact assessment" niet formeel gedefinieerd, maar de minimale inhoud ervan wordt gespecificeerd in AVG artikel 35, lid 7 en de betekenis en rol ervan wordt verduidelijkt in AVG overweging 84. Zie ook bijlage 1 in deze handreiking Data Protection Impact Assessment (DPIA). 6 AVG artikel 24 en AVG overweging 84. 7 De Nederlandse toezichthoudende autoriteit is de Autoriteit Persoonsgegevens (AP) (https://autoriteitpersoonsgegevens.nl/). 8 AVG artikel 35, leden 1, 3 en 4. 9 AVG artikel 35, leden 2, 7, 8 en 9. 10 https://autoriteitpersoonsgegevens.nl/ 11 AVG artikel 36, lid 3, onder e. 12 AVG artikel 83, lid 4. 13 De hoogte van de administratieve geldboeten kan oplopen tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Aangezien het hier over gemeenten gaat is de hoogte maximaal 10.000.000 EUR. 14 AVG artikel 24, lid 1. 15 Het verzekeren van geldboetes is in strijd met de goede zeden, zie artikel 40 in Boek 3 van het Nederlandse Burgerlijk Wetboek (http://wetten.overheid.nl/BWBR0005291/). Het is dus wettelijk niet toegestaan. Een verzekering mag wel worden afgesloten om de juridisch kosten of kosten die gemaakt worden bij het herstellen van een datalek te beperken.

7 Informatiebeveiligingsdienst

1.1. DEDA-model Door de Utrecht Data School (UDS)16 is een instrument beschikbaar gesteld waarmee organisaties hun ethisch

bewustzijn bij nieuwe data-projecten tegen het licht kunnen houden, het model heet De Ethische Data Assistent

(DEDA). 17 DEDA is een methode om in een team op ethische vragen te reflecteren. Hierbij wordt een poster gebruikt,

waarop alle ethische aspecten die bij data-projecten relevant kunnen zijn, aan bod komen.

Het beantwoorden van vragen van het model zorgt ervoor dat betrokkenen bij een data-project stilstaan bij diverse

essentiële zaken, zoals de verantwoordelijke aanwijzen, doelmatigheid bepalen, eventuele privacy-risico's vaststellen

en de wijze waarop de data gevisualiseerd wordt. Nu wordt er nog vaak vanuit een onderbuikgevoel over ethiek

gesproken bij data-projecten. Het DEDA-model zorgt ervoor dat het gesprek over data ethiek gestructureerd kan

verlopen en goed beargumenteerd wordt.

Aanvulling op DPIA

Door het uitvoeren van de DPIA wordt bepaald welke privacyrisico's er kunnen optreden en welke maatregelen

genomen kunnen worden om deze privacyrisico’s te mitigeren. Als uit de DPIA blijkt dat de gegevensverwerking

uitgevoerd mag worden wordt met behulp van DEDA de ethische vraag beantwoord. Het mag volgens de wet- en

regelgeving maar moeten we dit als gemeente wel willen?

De conclusie is dat de DPIA en DEDA enige overlap hebben maar vooral aanvullend op elkaar zijn. DEDA functioneert als

een dialogische tool. In deze vorm is de tool gelicenseerd bij de VNG en is al bij meer dan 50 gemeentes gebruikt bij

data-ethiek trainingen.

1.2. Doelstelling handreiking De doelstelling van deze handreiking is een toelichting geven op de DPIA voor gemeenten ter ondersteuning bij het

uitvoeren van de DPIA in overeenstemming met de AVG.

De indeling van dit document is als volgt:

• Hoofdstuk 2 beschrijft wanneer de gemeente wel of niet een DPIA moet uitvoeren. Verder wordt ingegaan

wanneer gestart moet worden met het uitvoeren van een DPIA en wie hierbij betrokken moet worden.

• Hoofdstuk 3 geeft een korte introductie van de DPIA-tool die door de IBD wordt aangeboden.

• Hoofdstuk 4 beschrijft de gegevensverwerking van de gemeente. De gemeente moet hierbij rekening houden met

de aard, omvang, context en doelen van de gegevensverwerking.

• Hoofdstuk 5 beschrijft de persoonsgegevens die worden gebruikt bij de gegevensverwerking, waaronder

bijzondere persoonsgegevens en de bewaartermijnen.

• Hoofdstuk 6 beschrijft de systemen die bij de gegevensverwerking worden gebruikt. De gemeente moet hierbij

rekening houden met de locatie waar de gegevens worden bewaard en de bewaartermijnen van de

persoonsgegevens voor elk systeem.

• Hoofdstuk 7 beschrijft of de voorgenomen gegevensverwerkingen van de gemeente rechtmatig zijn. Het gaat hier

om de beoordeling van de juridische rechtsgrond, noodzaak en doelbinding van de gegevensverwerkingen, maar

ook met de wijze waarop invulling wordt gegeven aan de rechten van de betrokkenen.

• Hoofdstuk 8 beschrijft hoe invulling wordt gegeven aan de rechten van de betrokkenen en of er internationale

doorgifte van de persoonsgegevens plaatsvindt.

• Hoofdstuk 9 brengt de risico's voor de rechten en vrijheden van betrokkenen in kaart. Ook hier moet de gemeente

rekening houden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's of, meer specifiek,

voor elk risico (onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens) vanuit het perspectief

van de betrokkenen.

16 https://dataschool.nl/deda 17 Zie ook: https://www.vngrealisatie.nl/nieuws/deda-geeft-zicht-op-de-ethische-kant-van-data

• Hoofdstuk 10 beschrijft de maatregelen die gemeente treffen om de in hoofdstuk 9 erkende risico’s te voorkomen

of te verminderen.

• Hoofdstuk 11 beschrijft hoe de gemeente omgaat met de opvattingen van de belanghebbenden. Denk hierbij aan

de functionaris voor gegevensbescherming (FG) en betrokkenen of hun vertegenwoordigers.

• Bijlage 1 bevat de relevante overwegingen, artikelen en paragrafen uit de AVG, Uitvoeringswet Algemene

verordening gegevensbescherming (UAVG) en de Memorie van toelichting (MVT) bij UAVG

• Bijlage 2 bevat de criteria van de werkgroep van Europese privacytoezichthouders WP29 die gebruikt kunnen

worden om te beoordelen of een DPIA volledig genoeg is om aan de AVG te voldoen.

• Bijlage 3 geeft een opsomming van de gebruikte bronnen om deze handreiking DPIA op te stellen.

De voorliggende handreiking Data Protection Impact Assessment (DPIA) beschrijft methode voor het uitvoeren van een

DPIA, zodat wordt voldaan aan de gemeenschappelijke criteria18 die zijn vastgesteld door de werkgroep van Europese

privacytoezichthouders (WP29)19. Deze gemeenschappelijke criteria kunnen door de verwerkingsverantwoordelijke

worden gebruikt om te beoordelen of een DPIA, of een methode voor het uitvoeren van een DPIA, volledig genoeg is

om aan de AVG te voldoen.

1.3. Aanwijzing voor gebruik Deze handreiking bevat uitgebreide achtergrondinformatie om de DPIA met behulp van de DPIA-tool IBD voor

gemeenten uit te voeren. Er is in deze handreiking naar getracht om een zo goed en compleet mogelijke beschrijving te

geven van de zaken waar de gemeente bij het uitvoeren van een DPIA rekening moet houden. Een van de

uitgangspunten was om alle relevante zaken bij het uitvoeren van een DPIA in één document te beschrijven. Dit heeft

wel als resultaat dat het uiteindelijk een lijvig document is geworden. Naast deze uitgebreide handreiking komt er ook

een verkorte versie van deze handreiking, hierin is deze achtergrondinformatie uiteraard niet beschreven en is de tekst

beperkt tot de aandachtspunten die bij de verschillende paragrafen relevant zijn.

18 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf 19 http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358

9 Informatiebeveiligingsdienst

2. Uitvoeren DPIA In dit hoofdstuk wordt aangegeven wanneer wel en wanneer niet een DPIA moet worden uitgevoerd. Verder wordt

ingegaan wat het beste moment is om te starten met het uitvoeren van een DPIA, wei de DPIA moet uitvoeren en wie

hierbij betrokken moeten worden.

2.1. Uitvoeren DPIA verplicht In deze paragraaf worden handvatten gegeven om vast te stellen of het uitvoeren van een DPIA wel of niet verplicht is.

Hierbij wordt onderscheid gemaakt in bestaande (vóór 25 mei 2018) en nieuwe gegevensverwerkingen.

2.1.1. DPIA bestaande gegevensverwerkingen

Een veel gestelde vraag is of de gemeente een DPIA moet uitvoeren voor gegevensverwerkingen waarmee de

gemeente vóór 25 mei 2018 was begonnen? Met hulp van het schema in Figuur 1 kan de gemeente bepalen of het

nodig is om verder uit te zoeken of de gemeente een DPIA moet uitvoeren voor bestaande gegevensverwerkingen. Het

gaat om gegevensverwerkingen waarmee de gemeente vóór de ingang van de AVG, op 25 mei 2018, is gestart. Zie voor

nieuwe gegevensverwerkingen paragraaf 2.1.2 ‘DPIA nieuwe gegevensverwerkingen’.

Figuur 1 DPIA-checklist: bestaande gegevensverwerkingen.

2.1.2. DPIA nieuwe gegevensverwerkingen

Als de gemeente wil starten met een nieuwe gegevensverwerking van persoonsgegevens? Dan moet de gemeente

eerst bepalen of de gemeente verplicht is om een DPIA uit te voeren voordat met de gegevensverwerking gestart mag

worden. Met hulp van het schema in Figuur 2 kan de gemeente bepalen of het nodig is om een DPIA uit te voeren voor

nieuwe gegevensverwerkingen.

Voor gegevensverwerkingen waarmee de gemeente vóór de ingang van de AVG, op 25 mei 2018, is gestart, hoeft de

gemeente mogelijk geen DPIA uit te voeren. Zie hiervoor paragraaf 2.1.1 ‘DPIA bestaande gegevensverwerkingen’.

Heeft u voor deze verwerking

al eens een voorafgaand

onderzoek moeten laten

uitvoeren?

Zijn de risico's van de

verwerking veranderd?

Bijvoorbeeld doordat de

maatschappelijke context is

veranderd?

Is de verwerking in de

tussentijd veranderd?

De gemeente hoeft geen DPIA

uit te voeren.

Nee

Nee

Ja

Ja

Nee

De gemeente moet mogelijk een

DPIA uitvoeren voordat de

gemeente door mag gaan met

deze verwerking

Ja

Toets of de gemeente verplicht is

een DPIA uit te voeren voor de

gemeente bestaande verwerking:

In welke gevallen moet ik een

DPIA uitvoeren?

De gemeente hoeft geen DPIA

uit te voeren.Nee

Figuur 2 DPIA-checklist: nieuwe gegevensverwerkingen

De lijst met gegevensverwerkingen waarvoor een DPIA verplicht is wordt opgesomd in paragraaf 2.1.3 ‘Uitvoeren DPIA

verplicht’.

2.1.3. Uitvoeren DPIA verplicht

De AP heeft een lijst van soorten gegevensverwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is

vóórdat de gemeente met verwerken begint.20 Deze gegevensverwerkingen zijn:

1. Heimelijk onderzoek

2. Zwarte lijsten

3. Fraudebestrijding

4. Creditscores

5. Financiële situatie

6. Genetische persoonsgegevens

7. Gezondheidsgegevens

8. Samenwerkingsverbanden

9. Cameratoezicht

10. Flexibel cameratoezicht

11. Controle werknemers

12. Locatiegegevens

20 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879

13. Communicatiegegevens

14. Internet of things

15. Profilering

16. Observatie en beïnvloeding van gedrag

Staat uw verwerking op de lijst

waarvoor een DPIA verplicht is?

Levert uw verwerking

waarschijnlijk een hoog

privacyrisico op?

Lijkt uw gegevensverwerking

sterk op een verwerking

waarvoor al een DPIA is

uitgevoerd?

Of:

Is er bij de totstandkoming van

een Europese of nationale wet

al een DPIA uitgevoerd voor uw

type gegevensverwerking?**

De gemeente hoeft geen DPIA

uit te voeren.

Nee

Nee

Ja

Ja

Nee

De gemeente moet een DPIA

uitvoeren voordat de gemeente

met deze verwerking mag

starten.

Ja

Stel een DPIA op. Lees meer

over de voorwaarden waar een

goede DPIA aan voldoet:

Op welke manier moet ik een

DPIA uitvoeren?

11 Informatiebeveiligingsdienst

De lijst, met 16 specifieke gegevensverwerkingen, is niet uitputtend. Het kan zijn dat de gegevensverwerking niet op

deze lijst staat. In dat geval moet de gemeente beoordelen of de gegevensverwerking een hoog privacyrisico oplevert

voor de betrokkenen. Zie hiervoor ook de DPIA-vragenlijst persoonsgegevens 6A ‘Verwerkingen waarvoor een DPIA

verplicht is’ in de Baselinetoets BBN BIO21.

2.1.4. Criteria Europese privacytoezichthouders

De werkgroep van Europese privacytoezichthouders (WP29)22 heeft een lijst van 9 criteria23 opgesteld om te toetsen of

een DPIA moet worden uitgevoerd. Op 25 mei 2018 is de WP29 vervangen door de European Data Protection Board

(EDPB)24. Als vuistregel kan worden gehanteerd dat een DPIA moet worden uitgevoerd als de gegevensverwerking aan

2 of meer van de onderstaande criteria voldoet. Dit zou als een pre-DPIA-assessment kunnen worden gezien.

1. Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling25 en het maken van prognoses, met name op basis van kenmerken als

iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses,

betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid26

van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te

testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

2. Geautomatiseerde beslissingen

Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben.

Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende

WP29-guidelines over profiling volgt hierover meer uitleg.27

3. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen

persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar

vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze

gegevensverwerking te onttrekken.

4. Gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over

iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens

die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie,

locatiegegevens en financiële gegevens.

5. Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria

te bepalen of hiervan sprake is:

• de hoeveelheid mensen van wie persoonsgegevens worden verwerkt;

• de hoeveelheid gegevens en/of de verscheidenheid aan persoonsgegevens die worden verwerkt;

• de tijdsduur van de gegevensverwerking;

• de geografische reikwijdte van de gegevensverwerking.

21 Zie hiervoor het operationele BIO document ‘Baselinetoets BBN BIO’ van de IBD. 22 http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358 23 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879 24 https://edpb.europa.eu/ 25 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-en-tv/profiling 26 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/financi%C3%ABn/kredietwaardigheid-en-schulden 27 Op moment van schrijven zijn conceptrichtlijnen gepubliceerd over geautomatiseerde besluitvorming en profilering onder de AVG (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053).

Zie ook paragaaf 2.1.5 ‘Worden op grote schaal (bijzondere) persoonsgegevens verwerkt?’.

6. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld

databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of

uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen

verwachten.

7. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke

machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid

toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld

werknemers, kinderen en patiënten gaan.

8. Gebruik van nieuwe technologieën

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor

is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk

grote privacyrisico’s.

De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog

onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige

‘Internet of Things (IoT)’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de

privacy van mensen, waardoor hierbij een DPIA nodig is.28

9. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:

• een recht niet kunnen uitoefenen of;

• een dienst niet kunnen gebruiken of;

• een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

Verantwoordingsplicht

Let op: deze 9 criteria zijn een handreiking om in te schatten of de gemeente een DPIA moet uitvoeren. Ook als de

gemeente aan slechts één of geen van deze criteria voldoet, moet de gemeente goed kunnen onderbouwen waarom de

gemeente ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht.29

In de definitieve richtlijnen die zijn vastgesteld in oktober 2017, is het 10e criterium ‘Doorgifte van persoonsgegevens

buiten de EU’ vervallen. Ook legt de wet voor bestaande gegevensverwerkingen30 nu een link naar het ‘voorafgaand

onderzoek’ onder de huidige privacywetgeving.

2.1.5. Worden op grote schaal (bijzondere) persoonsgegevens verwerkt?

Onderstaande criteria31 kunnen helpen om te bepalen of de gemeente volgens de AVG op grote schaal (bijzondere)

persoonsgegevens verwerkt:

• het aantal betrokkenen (de mensen van wie persoonsgegevens worden verwerkt);

• de hoeveelheid persoonsgegevens die worden verwerkt;

• de duur van de gegevensverwerking;

• de geografische reikwijdte van de gegevensverwerking.

28 https://www.bnr.nl/podcast/gdpr/10339656/internet-of-things 29 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht 30 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#moet-ik-alsnog-een-dpia-uitvoeren-voor-een-bestaande-verwerking-5882 31 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#wat-ziet-de-avg-als-een-grootschalige-verwerking-van-persoonsgegevens-6019

13 Informatiebeveiligingsdienst

Hieronder worden een aantal voorbeelden van gegevensverwerkingen benoemd die door de Europese toezichthouders

als grootschalig worden gezien (bron: Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection

Officer, DPO))32.

• Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

• Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde

stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.

• Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen

de actuele locatiegegevens van klanten verwerkt voor statistische verwerkingsdoeleinden.

• Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke

werkzaamheden.

• Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.

• Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten.

Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking:

• De gezamenlijke Europese toezichthouders beschouwen gegevensverwerkingen van bijzondere persoonsgegevens

door individuele artsen of advocaten (‘eenpitters’)33 niet als grootschalig.

2.2. Geen DPIA uitvoeren De gemeente hoeft geen DPIA uit te voeren wanneer de gegevensverwerking:

• Waarschijnlijk geen hoog privacyrisico oplevert.

• Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd.

• Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA

was uitgevoerd. Deze uitzondering geldt niet als de AP oordeelt dat er toch een DPIA nodig is.

• Op een lijst staat van gegevensverwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de

privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.34

2.3. Tijdstip uitvoeren DPIA De DPIA moet worden uitgevoerd "vóór de gegevensverwerking"35, behalve wanneer het gaat om een al bestaande

gegevensverwerking die vooraf door de AP is gecontroleerd (zie ook paragraaf 2.1.1 ‘DPIA bestaande

gegevensverwerkingen’). De DPIA moet wel worden uitgevoerd als de bestaande gegevensverwerking belangrijke

veranderingen heeft ondergaan. Dit is in overeenstemming met het uitgangspunt van gegevensbescherming door

ontwerp en door standaardinstellingen.36 De DPIA is een hulpmiddel bij de besluitvorming met betrekking tot de

gegevensverwerking.

De DPIA moet zo vroeg mogelijk bij het ontwerpen van de gegevensverwerking worden gestart, zelfs als sommige

gegevensverwerkingen nog niet bekend zijn. Het bijwerken van de DPIA gedurende het gehele levenscyclusproject

zorgt ervoor dat continu rekening wordt gehouden met gegevensbescherming en privacy en stimuleert het creëren van

oplossingen die de naleving bevorderen. Het kan ook nodig zijn om bepaalde stappen van de beoordeling te herhalen

naarmate het ontwikkelingsproces vordert, omdat de selectie van bepaalde technische of organisatorische maatregelen

van invloed kan zijn op de ernst of waarschijnlijkheid van de risico's die de gegevensverwerking met zich meebrengt.

Het feit dat de DPIA mogelijk moet worden bijgewerkt nadat de gegevensverwerking daadwerkelijk van start is gegaan,

is geen geldige reden om die beoordeling uit te stellen of niet uit te voeren. Dit geldt vooral als een

32 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf 33 Een freelancer of een zelfstandigen zonder personeel (zzp’er). 34 Op moment van schrijven is nog geen lijst beschikbaar gesteld door de privacytoezichthouder(s) met gegevensverwerkingen waarvoor een DPIA niet verplicht is. 35 AVG artikel 35, leden 1 en 10, en AVG overwegingen 90 en 93. 36 AVG artikel 25 en AVG overweging 78.

gegevensverwerking dynamisch is en onderhevig is aan voortdurende verandering. Het uitvoeren van een DPIA is een

continu proces, niet een eenmalige oefening. Er moet continu gemonitord worden of de gegevensverwerking wijzigt en

of de DPIA daarom bijgesteld moet worden.

2.4. Uitvoerder DPIA Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om ervoor te zorgen dat de DPIA wordt

uitgevoerd.37 De DPIA kan door iemand anders, binnen of buiten de gemeente, worden uitgevoerd, maar de

verwerkingsverantwoordelijke blijft de eindverantwoordelijke voor die taak.38.

2.4.1. Advies functionaris voor gegevensbescherming

Als de gemeente een (verplichte) functionaris voor gegevensbescherming (FG)39 heeft aangesteld, moet de

verwerkingsverantwoordelijke ook zijn advies in winnen.40 Dat advies en wat met dat advies door de

verwerkingsverantwoordelijke is gedaan moet in de DPIA worden gedocumenteerd. De FG heeft ook als taak toe te zien

op de uitvoering van de DPIA.41 De FG hoeft dus niet de DPIA’s zelf uit te voeren!

Nadere richtsnoeren zijn opgenomen in de WP29, WP29-richtlijnen voor functionarissen voor gegevensbescherming

16/NL WP 243.42

2.4.2. Advies verwerker

Als de gegevensverwerking geheel of gedeeltelijk door een verwerker wordt uitgevoerd, moet de verwerker de

verwerkingsverantwoordelijke ondersteunen met het uitvoeren van de DPIA en alle noodzakelijke informatie

verstrekken.43, 44

2.4.3. Advies betrokkenen

De betrokkenen, of hun vertegenwoordigers moeten om hun mening worden gevraagd.45 Er zijn, afhankelijk van de

specifieke situatie, verschillende geschikte manieren waarop betrokkenen om hun mening gevraagd kunnen worden.

Denk hierbij bijvoorbeeld aan het uitvoeren van een intern of extern onderzoek, het consulteren van consumenten- of

werknemersorganisaties of de toekomstige betrokkenen een vragenlijst sturen.

De redenen om al dan niet met de gegevensverwerking door te gaan moet gedocumenteerd worden. Dit moet zeker als

de beslissing afwijkt van de mening van de betrokkenen of hun vertegenwoordigers. Ook moet beargumenteerd

worden als de gemeente van oordeel is dat er niet naar de mening van de betrokkenen hoeft te worden gevraagd.

2.4.4. Advies overige partijen

Tot slot is het advies om vast te stellen en te documenteren welke andere partijen in deze specifieke situatie betrokken

kunnen worden bij een DPIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de ICT-afdeling, andere

afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts et cetera).

37 AVG artikel 35, lid 2. 38 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#wie-moet-een-dpia-uitvoeren-5884. 39 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/functionaris-voor-de-gegevensbescherming 40 AVG artikel 35, lid 2. 41 AVG artikel 39, lid 1, onder c. 42 http://ec.europa.eu/newsroom/document.cfm?doc_id=43823, de officiële Nederlandse https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf en onofficiële Nederlandse vertaling van de AP https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf 43 In overeenstemming met AVG artikel 28, lid 3, onder f. 44 AVG overweging 95. 45 AVG artikel 35, lid 9.

15 Informatiebeveiligingsdienst

2.5. Methode uitvoeren DPIA Er kunnen verschillende (internationale) methoden46 worden gebruikt als hulpmiddel bij het uitvoeren van een DPIA

om aan de basiseisen van de AVG te voldoen. Er is dus niet één standaardmethode voor het uitvoeren van een DPIA. De

AVG bevat een overzicht met resultaten die minimaal in een DPIA beschreven moeten worden

2.5.1. Procesbeschrijving DPIA

In Figuur 3 wordt een iteratief proces voor het uitvoeren van een DPIA weergegeven. In de praktijk is het waarschijnlijk

dat elk van de fasen meerdere keren wordt herhaald voordat de DPIA kan worden afgerond.

Figuur 3 Generiek iteratief proces voor het uitvoeren van een DPIA.

Bij de beoordeling van het effect van een gegevensverwerking moet rekening worden gehouden met de naleving van

een voor de gemeente geldende gedragscode (zie ook paragraaf 4.6 ‘Beschrijf gedragscode’).47 Dit kan nuttig zijn om

aan te tonen dat adequate maatregelen zijn gekozen of geïmplementeerd, op voorwaarde dat de gedragscode passend

is voor de gegevensverwerking. Er moet ook rekening worden gehouden met certificeringen, zegels en merktekens

waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij gegevensverwerkingen

handelen in overeenstemming met de AVG48 , evenals met bindende bedrijfsvoorschriften49.

De verwerkingsverantwoordelijke moet toetsen om te beoordelen of de gegevensverwerking overeenkomstig de DPIA

wordt uitgevoerd, ten minste als sprake is van een verandering van het risico dat de gegevensverwerking met zich

meebrengt.50,51

46 Zie bijlage 1 ‘Voorbeelden van bestaande EU-kaders voor gegevensbeschermingseffectbeoordelingen’ die door de WP29 is opgesteld (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). 47 AVG artikel 40 en AVG artikel 35, lid 8. 48 AVG artikel 42. 49 AVG artikel 47. 50 AVG artikel 35, lid 11. 51 In AVG artikel 35, lid 10, wordt alleen de toepassing van AVG artikel 35, leden 1 tot en met 7, uitdrukkelijk uitgesloten.

1. Beschrijving van beoogde

gegevensverwerking en de benodigde systemen

2. Beoordeling rechtmatigheid

gegevensverwerkingen

3. Risicobeoordeling

4. Beschrijving voorgenomen maatregelen

5. Documentatie

6. Toezicht en evaluatie

2.5.2. Inhoud van een DPIA

In de AVG is beschreven wat een DPIA tenminste dient te bevatten:52

• "een systematische beschrijving van de beoogde gegevensverwerkingen en de verwerkingsdoeleinden,

waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke

worden behartigd";

• "een beoordeling van de noodzaak en de evenredigheid van de gegevensverwerkingen";

• "een beoordeling van de [...] risico's voor de rechten en vrijheden van betrokkenen";

• "de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en

mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze

verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en

andere personen in kwestie”.

2.5.3. Gemeenschappelijke criteria DPIA

Alle relevante eisen die in de AVG zijn beschreven, bieden een breed, algemeen kader voor het ontwerpen en uitvoeren

van een DPIA. De praktische implementatie van een DPIA hangt af van de eisen die in de AVG zijn uiteengezet. Deze

eisen kunnen worden aangevuld met meer gedetailleerde praktische richtsnoeren. De uitvoering van de DPIA is dus

schaalbaar. Dit betekent dat zelfs een kleine verwerkingsverantwoordelijke een DPIA kan ontwerpen en uitvoeren die

geschikt is voor zijn gegevensverwerkingen.

In de AVG worden een aantal onderdelen van de DPIA geschetst die overlappen met welomschreven onderdelen van

risicobeheer (bv. ISO 3100053).54 Wat risicobeheer betreft, is een DPIA gericht op het "beheren van risico's" voor de

rechten en vrijheden van natuurlijke personen.

De DPIA is overeenkomstig de AVG een instrument om risico's voor de rechten van de betrokkenen te beheren, waarbij

dus hun perspectief wordt ingenomen. De AVG laat verwerkingsverantwoordelijken vrij om de precieze structuur en

vorm van de DPIA te bepalen, zodat zij deze beoordeling kunnen laten aansluiten op bestaande werkmethoden.

Ongeacht de vorm moet een DPIA een risicobeoordeling zijn op basis waarvan verwerkingsverantwoordelijken

maatregelen kunnen nemen om de risico's aan te pakken.

Om verschillende benaderingen mogelijk te maken en om verwerkingsverantwoordelijken in de mogelijkheid te stellen

aan de AVG te voldoen, zijn door de WP29 gemeenschappelijke criteria vastgesteld (zie Error! Reference source not

found.). Deze criteria verduidelijken de basiseisen van de AVG, maar laten voldoende ruimte voor verschillende

uitvoeringsvormen. Deze criteria kunnen worden gebruikt om aan te tonen dat een bepaalde DPIA-methode voldoet

aan de door de AVG vereiste standaarden. Het is aan de verwerkingsverantwoordelijke om een methode te kiezen,

maar de gekozen methode moet voldoen aan de criteria zoals in Error! Reference source not found. beschreven.

2.6. Betrokkenen bij uitvoeren DPIA Zoals in paragraaf 2.4 ‘Uitvoerder DPIA’ aangegeven is het de verantwoordelijkheid van de

verwerkingsverantwoordelijke om ervoor te zorgen dat de DPIA wordt uitgevoerd. Alleen om een DPIA zo goed en

compleet mogelijk in te vullen is een is een diversiteit aan deskundige nodig. Welke expertise wanneer nodig is hangt af

van de fase die ingevuld wordt. Onderstaand overzicht geeft een indicatie en zal per DPIA vastgesteld dienen te

worden.

52 AVG artikel 35, lid 7, en de AVG overwegingen 84 en 90. 53 Richtlijnen voor de implementatie van risicomanagement (https://www.iso.org/iso-31000-risk-management.html). 54 AVG overweging 90.

17 Informatiebeveiligingsdienst

Benodigde expertise zijn onder andere:

• Proceseigenaar.

Bijvoorbeeld bij de Beschrijving van beoogde gegevensverwerking

• Systeemeigenaar.

Bijvoorbeeld bij de beschrijving van de beoogde gegevensverwerking, de systemen voor gegevensverwerking en

de risicobeoordeling, de risicobeoordeling en het vaststellen van de voorgenomen maatregelen.

• Functioneel beheerder.

Bijvoorbeeld bij de beschrijving van de beoogde gegevensverwerking, de systemen voor gegevensverwerking, de

risicobeoordeling en het vaststellen van de voorgenomen maatregelen.

• Technisch beheerder

Bijvoorbeeld bij de beschrijving van de systemen voor gegevensverwerking, de risicobeoordeling en het vaststellen

van de voorgenomen maatregelen.

• Juridische experts

Bijvoorbeeld bij de beoordeling van de rechtmatigheid voor gegevensverwerkingen en de risicobeoordeling.

• Informatiebeveiliging experts (bijvoorbeeld de CISO)

Bijvoorbeeld bij de risicobeoordeling en het vaststellen van de voorgenomen maatregelen.

3. DPIA-tool IBD De online community voor informatiebeveiliging55 is door de IBD opgericht vanuit de behoefte van gemeenten om de

onderlinge dialoog en kennisuitwisseling over informatiebeveiliging te stimuleren. Op deze website kunnen gemeenten

gebruik maken van de DPIA-tool van de IBD.56 Deze DPIA-tool was een verzoek van gemeenten en de IBD heeft

vervolgens onderzocht welke tools beschikbaar zijn en het beste aansluiten bij de behoeften van gemeenten. De

uitkomst van dit onderzoek was de tool die is ontwikkeld door de Franse equivalent van de AP namelijk de ‘Commission

Nationale de l'Informatique et des Libertés (CLIN)57. De CNIL is een onafhankelijke Franse instantie die tot taak heeft

ervoor te zorgen dat de wet met betrekking tot gegevensbescherming wordt toegepast op de gegevensverwerking van

persoonsgegevens. Het is de nationale gegevensbeschermingsautoriteit voor Frankrijk.

Figuur 4 DPIA-logo.

De CLIN heeft een DPIA-tool58 beschikbaar gesteld, zie Error! Reference source not found. De DPIA-software helpt om

de impactbeoordeling van gegevensbescherming uit te voeren, de DPIA-software is open source. De DPIA-software

helpt verwerkingsverantwoordelijke bij het voldoen en aantonen van naleving van de AVG. De DPIA-tool is door CLIN

beschikbaar gesteld in het Frans en in het Engels, maar is door de community vertaald in andere talen waaronder

Nederlands. Het vergemakkelijkt het uitvoeren van een DPIA. Van deze DPIA-tool zijn twee varianten beschikbaar:

• Lokale versie die op een lokale computer kan worden geïnstalleerd en deze versie is beschikbaar voor Windows,

Linux 32 of 64-bits, en Max OS.59

• Web-versie die moet worden geïmplementeerd op de servers van de gemeente. Het is beschikbaar in een front60-

of back-end61 modus. De code is open source, en kan worden aangepast aan de bestaande computeromgeving.

Diverse sessies op IBD regiobijeenkomsten en een uitgebreide test met 27 gemeenten hebben vervolgens geleid tot de

huidige versie van de DPIA-tool. Ten opzichte van de oorspronkelijke versie van de tool zijn de teksten beter vertaald,

uitgebreid en beter toepasbaar gemaakt voor gemeenten. Verder zijn de algemene beveiligingsmaatregelen vervangen

door makkelijk te selecteren BIO-maatregelen.

55 https://community.informatiebeveiligingsdienst.nl/ 56 https://pia.informatiebeveiligingsdienst.nl/#/ 57 https://www.cnil.fr/en/home 58 https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment 59 Windows: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-Setup-1.6.3.exe of Linux 32 bits: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3-i386.AppImage of Linux 64-bits: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3-x86_64.AppImage of Mac OS: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3.dmg 60 https://github.com/LINCnil/pia 61 https://github.com/LINCnil/pia-back

19 Informatiebeveiligingsdienst

3.1. Delen van DPIA’s Een belangrijk uitgangspunt van de DPIA-tool is het default delen van de ingevulde DPIA’s met alle andere leden van de

IBD-community. De leden van de IBD-community zijn allemaal werkzaam bij gemeenten of gemeentelijke

samenwerkingsverbanden die zijn aangesloten bij de IBD. Het voordeel van standaard delen is dat gebruikers reeds

ingevulde DPIA’s van andere gemeenten als basis voor hun eigen DPIA kunnen gebruiken, dit spaart tijd, komt de

professionaliteit en de kwaliteit van de DPIA’s ten goede en maakt het makkelijk om anderen te laten meekijken met de

eigen DPIA. Als er een hele gedetailleerde omschrijving van de (nog te nemen) beveiligingsmaatregelen aan de DPIA

zou willen toevoegen kan dat natuurlijk beter niet gedeeld worden in deze DPIA-tool. Verwijs in dat geval naar een

bijlage die niet aan de DPIA-tool wordt toevoegt.

Gebruiken van DPIA’s van andere gemeenten

Het is prima om DPIA’s van anderen in te zien maar ga er niet in wijzigen. Om reeds ingevulde DPIA’s van andere

gemeenten te gebruiken kan een bestaande DPIA worden gedupliceerd. Hiervoor is een knop op het dashboardscherm

in de kolom “acties”. Wordt hierop gedrukt dan wordt een kopie gemaakt en in de lijst gezet onder dezelfde naam met

COPY ervoor. Van de kopie kan de naam worden gewijzigd en hierin kunnen de wijzigingen worden aangebracht.

3.2. Naamgeving DPIA’s Als er een DPIA gaat aanmaken is het eerste dat je moet doen een naam opgeven voor je DPIA. Om het makkelijk te

maken om relevante DPIA’s te vinden die als basis voor je eigen DPIA kunnen dienen is het handig dat iedereen

dezelfde naamgeving hanteert. Probeer hierbij aan te sluiten bij de GEMMA-referentiearchitectuur.62 Dit maakt het ook

mogelijk om het bijbehorende BIO- BBN bij te zoeken en de daarbij horende verplichte of aanbevolen

beveiligingsmaatregelen. Dit is ook de link naar het register van gegevensverwerkingen waar bijvoorbeeld gezocht kan

worden welke gegevens worden verwerkt van welke betrokkenen, wat de grondslag is en wat de bewaartermijnen zijn.

De IBD legt op dit moment de laatste hand aan een volledig gevuld standaard register van gegevensverwerkingen,

mede op basis van de GEMMA-referentiecomponenten63.

Begin de naam van de DPIA met een domein (Generiek, Bestuur, OOV, Ondersteuning, Publieksdiensten, Ruimtelijk

Domein, Sociaal Domein, Informatiebeveiliging) en daarna met de naam van een referentiecomponent uit deze lijst en

daarna de eigen algemene omschrijving. Bijvoorbeeld: Publieksdiensten-baliecomponent-xxxxxx.

Het tweede veld dat moet worden ingevuld bij een nieuwe DPIA is het veld “aanpassen”. Gebruik dit veld om als eerste

de gemeentenaam in te vullen, hierdoor kan later gemakkelijk de eigen DPIA’s worden teruggevonden.

3.3. Opslag DPIA’s Om ervoor te zorgen dat de DPIA’s worden gedeeld, beveiligd, opgeslagen en gebackupt is het nodig om bij het eerste

gebruik van de tool de servernaam (https://pia.informatiebeveiligingsdienst.nl) in te vullen rechtsboven onder Tools

instellingen. Wordt dit niet gedaan dan wordt het werk in de eigen browser opgeslagen en kunne niet de DPIA’s van

anderen worden ingezien.

In Figuur 7 wordt de back-end architectuur van de DPIA-tool weergegeven. Om als gebruiker verbinding te leggen met

de server moet de gebruiker 2 stappen doorlopen. Deze zijn:

1 Stap 1: Op de website van de DPIA-tool (https://pia.informatiebeveiligingsdienst.nl/), moet de gebruiker in de

menu optie ‘Tools’ op ‘instellingen’ klikken. Daarna wordt het scherm getoond zoals in Figuur 5.

2 Stap 2: Hier moet de gebruiker het server-adres https://pia.informatiebeveiligingsdienst.nl/ invoeren, zodat de

uitgevoerde DPIA’s centraal worden opgeslagen. Het centraal opslaan is noodzakelijk om de DPIA’s makkelijk te

kunnen delen met andere gemeenten.

62 https://www.gemmaonline.nl/index.php/Gemeentelijke_Model_Architectuur_(GEMMA) 63 https://www.gemmaonline.nl/index.php/Overzicht_alle_referentiecomponenten

Figuur 5 Instellingen-scherm van de DPIA-tool.

Als het server-adres niet wordt ingevuld worden de uitgevoerde DPIA’s lokaal in de omgeving van de gebruikte browser

opgeslagen (zie Figuur 6).64 Op het moment dat een andere browser, op dezelfde of een andere computer, wordt

gebruikt ziet men de eerder uitgevoerde DPIA’s niet. Iedere browser gebruik zijn eigen lokale omgeving. Worden DPIA’s

uitgevoerd met dezelfde browser op dezelfde computer, dan ziet men uiteraard de eerder uitgevoerde DPIA’s wel.

Figuur 6 DPIA-tool lokale opslag.

Als de gebruiker wel gebruik maakt van de server omgeving zoals in Figuur 7 wordt weergegeven, maar de gebruiker

maakt gebruik van verschillende browsers dan moet de gebruiker op iedere browser de stappen uit Figuur 7 doorlopen

worden. Dit hoeft alleen de eerste keer doorlopen te worden, daarna haalt de browser dit server-adres uit de lokale

omgeving van de browser.

64 In veel webbrowser zitten verborgen hulpprogramma’s, die bijzonder handig kunnen zijn bij het bouwen van een website. Deze hulpprogramma’s voor ontwikkelaars, ook wel de ‘Developer Tools’ genoemd, zijn een nuttig middel om een gebouwde website te analyseren en te verbeteren. Via deze hulpprogramma’s kan ook de inhoud van de lokaal uitgevoerde DPIA’s worden bekeken (onderdeel IndexedDB). Doe dit alleen op het moment dat u ervaring heeft met dit soort hulpprogramma’s.

Netwerk IBD

Internet

Centrale

DPIA

Database

https://pia.ibd.max.nl/

Stap 1

Stap 2

Dit veld is leeg op het moment dat de webapplicatie

voor de eerste keer wordt bezocht met een browser.

Dit veld kan op het moment dat het is ingevuld

uiteraard ook weer leeg worden gemaakt.

Op het moment dat het extrne server (URL) veld

leeg is wordt er geen verbinding gelegd met de

centrale DPIA database, maar wordt de DPIA-

invoer lokaal in de browser-omgeving opgeslagen.

XFirefox

Chrome

Internet

Explorer

Safari

Lokale

DPIA DB

Lokale

DPIA DB

Lokale

DPIA DB

Lokale

DPIA DB

21 Informatiebeveiligingsdienst

Figuur 7 DPIA-tool back-end architectuur.

3.4. Workflow binnen de DPIA-tool De DPIA-tool is verdeeld in secties die in de linker kolom van je scherm worden getoond. De eerste twee secties

bevatten vragen die gewoon beantwoord moeten worden over de context en de fundamentele principes bij de

gegevensverwerking.

In de derde sectie moeten eerst privacy- en beveiligingsmaatregelen worden geselecteerd. Vanaf 1-1-2020 is de BIO

van kracht voor de gehele overheid.65 Daarom zijn de meeste BIO-maatregelen voor vertrouwelijkheid al opgenomen in

deze DPIA-tool. In de sectie “Risico’s” onder het eerste kopje “Geplande of bestaande maatregelen”. Ze zijn aanklikbaar

in de DPIA vanaf de rechter kolom van het scherm.

Daarna worden de risico’s voor betrokkenen geanalyseerd langs de assen onrechtmatige toegang, onrechtmatige

wijziging, en verlies van persoonsgegevens. Dit resulteert uiteindelijk in een grafisch overzicht van de (rest)-risico’s.

De vierde sectie is gereserveerd voor beoordeling en goedkeuring. Hierin is ook het actieplan opgenomen, een

overzicht van de punten uit de DPIA waarop actie geformuleerd is tijdens de review. Dit plan volgt uit de

validatie/controle van de overige drie secties, bijvoorbeeld door de Functionaris Gegevensbescherming (FG).

3.5. Ondersteunde browsers De DPIA-tool ondersteunt alleen moderne browsers. De volgende browsers worden in ieder geval ondersteund:

• Mozilla Firefox

• Microsoft Edge

• Google Chrome

De browser Microsoft Internet Explorer geeft problemen en kan niet worden gebruikt.

Bij opmerkingen of verbetervoorstellen voor de DPIA-tool kan hierover de IBD worden benaderd op 070-373-8011 of

privacy@ibdgemeenten.nl.

65 https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/

Netwerk IBD

Internet

Centrale

DPIA

Database

https://pia.ibd.max.nl/

Stap 1

Stap 2

Firefox

Chrome

Internet

Explorer

Safari

4. Beschrijf beoogde gegevensverwerking

Context

Dit gedeelte geeft u een duidelijk beeld van de behandeling(en) van de betreffende persoonsgegevens.

Overzicht

In dit deel kunt u het object van het onderzoek identificeren en presenteren.

Vragen uit de DPIA-tool:

1 Welke gegevensverwerking wordt overwogen?

Presenteer een korte schets van de gegevensverwerking: de naam, inzet en afbakening.

2 Wat zijn de doeleinden van de gegevensverwerkingen?

Benoem de doeleinden van de gegevensverwerkingen. Geef de doelen een nummer zodat je er bij de detailvragen

over de persoonsgegevens en doelbinding naar kunt verwijzen.

3 Waar vinden de gegevensverwerkingen plaats?

Benoem de locaties (landen) waar de gegevensverwerkingen plaatsvinden.

4 Welke verantwoordelijkheden zijn verbonden aan de gegevensverwerking?

Beschrijf de verantwoordelijke(n), de mogelijke gegevensverwerkers, de betrokkenen, van wie de

persoonsgegevens worden betrokken en welke categorieën functionarissen bij de te verwerken persoonsgegevens

kunnen (Zie paragraaf 4.4).

5 Welke wet- en regelgevingen hebben betrekking op de gegevensverwerkingen?

Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke gevolgen voor de

voorgenomen gegevensverwerkingen.

6 Zijn er normen van toepassing op de gegevensverwerking?

Maak een lijst van de relevante normen die van toepassing zijn op de gegevensverwerking, met name

goedgekeurde gedragscodes en certificeringen van gegevensbescherming.

De AVG vereist dat een systematische beschrijving van de gegevensverwerking wordt gegeven en dat rekening wordt

gehouden met de aard, omvang, context en doelen van de gegevensverwerking.66 Bij voorkeur wordt dit ingevuld door

de proces- of systeemeigenaar. De beschrijving bevat ten minste een systematische beschrijving van de beoogde

gegevensverwerkingen en de verwerkingsdoeleinden, waaronder de gerechtvaardigde belangen die door de

verwerkingsverantwoordelijke worden behartigd.67

Hier wordt de eerste stap beschreven van het proces voor het uitvoeren van een DPIA (zie Figuur 3). Dit gedeelte

moet een duidelijke en complete beschrijving bevatten met een overzicht van de relevante feiten van de voorgenomen

gegevensverwerkingen. Als de feiten onduidelijk zijn, werkt dit door in de uiteindelijke beoordeling.

Maak hierbij zoveel mogelijk gebruik van eventueel eerder uitgevoerde analyses en toetsen. Denk hierbij aan de:

• Baselinetoets BBN BIO68;

• Diepgaande risicoanalyse69;

• Dataclassificatie70;

• DPIA met betrekking tot vergelijkbare gegevensverwerkingen.

66 AVG overweging 90. 67 AVG artikel 35, lid 7, onder a. 68 Zie hiervoor het operationele BIO document ‘Baselinetoets BBN BIO’ van de IBD. 69 Zie hiervoor het operationele BIO document ‘Diepgaande Risicoanalysemethode gemeenten’ van de IBD. 70 Zie hiervoor het operationele BIO document ‘Handreiking dataclassificatie’ van de IBD.

23 Informatiebeveiligingsdienst

4.1. Beschrijf verwerkingsvoorstel

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Welke gegevensverwerking wordt overwogen?

• Toelichting: Presenteer een korte schets van de gegevensverwerking: de naam, inzet en afbakening.

Om een DPIA uit te voeren moet duidelijk zijn waarop deze DPIA betrekking heeft. Beschrijf daarom het

verwerkingsvoorstel waarop de DPIA van toepassing is en op hoofdlijnen de context waarbinnen deze plaatsvindt.

Hierdoor wordt voorkomen dat bij de overige onderwerpen uit deze DPIA hier verschillend over wordt gedacht. Als er

een projectvoorstel of een beschrijving van de architectuur beschikbaar is kan daarbij worden aangesloten,

bijvoorbeeld een Programma Start Architectuur (PSA). Ten behoeve van de duidelijkheid kan het nuttig zijn om expliciet

aan te geven waar de DPIA niet over gaat.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Beschrijf hoe de gegevensverwerking verloopt.

• Hoe en waar worden de gegevens verzameld?

• Wat is de verwachte omvang van de gegevensverwerking?

• Wat is het aantallen betrokkenen?

• Wordt binnen het proces om toestemming gevraagd? Zijn er latere uitschrijf/opt-out-mogelijkheden?

• Worden de gegevens bij de betrokkenen verkregen? Zo, nee bij wie dan wel?

• Sluit aan bij bestaande documentatie met betrekking tot de gegevensverwerking.

• Hou de beschrijving kort en bondig, beperk deze beschrijving tot maximaal een A4.

4.1.1. Beschrijf gegevensverwerkingen

Om de rechtmatigheid te kunnen beoordelen, is het noodzakelijk om alle gegevensverwerkingen in beeld te hebben

waarop deze DPIA van toepassing is. In deze paragraaf moeten alle voorgenomen gegevensverwerkingen worden

beschreven. Onder gegevensverwerking wordt verstaan:

• elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens.71 Denk hierbij aan: het

verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken,

verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of

combineren, afschermen, wissen of vernietigen van gegevens. Met andere woorden, het begrip omvat het gehele

proces dat een persoonsgegeven doormaakt, vanaf het moment van verzamelen tot en met het moment van

vernietigen.

Het verdient aanbeveling om de gegevensverwerkingen zoveel mogelijk te visualiseren, bijvoorbeeld aan de hand van

een input--output (IPO) model72, flowchart73 of workflow. Deze documenten kunnen als bijlage worden toegevoegd aan

de DPIA.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Hoe worden de gegevens gebruikt?

• Worden alle gegevens, elk veld, die beschikbaar zijn gebruikt?

• Visualiseer zoveel mogelijk de gegevensverwerkingen.

71 AVG artikel 4, tweede onderdeel. 72 http://www.sixsigmadaily.com/input-output-model/ 73 http://www.sixsigmadaily.com/flowchart/

4.2. Beschrijf verwerkingsdoeleinden

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Wat zijn de doeleinden van de gegevensverwerkingen?

• Toelichting: Benoem de doeleinden van de gegevensverwerkingen. Geef de doelen een nummer zodat je er bij

de detailvragen over de persoonsgegevens en doelbinding naar kunt verwijzen.

De AVG gaat ervan uit dat persoonsgegevens enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde

verwerkingsdoeleinden mogen worden verzameld. De verzamelede persoonsgegevens mogen vervolgens niet verder

op een met die verwerkingsdoeleinden onverenigbare wijze worden verwerkt. Wanneer de persoonsgegevens niet

rechtstreeks bij de betrokkene worden verkregen74 is het noodzakelijk om de verwerkingsdoeleinden waarvoor de

gegevens oorspronkelijk zijn verzameld te herleiden. Zie voor de beoordeling van de verenigbaarheid paragraaf 7.1

‘Beschrijf doelbinding’. Verdere gegevensverwerking wil zeggen dat persoonsgegevens worden verwerkt die al eerder

voor een bepaald doel zijn verzameld. Denk hierbij aan verstrekkingen van persoonsgegevens aan een andere

organisatie die niet oorspronkelijk, ten tijde van het verzamelen van de gegevens, was beoogd.

Bij gegevensverwerkingen ter uitvoering van regelgeving moet binnen het doel worden gebleven dat daarin is

vastgesteld. Het verdient de voorkeur de verwerkingsdoeleinden zoveel mogelijk op het niveau van werk- en

organisatieprocessen te richten.

De verdere gegevensverwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch

onderzoek of statistische verwerkingsdoeleinden wordt overeenkomstig AVG artikel 89, lid 1, niet als onverenigbaar

met de oorspronkelijke verwerkingsdoeleinden beschouwd (‘doelbinding’).75

In deze paragraaf moeten alle verwerkingsdoeleinden van de voorgenomen gegevensverwerkingen worden

beschreven. Geef het expliciete en legitieme doel van de gegevensverwerking aan. De vaststelling van de

verwerkingsdoeleinden is een noodzakelijk voorwaarde om te kunnen beoordelen of de voorgenomen

gegevensverwerkingen rechtmatig zijn (zie hoofdstuk 7 ‘Rechtmatigheid gegevensverwerkingen’) en om vast te stellen

welke maatregelen moeten worden getroffen om de risico’s (zie hoofdstuk 9 ‘Beschrijf risico’s’) te voorkomen of

verkleinen (zie hoofdstuk 10 ‘Beschrijf voorgenomen maatregelen ’). Omschrijf daarom per voorgenomen gegevensverwerking de verwerkingsdoeleinden zo specifiek mogelijk.

Bij verwerkingsdoeleinden kan gedacht worden aan: beveiligen van gebouwen en objecten, behandelen van

personeelszaken, opsporen van strafbare feiten, direct marketing, het innen van vorderingen, het doen van leveringen

en bestellingen, identificatie en authenticatie, het voorbereiden en nemen van Algemene wet bestuursrecht (Awb)76-

besluiten en het behandelen van geschillen. Denk ook aan eventuele nevendoeleinden van de gegevensverwerking,

zoals: wetenschappelijk, statistisch of historisch onderzoek, archiefbeheer, declaratiedoeleinden,

rapportagedoeleinden, verbetering van dienstverlening of (door)ontwikkeling van beleid.

74 De persoonsgegevens zijn afkomstig van een andere persoon, organisatie of uit een bestaand databestand. 75 AVG artikel 5, lid 1, onder b. 76 http://wetten.overheid.nl/BWBR0005537

25 Informatiebeveiligingsdienst

De verwerkingsdoeleinden moeten zoveel mogelijk worden toegespitst op de concrete gegevensverwerking, waarbij

het algemene overkoepelende doel kan worden gebruikt als kapstok waaraan verschillende subdoelen kunnen worden

gehangen, bijvoorbeeld:

• e-mailadres: noodzakelijk voor communicatie met betrokkene;

• IP-adres: noodzakelijk ter verificatie dat alleen vanuit een bepaalde locatie contact wordt gemaakt met het

systeem;

• adresgegevens: noodzakelijk om een beschikking naar de betrokkene te kunnen toezenden;

• financiële gegevens: noodzakelijk om vast te stellen of de betrokken partij in aanmerking komt voor een toeslag;

• strafrechtelijke gegevens: noodzakelijk om een screening te kunnen uitvoeren.

Als de persoonsgegevens kunnen worden gebruikt om het gedrag, de aanwezigheid of prestaties van mensen in kaart

te brengen en/of te beoordelen (ook al is dit niet het verwerkingsdoel) geldt dat het risico bestaat dat de betrokkenen

of de algemene opinie dit als een potentiële bedreiging voor hun privacy zien. Ook als de gegevens niet voor dit

verwerkingsdoel worden gebruikt bestaat het risico dat dit (in de toekomst) wel gebeurt. Denk hierbij bijvoorbeeld ook

aan geolocatie77, personeelsvolgsystemen, beslisondersteuning bij het als dan niet aanbieden van producten of

diensten. Voor de invoering van een personeelvolgsysteem is instemming van de Ondernemingsraad (OR) nodig.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Richt de verwerkingsdoeleinden zoveel mogelijk op het niveau van werk- en organisatieprocessen.

• Wat zijn de doelen van de gegevensverwerking?

• Kunnen deze doelen ook zonder de gegevens worden behaald?

• Worden de gegevens verzameld voor het huidige doel of zijn ze voorheen verzameld voor een ander doel?

• Kunnen de gegevens gebruikt worden om het gedrag, de aanwezigheid of prestaties van mensen in kaart te

brengen en/of te beoordelen (ook al is dit niet het doel)? Zo ja, wat betekent dat voor de betrokkenen?

4.3. Beschrijf verwerkingslocaties

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Waar vinden de gegevensverwerkingen plaats?

• Toelichting: Benoem de locaties (landen) waar de gegevensverwerkingen plaatsvinden.

De locaties waar de voorgenomen gegevensverwerkingen plaatsvinden kunnen aanvullende privacyrisico’s met zich

brengen en daarom onderworpen zijn aan strengere regels en aanvullende maatregelen vereisen. Ook heeft de

verwerkingslocatie mogelijk invloed wie de bevoegde (leidende) privacytoezichthouder is.78 In deze paragraaf dienen

de locaties (landen) benoemd te worden waar de voorgenomen gegevensverwerkingen plaatsvinden.

Om te borgen dat de regels voor de bescherming van persoonsgegevens niet omzeild worden door persoonsgegevens

in een ander land te verwerken, bepaalt de AVG dat gegevensverwerkingen buiten de Europese Unie (EU) alleen onder

bepaalde omstandigheden zijn toegestaan.79 Dit is bijvoorbeeld het geval als het derde land naar het oordeel van de

Europese Commissie (EC) een passend beschermingsniveau heeft (een adequaatheidsbesluit)80 of als gebruik wordt

gemaakt van passende waarborgen om de betrokkenen te beschermen.81 Daarnaast zijn een aantal specifieke situaties

77 https://nl.wikipedia.org/wiki/Geolocatie 78 AVG artikelen 55 en 56. 79 AVG artikel 44. 80 AVG Artikel 45. 81 AVG Artikel 46.

waarin gegevensverwerkingen in een derde land toch zijn toegestaan ondanks het ontbreken van een passend

beschermingsniveau en passende waarborgen, zoals uitdrukkelijke toestemming van de betrokkene.82

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Op welke locaties vindt de gegevensverwerking plaats?

• Waar wordt de persoonsgegevens opgeslagen? Wie kan hierbij?

• Is er sprake van internationale doorgifte?

• Worden gegevens in derde landen verwerkt? Om welke landen gaat het hier?

• Zijn er afspraken met deze derde landen gemaakt? Om welke afspraken gaat het hier, bijvoorbeeld

adequaatheidsbesluit, bindende bedrijfsvoorschriften, et cetera?

4.4. Beschrijf verantwoordelijkheden gegevensverwerking

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Welke verantwoordelijkheden zijn verbonden aan de gegevensverwerking?

• Toelichting: Beschrijf de verantwoordelijke(n), de mogelijke gegevensverwerkers, de betrokkenen, van wie de

persoonsgegevens worden betrokken en welke categorieën functionarissen bij de te verwerken

persoonsgegevens kunnen.

Benoem welke organisaties betrokken zijn bij welke gegevensverwerkingen. Deel deze organisaties per

gegevensverwerking in onder de rollen: verwerkingsverantwoordelijke, verwerker, verstrekker en ontvanger. Benoem

ook welke functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens. Dit is noodzakelijk om

de rechtmatigheid van de voorgenomen gegevensverwerkingen te kunnen beoordelen.

De organisaties die (functioneel) betrokken zijn bij de gegevensverwerkingen zelf en in onderling overleg moeten

bepalen wie in welke hoedanigheid de persoonsgegevens verwerkt. Voor gemeenten kan dat al wettelijk

voorgeschreven zijn. Ook zal moeten worden bepaald, voor zover eveneens niet wettelijk voorgeschreven, welke

functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens, in relatie tot de

verwerkingsdoeleinden van de gegevensverwerking. Bijvoorbeeld aan de hand van een autorisatiematrix83. Hierin moet

bepaald zijn in welke gevallen en onder welke voorwaarden deze functionarissen toegang krijgen tot de

persoonsgegevens. Zo is in de Basisregistratie personen84 vastgelegd wanneer het college van burgemeester en

wethouders (B&W) en wanneer de minister verantwoordelijk is voor het bijhouden van persoonsgegevens in de

basisregistratie85.

Als bij de gegevensverwerking veel maatschappelijke belanghebbenden zijn betrokken dan geldt dat de wijze waarop

maatschappelijke belanghebbenden reageren varieert waardoor het project met betrekking tot het

verwerkingsvoorstel kan vertragen. Er wordt dan ook geadviseerd een plan te maken waarin wordt aangegeven op

welke manier de verschillende belanghebbenden bij het verwerkingsvoorstel worden betrokken of over het

verwerkingsvoorstel worden geïnformeerd.

82 AVG artikel 49. 83 Zie hiervoor het operationele BIO document ‘Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 84 https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/basisregistratie-personen-brp 85 https://www.digitaleoverheid.nl/dossiers/basisregistraties/

27 Informatiebeveiligingsdienst

Als er veel partijen betrokken zijn bij de uitvoering van het projectvoorstel met betrekking tot de gegevensverwerking

dan bestaat het risico dat niet alle partijen zorgvuldig met persoonsgegevens omgaan die tijdens de

gegevensverwerking worden verzameld. Ook bestaat het risico dat de partijen de risico’s en de inspanning die nodig is

om deze te verminderen anders schatten. Er dient dan ook een verwerkersovereenkomst met deze partijen te worden

afgesloten?

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Zijn alle betrokken organisaties beschreven en welke rollen deze organisaties vervullen? Houd bij beantwoording

rekening met: Medewerkers, afnemers, leveranciers, belangengroeperingen, burgers, klanten, toezichthouders,

aannemers en dienstverleners, hard- en softwareleveranciers en ICT Serviceproviders.

• Welke beroepsgroepen86 zijn betrokken bij de gegevensverwerking?

• Wie zijn de maatschappelijke belanghebbenden?

4.4.1. Identificeer de verwerkingsverantwoordelijke(n)

Een verwerkingsverantwoordelijk is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die het doel

van en de middelen voor de gegevensverwerkingen vaststelt.87 Met andere woorden: degene die formeel bevoegd is te

beslissen of persoonsgegevens worden verwerkt, voor welke verwerkingsdoeleinden deze worden verwerkt en op

welke wijze deze worden verwerkt. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de

verwerkingsdoeleinden en middelen van de gegevensverwerking bepalen, zijn zij gezamenlijke

verwerkingsverantwoordelijke en moeten zij onderling vastleggen wie waarvoor verantwoordelijk en aansprakelijk is.88

Om te bepalen wie verantwoordelijk is voor een gegevensverwerking is het antwoord op de volgende vraag

doorslaggevend: Waarom vindt deze gegevensverwerking plaats en wie heeft het initiatief daartoe genomen? 89

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wie is/zijn de verwerkingsverantwoordelijke(n)? Geef een overzicht van de verwerkingsverantwoordelijke(n).

• Is er één of zijn er meerdere verwerkingsverantwoordelijke? Zijn er afspraken, transparant, gemaakt wie waarvoor

verantwoordelijke is?

• Is er een onderlinge regeling vastgesteld?

4.4.2. Identificeer de verwerker(s)

Een verwerker is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die/dat ten behoeve van de

verwerkingsverantwoordelijke persoonsgegevens verwerkt.90,91 De verwerker verwerkt persoonsgegevens voor de

verwerkingsverantwoordelijke, dat wil zeggen volgens zijn instructies en onder zijn verantwoordelijkheid. De verwerker

is (meestal) een buiten de organisatie van de verwerkingsverantwoordelijke staande persoon of organisatie.

De verwerkingsverantwoordelijke en verwerker moeten onderling schriftelijk vastleggen wie waarvoor

verantwoordelijk en aansprakelijk is.92 Om in een concreet geval te bepalen wie de verwerkingsverantwoordelijke is en

wie de verwerker is, moet naast de formele taakverdeling zoals partijen die onderling hebben afgesproken ook worden

gekeken naar de feitelijke omstandigheden. Bijvoorbeeld: waarom vindt de gegevensverwerking plaats en wie heeft

deze geïnitieerd? Dat betekent dat enkel het schriftelijk vastleggen van de taakverdeling niet voldoende is: ook in de

praktijk moet de verwerkingsverantwoordelijke zeggenschap hebben over het doel en de middelen van

gegevensverwerkingen.

86 https://www.nationaleberoepengids.nl/beroepen_per_beroepsgroep 87 AVG artikel 4, zevende onderdeel. 88 AVG artikel 26, eerste lid. 89 Zie ook paragraaf 3.5 ‘Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 90 AVG artikel 4, achtste onderdeel. 91 Zie ook paragraaf 3.5.1 ‘Ben ik een verwerker?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 92 AVG artikel 28, derde lid.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Geef een overzicht van de verwerkers, zowel de interne als externe verwerkers.93

o Wie zijn als interne verwerker, bijvoorbeeld afdelingen, bij de gegevensverwerking betrokken.

o Wie zijn als externe verwerker, bijvoorbeeld leveranciers, bij de gegevensverwerking betrokken.

• Beschrijf de naam en locatie van de verwerker, de reden waarom het de persoonsgegevens vereist en wat het met

de persoonsgegevens zal doen.

• Neem een verwijzing op naar de verwerkingsovereenkomst.94,95

• Is de taakverdeling schriftelijk vastgelegd?

4.4.3. Identificeer de verstrekker(s)

Een verstrekker is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die/dat de persoonsgegevens

ter beschikking stelt. Geef een overzicht met de verstrekkers van de persoonsgegevens en zorg ervoor dat de naam van

de derde partij en de locatie is beschreven.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wie zijn de verstrekker(s) van de persoonsgegevens?

• Is de verstrekker de bronhouder96 van de persoonsgegevens?

4.4.4. Identificeer de ontvanger(s)

Een ontvanger is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan aan wie/waaraan de

persoonsgegevens worden verstrekt.97 Geef een overzicht met de ontvangers van de persoonsgegevens en zorg ervoor

dat de naam van de derde partij, de locatie, de reden waarom het de persoonsgegevens vereist en wat het met de

persoonsgegevens zal doen is beschreven.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wie zijn de ontvangers van de persoonsgegevens?

• Wat Is de naam van de derde partij, de locatie, de reden waarom het de persoonsgegevens vereist en wat het met

de persoonsgegevens zal doen?

4.4.5. Identificeer de betrokkenen

Benoem tot slot de categorieën van betrokkenen van wie de persoonsgegevens worden verwerkt. Denk hierbij aan:

medewerkers, consumenten, cliënten, zakelijke contacten, bezoekers of ingezetenen van een gemeente. Betrokkenen

hebben op grond van de AVG bepaalde rechten, zoals het inzage- en correctierecht.98

De omvang en categorie van betrokkenen kunnen invloed hebben op de effecten van het verwerkingsvoorstel. Als de

gegevensverwerking betrekking heeft op de gehele of grote delen van de bevolking geldt dat de kans op misbruik van

de persoonsgegevens groter wordt naarmate meer persoonsgegevens worden verwerkt. Er wordt dan ook geadviseerd

maatregelen te treffen op een hoger beveiligingsniveau.

93 AVG artikel 28. 94 Zie hiervoor het operationele BIO document ‘Handreiking Standaard Verwerkersovereenkomst Gemeenten (VWO)’ en het factsheet ‘Verwerkersovereenkomsten’ van de IBD. 95 Zie ook https://europadecentraal.nl/avg-deel-iii-verwerker-verwerkingsverantwoordelijke-en-verwerkersovereenkomst/. 96 Een bronhouder is verantwoordelijk voor het inwinnen en bijhouden van de authentieke en niet-authentieke gegevens. Bij een basisregistratie is de bronhouder verantwoordelijk voor het borgen van de kwaliteit van die gegevens (onder meer naar aanleiding van ontvangen terugmeldingen). (https://www.digitaleoverheid.nl/beleid/naar-een-gegevenslandschap/themas/rollen-stelsel-basisregistraties/) 97 AVG artikel 4, negende onderdeel. 98 AVG artikelen 15 tot en met 21.

29 Informatiebeveiligingsdienst

Bepaalde betrokkenen zijn kwetsbaarder dan anderen. Met kwetsbaar wordt bedoeld dat de negatieve effecten van

een (onrechtmatige) gegevensverwerking groter kunnen zijn voor bepaalde betrokkenen dan voor andere. Denk

bijvoorbeeld aan: minderjarigen, verstandelijk gehandicapten, mensen die te maken hebben met stalking of die in een

blijf-van-mijn-lijfhuis verblijven, medewerkers van inlichtingen- en veiligheidsdiensten, klokkenluiders of informanten

van politie of justitie. Als persoonsgegevens worden verwerkt van kwetsbare groepen of personen en deze

persoonsgegevens worden misbruikt heeft dit een negatieve beeldvorming tot gevolg in de publieke opinie over de

gemeente. Er wordt dan ook geadviseerd om maatregelen te treffen op een hoger beveiligingsniveau en betrokkenen

de mogelijkheid te bieden zich aan de gegevensverwerking te onttrekken.

De AVG biedt specifieke bescherming aan kinderen, omdat zij zich minder bewust zullen zijn van de effecten van de

gegevensverwerking en van hun rechten in dat kader.99 Die specifieke bescherming geldt met name voor het gebruik

van persoonsgegevens van kinderen voor marketingdoeleinden, het opstellen van persoonlijkheids- of

gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan

kinderen verstrekte diensten. Zo is wanneer het kind jonger is dan 16 jaar zo’n gegevensverwerking alleen rechtmatig

als de toestemming of machtiging tot toestemming wordt verleend door de ouder of voogd.100 Ook heeft de leeftijd van

betrokkenen gevolgen voor de wijze waarop hij geïnformeerd moet worden.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Welke categorieën van betrokkenen worden onderkend?

• Wat is het aantallen betrokkenen?

• Worden persoonsgegevens verwerkt van kwetsbare groepen of personen?

• Hebben de persoonsgegevens betrekking op de gehele of grote delen van de bevolking?

4.4.6. Belangen bij de gegevensverwerking

Beschrijf alle belangen die de verwerkingsverantwoordelijke en anderen hebben bij de voorgenomen

gegevensverwerkingen. Bij de beoordeling van de rechtmatigheid van de gegevensverwerkingen kunnen ook de

belangen (lees: de waarde of de voordelen) die met de gegevensverwerkingen gemoeid zijn een rol spelen. Het kan

hierbij zowel gaan om de private belangen van de verwerkingsverantwoordelijke, betrokkene en derden als het

algemeen belang. Het gaat hier dus niet om de (mogelijk) negatieve gevolgen voor de betrokkenen. Denk hierbij

bijvoorbeeld aan: bedrijfsbelangen, financiële belangen en commerciële belangen, het handhaven van juridische

vorderingen, toezicht op medewerkers ten behoeve van de veiligheid of managementdoeleinden, (nationale of

openbare) veiligheid, zoals de preventie van fraude, misbruik en netwerkbeveiliging, en gezondheid.

Het belang dat gemoeid is met de gegevensverwerkingen werkt door in de toets van de noodzaak (zie paragraaf 7.2 ‘

99 AVG overweging 38. 100 AVG artikel 8, eerste lid.

Beschrijf rechtsgrond’ en 7.3 ‘Beschrijf noodzaak en evenredigheid’).

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wat zijn de belangen bij de gegevensverwerking?

• Wie hebben hier belang bij?

31 Informatiebeveiligingsdienst

4.5. Beschrijf juridisch en beleidsmatig kader

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Welke wet- en regelgevingen hebben betrekking op de gegevensverwerkingen?

• Toelichting: Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke

gevolgen voor de voorgenomen gegevensverwerkingen.

Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke gevolgen voor de

gegevensverwerkingen op dit verwerkingsvoorstel en welke specifieke eisen hieruit naar voren komen.101 Naast of in de

plaats van de AVG kan (sectorale) regelgeving de mogelijkheden voor gegevensverwerkingen creëren, conditioneren of

beperken. Voorbeelden van dergelijke wetten zijn: Wet algemene bepalingen burgerservicenummer102, Wet gebruik

burgerservicenummer in de zorg103, Wet basisregistratie personen104, Algemene wet inzake rijksbelastingen105,

Archiefwet 1995106, Telecommunicatiewet107, Kadasterwet108, Handelsregisterwet 2007109, Kieswet110, Wet bijzondere

maatregelen grootstedelijke problematiek111, Wet op de geneeskundige behandelingsovereenkomst112, Wet structuur

uitvoeringsorganisatie werk en inkomen (SUWIwet)113, Omgevingswet114, Jeugdwet115, Wet maatschappelijke

ondersteuning 2015116 en Participatiewet117. Waar nodig dient dit overzicht aangevuld te worden met relevante wet-

en regelgeving die op de gegevenswerking van toepassing is.

Als er (naast de AVG) veel wet- en regelgeving ten aanzien van persoonsgegevens van toepassing is geldt dat hoe meer

wet- en regelgeving hoe hoger het risico dat hieraan niet wordt voldaan. Een grote hoeveelheid wet- en regelgeving

duidt ook op het maatschappelijk belang dat wordt gehecht aan het onderwerp. Er wordt dan ook geadviseerd om de

wet- en regelgeving die van toepassing is in kaart te brengen en de (privacy) consequenties inzichtelijk te maken.

Er kan ook gemeentelijk beleid zijn dat de mogelijkheden voor de voorgenomen gegevensverwerkingen conditioneert

of beperkt. Bijvoorbeeld ten aanzien van de opslag en beveiliging van persoonsgegevens. Aan de hand van deze

inventarisatie kan bij hoofdstuk 7 ‘Rechtmatigheid gegevensverwerkingen’ beoordeeld worden of de voorgenomen

gegevensverwerkingen rechtmatig zijn en bij hoofdstuk 10 ‘Beschrijf voorgenomen maatregelen ’ of specifieke maatregelen voorgeschreven zijn.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Welke wet- en regelgeving, naast de AVG, is van toepassing? Houd bij de beantwoording rekening met: 1.

Sectorale wetgeving. 2. Gedragscodes. 3. Algemene maatregelen van bestuur (AMvB)118 4. Jurisprudentie. 5.

Internationale aspecten.

101 AVG artikel 6, lid 1 onder c en lid 3. 102 http://wetten.overheid.nl/BWBR0022428/ 103 http://wetten.overheid.nl/BWBR0023864/ 104 http://wetten.overheid.nl/BWBR0033715/ 105 http://wetten.overheid.nl/BWBR0002320/ 106 http://wetten.overheid.nl/BWBR0007376/ 107 http://wetten.overheid.nl/BWBR0009950/ 108 http://wetten.overheid.nl/BWBR0004541/ 109 http://wetten.overheid.nl/BWBR0021777/ 110 http://wetten.overheid.nl/BWBR0004627/ 111 http://wetten.overheid.nl/BWBR0019388/ 112 http://wetten.overheid.nl/BWBR0007021/ 113 http://wetten.overheid.nl/BWBR0013060/ 114 https://vng.nl/onderwerpenindex/ruimte-en-wonen/omgevingswet 115 http://wetten.overheid.nl/BWBR0034925/ 116 http://wetten.overheid.nl/BWBR0035362/ 117 http://wetten.overheid.nl/BWBR0015703/ 118 https://www.eerstekamer.nl/begrip/algemene_maatregel_van_bestuur

4.6. Beschrijf gedragscode(s)

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.

• Vraag DPIA-tool: Zijn er normen van toepassing op de gegevensverwerking?

• Toelichting: Maak een lijst van de relevante normen die van toepassing zijn op de gegevensverwerking, met

name goedgekeurde gedragscodes en certificeringen van gegevensbescherming.

Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte

gegevensverwerkingen moet de naleving van een goedgekeurde gedragscodes119 in aanmerking worden genomen.120

Als een gedragscode van toepassing is: geef hier dan aan om welke gedragscode het gaat. Er zijn op het moment van

schrijven van deze handreiking, voor zover bekend, (nog) geen branchecodes overeengekomen.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt gebruik gemaakt van, goedgekeurde, gedragscodes?

• Door wie is de gedragscode goedgekeurd, bijvoorbeeld de AP?

119 AVG artikel 40. 120 AVG artikel 35, lid 8.

33 Informatiebeveiligingsdienst

5. Beschrijf kenmerken gegevensverwerking

Context

In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende persoonsgegevens.

Gegevens, processen en de levenscyclus ondersteunende systemen

In dit deel kunt u de omvang van de gegevensverwerking in detail definiëren en beschrijven.

Vragen uit de DPIA-tool:

1 Welke gegevens worden verwerkt?

Maak per verwerkingsdoel een lijst van de verzamelde en verwerkte persoonsgegevens. Definieer voor elk de

bewaartermijn, de ontvangers en personen met toegang daartoe.

2 Welke bijzondere persoonsgegevens worden verwerkt?

Maak een lijst van de verzamelde en verwerkte bijzondere persoonsgegevens. Definieer voor elk de

bewaartermijn, de ontvangers en personen met toegang daartoe.

3 Hoe werkt de levenscyclus van gegevens en processen?

Presenteer en beschrijf hoe het product in het algemeen werkt (van de gegevensverzameling tot de vernietiging

van gegevens, de verschillende verwerkingsfasen, opslag, et cetera), met behulp van bijvoorbeeld een diagram van

gegevensstromen (voeg het toe als bijlage) en een gedetailleerde beschrijving van de processen uitgevoerd.

Beschrijf hier de context en het doel van de gegevensverwerking. De specifieke doelen kunnen in detail worden

vermeld in paragraaf 7.1 ‘Beschrijf doelbinding’.

5.1. Beschrijf persoonsgegevens

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de

gegevensverwerking in detail definiëren en beschrijven.

• Vraag DPIA-tool: Welke gegevens worden verwerkt?

• Toelichting: Maak per verwerkingsdoel een lijst van de verzamelde en verwerkte persoonsgegevens. Definieer

voor elk de bewaartermijn, de ontvangers en personen met toegang daartoe.

Som alle categorieën van persoonsgegevens op die worden verwerkt. Onder persoonsgegeven wordt verstaan: alle

informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.121 Natuurlijke personen wil zeggen

mensen. Informatie over overleden personen, rechtspersonen, dieren, zaken en objecten zijn normaal gesproken geen

persoonsgegeven.122 Deze informatie kwalificeert weer wel als persoonsgegeven, als die ook betrekking heeft op een

levende persoon. Geef per categorie van persoonsgegevens aan op wie die betrekking hebben. Deel deze

persoonsgegevens in onder de typen: gewoon, bijzonder, strafrechtelijk en wettelijk identificerend.

Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan

redelijkerwijs valt te verwachten dat zij kunnen worden gebruikt om de persoon te identificeren.123

121 AVG artikel 4, eerste onderdeel. 122 AVG overweging 27. 123 AVG overweging 26.

Gepseudonimiseerde (ook wel: versleutelde) gegevens worden als persoonsgegevens beschouwd.124 Onder

pseudonimisering wordt verstaan: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens

niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens (sleutels)

worden gebruikt. Hieraan wordt wel de eis verbonden dat deze aanvullende gegevens apart worden bewaard en

maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een persoon worden

gekoppeld.125

Anonieme en geanonimiseerde gegevens zijn geen persoonsgegevens. Met anoniem en geanonimiseerd wordt bedoeld

dat de persoon op wie het gegeven betrekking heeft, niet (meer) identificeerbaar is.126 Het anonimiseren van

persoonsgegevens als zodanig is overigens weer wel een gegevensverwerking van persoonsgegevens.

Voorbeelden van persoonsgegevens zijn: naam, voorvoegsel, adres, telefoonnummer, e-mailadres, leeftijd,

geboortedatum en -plaats, geslacht, woonplaats, nationaliteit, IP-adres127, MAC-adres128, KvK-nummer129,

voertuigidentificatienummer, winst eenmanszaak, bankrekeningnummer en -saldo, IQ130, functie, opleiding, inkomens-

en vermogensgegevens, kredietwaardigheid, persoonlijke voorkeuren, loonschaal, verslag van een

functioneringsgesprek en (wan)gedrag. Ook metadata – informatie over informatie – zijn persoonsgegevens als hieruit

de identiteit van de betrokkene kan worden herleid. Voorbeelden van metadata zijn: welke browser of smartphone

iemand gebruikt, wanneer een document is opgesteld of voor het laatste bewerkt en de geschreven taal. Ook locatie-

informatie en geografische informatie zijn persoonsgegevens als deze informatie herleidbaar is tot een natuurlijke

persoon. Denk hierbij aan de koppeling van gegevens uit de Basisregistraties Adressen en Gebouwen (BAG)131 aan

andere gegevens en het monitoren van de locaties van voertuigen.

Typen

Stel vervolgens de aard van de te verwerken categorieën van persoonsgegeven vast. De AVG onderscheidt drie typen

van persoonsgegevens – gewone, bijzondere132 en strafrechtelijke133 persoonsgegevens – en stelt verschillende eisen

aan een rechtmatige gegevensverwerking daarvan. De gedachte hierachter is dat hoe gevoeliger de aard van de

persoonsgegevens, hoe groter de effecten voor de betrokkenen zijn.

Bijzondere persoonsgegevens

Hieronder een limitatieve opsomming van categorieën van bijzondere persoonsgegevens (zie ook paragraaf 5.2

‘Beschrijf bijzondere persoonsgegevens’):134

• ras of etnische afkomst;

• politieke opvattingen;

• religieuze of levensbeschouwelijke overtuigingen;

• het lidmaatschap van een vakbond;

• genetische gegevens;

• biometrische gegevens met het oog op de unieke identificatie van een persoon;

• gegevens over gezondheid;

• gegevens over seksueel gedrag of seksuele gerichtheid.

124 AVG overweging 26. 125 AVG artikel 4, onder vijf. 126 AVG overweging 26. 127 IP = Internet Protocol. 128 MAC = Media Access Control. 129 KvK = Kamer van Koophandel. 130 IQ = intelligence quotiënt. 131 https://www.digitaleoverheid.nl/voorzieningen/gegevens/inhoud-basisregistraties/bag/ 132 AVG artikel 9. 133 AVG artikel 10. 134 AVG artikel 9, eerste lid

35 Informatiebeveiligingsdienst

Voorbeelden van bijzondere persoonsgegevens zijn: het adressenbestand van een kerkblad, gegevens die via een

apothekers-app worden verwerkt, ziekte- en verzuimgegevens van werknemers, ledenlijst van een politieke partij,

relatiestatus op sociale media. Let op: uit beeldmateriaal zoals foto’s en camerabeelden kunnen soms ook bijzondere

persoonsgegevens, zoals etnische afkomst of medische gesteldheid, worden afgeleid.

Als bijzondere persoonsgegevens, gevoelige persoonsgegevens, unieke identificerende kenmerken, BSN-nummers of

andere gegevens verwerkt worden waarvoor geldt dat sprake is van een verhoogde gevoeligheid betekent dat een

verhoogd risico op misbruik. Dat heeft een (potentieel grote) impact op de betrokkene en vraagt daarmee om betere

beveiliging. Het verwerken van deze persoonsgegevens is alleen toegestaan onder bepaalde wettelijke voorwaarden.

Ook geldt dat het risico bestaat dat betrokkenen minder snel willen meewerken, of het vertrouwen in de gemeente

vermindert. Er wordt dan ook geadviseerd om andere minder ingrijpende persoonsgegevens te gebruiken. Bovendien

loopt de gemeente compliance risico’s als dit het geval is.

Strafrechtelijke persoonsgegevens

Persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende

veiligheidsmaatregelen (hierna: strafrechtelijke persoonsgegevens) zijn een apart type persoonsgegeven.135 Het gaat

hier zowel om veroordelingen als om verdenkingen van strafbare feiten. Voorbeelden hiervan zijn: proces-verbaal,

sepotbeslissing, strafblad, relaas verhoor en aanvraag voor een toevoeging in een strafzaak.

Wettelijke identificatienummers

Nummers ter identificatie van een persoon die bij wet zijn voorgeschreven, mogen slechts worden verwerkt voor

verwerkingsdoeleinden die bij wet zijn bepaald.136,137 De gedachte hierachter is dat persoonsnummers de koppeling van

verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke

levenssfeer vormen. Denk hierbij aan: een Burgerservicenummer (BSN)138, 139, BIG-nummer (Beroepen in de Individuele

Gezondheidszorg) 140, A-nummer (administratienummer basisregistratie personen141), onderwijsnummer,

strafrechtketennummer (SKN)142 en kenteken. Het gaat hierbij enkel om in de wet voorgeschreven

persoonsidentificerende nummers.

Overige persoonsgegevens

Alle overige persoonsgegevens die geen bijzondere of strafrechtelijke persoonsgegevens zijn worden aangemerkt als

gewone persoonsgegevens. Gewone persoonsgegevens wil overigens niet zeggen dat geen sprake is van een hoog

privacyrisico. Bepaalde persoonsgegevens kunnen door de context waarin zij worden gebruikt gevoelig zijn en daardoor

een hoog privacyrisico met zich brengen. Hierbij kan gedacht worden aan:

• gegevens over de financiële of economische situatie van de betrokkene;

• gegevens over overtredingen van wettelijke voorschriften, bestuurlijke en/of tuchtrechtelijke maatregelen of

sancties;

• (andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene;

• gegevens die betrekking hebben op kwetsbare groepen;

• gebruikersnamen, wachtwoorden en andere inloggegevens;

• gegevens die kunnen worden misbruikt voor (identiteits)fraude;

• communicatie- en locatiegegevens.143

135 AVG artikel 10. 136 AVG artikel 87. 137 Uitvoeringswet Algemene verordening gegevensbescherming artikel 44 (https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming). 138 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn 139 Onder de AVG is het Burgerservicenummer geen bijzonder persoonsgegeven, zie: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/blijft-het-bsn-straks-een-bijzonder-persoonsgegeven 140 http://wetten.overheid.nl/BWBR0006251/ 141 http://data.stelselvanbasisregistraties.nl/gba/doc/gegevenselement/A-nummer_persoon-Natuurlijk_persoon 142 https://www.rijksoverheid.nl/documenten/rapporten/2015/07/08/tk-bijlage-identiteitsvastelling-in-de-strafrechtsketen 143 Staatscourant 2013, nr. 5174, p. 14 (https://zoek.officielebekendmakingen.nl/stcrt-2013-5174.pdf).

Een belangrijke vraag die steeds gesteld moet worden is of het doel met minder ingrijpende (andere)

persoonsgegevens kan worden bereikt. Als dit niet mogelijk moet gekeken worden of de persoonsgegevens kunnen

worden geanonimiseerd of pseudo-anoniem kunnen worden gemaakt. Hierdoor kan het nemen van verdere

maatregelen ter bescherming van de privacy van de betrokkenen worden geminimaliseerd. Er wordt wel geadviseerd

om periodiek na te gaan of de persoonsgegevens niet indirect herleidbaar zijn.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Maak categorieën van de betrokkenen (personen) van wie de persoonsgegevens kunnen worden verwerkt

(bijvoorbeeld werknemers, burgers of medewerkers van leveranciers).

• Geef de soorten persoonsgegevens die kunnen worden verwerkt (bijvoorbeeld namen, adressen,

telefoonnummers en/ of bankrekeninggegevens).

• Worden bijzondere persoonsgegevens, gevoelige persoonsgegevens, unieke identificerende kenmerken, BSN-

nummers of andere gegevens verwerkt waarvoor geldt dat sprake is van een verhoogde gevoeligheid? Zo ja, welke

persoonsgegevens zijn dat?

• Worden persoonsgegevens van kinderen verwerkt, jonger dan 16 jaar. Zo ja, is toestemming of machtiging tot

toestemming in dit verband verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind

draagt?

• Markeer eventuele vertrouwelijke gegevens of gevoelige persoonsgegevens.

• Kan het doel met minder ingrijpende (andere) persoonsgegevens worden bereikt? Bijvoorbeeld geanonimiseerde

of gepseudonimiseerde persoonsgegevens (terwijl daar op dit moment geen gebruik van wordt gemaakt).

5.2. Beschrijf bijzondere persoonsgegevens

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de

gegevensverwerking in detail definiëren en beschrijven.

• Vraag DPIA-tool: Welke bijzondere persoonsgegevens worden verwerkt?

• Toelichting: Maak een lijst van de verzamelde en verwerkte bijzondere persoonsgegevens. Definieer voor elk de bewaartermijn, de ontvangers en personen met toegang daartoe.

Bij het verwerken van bijzondere of strafrechtelijke persoonsgegevens moeten gemeenten, beoordelen of één van de

wettelijke uitzonderingen op het verwerkingsverbod van toepassing is. Bij gegevensverwerking van een wettelijk

identificatienummer144 beoordeel of dat is toegestaan.145 Voor de overheid is het gebruik van een uniek

persoonsnummer, het BSN, geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb)146.

Gemeenten kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak

gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep

kunnen doen op Wabb artikel 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.

144 Identificatienummers worden in de AVG en de Uitvoeringswet niet aangemerkt als bijzondere categorieën van persoonsgegeven. Artikel 46 van de Uitvoeringswet regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de gegevensverwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor verwerkingsdoeleinden bij de wet bepaald (https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming). 145 AVG artikel 87. 146 http://wetten.overheid.nl/BWBR0022428/

37 Informatiebeveiligingsdienst

De AVG verbiedt de gegevensverwerking van bijzondere persoonsgegevens. Op dit verwerkingsverbod gelden de

volgende uitzonderingen:

a. de betrokkene heeft uitdrukkelijke toestemming gegeven;

b. de gegevensverwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van

specifieke rechten op het gebied van arbeids- en sociaalzekerheidsrecht;

c. de gegevensverwerking is noodzakelijk ter bescherming van vitale belangen van de betrokkenen of een ander;

d. de gegevensverwerking wordt verricht door een instantie die op politiek, levensbeschouwelijk, godsdienstig of

vakbondsgebied werkzaam is;

e. de gegevensverwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn

gemaakt;

f. de gegevensverwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

g. de gegevensverwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;

h. de gegevensverwerking noodzakelijk is voor preventieve en arbeidsgeneeskunde, voor de beoordeling van de

arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidzorg of sociale diensten of

behandelingen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsel en diensten;

i. de gegevensverwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;

j. de gegevensverwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of

historisch onderzoek of statistische verwerkingsdoeleinden.147

Verdere uitzonderingen zijn te vinden in nationale regelgeving. De AVG bepaalt daarnaast dat gegevensverwerking van

strafrechtelijke gegevens alleen is toegestaan door of onder toezicht van de overheid of als dit bij wet geregeld is (zie

voor de definitie van strafrechtelijke gegevens de toelichting in paragraaf 5.1 ‘Beschrijf persoonsgegevens’).148

De gegevensverwerking van nationale identificatienummers is alleen toegestaan ter uitvoering van de wet of voor

verwerkingsdoeleinden die bij wet zijn bepaald. Overheidsorganen kunnen bij de uitvoering van hun publieke taak

gebruik maken van het BSN, zonder dat daarvoor nadere regelgeving vereist is.149

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Worden bijzondere of strafrechtelijke persoonsgegevens verwerkt? Zo ja, is een van de wettelijke uitzonderingen

op het verwerkingsverbod van toepassing en welke is dat dan?

• Wordt een wettelijk identificatienummer verwerkt? Zo ja, is dit toegestaan en op basis waarvan is dat toegestaan?

• Worden strafrechtelijke gegevens verwerkt? Zo ja, is dit toegestaan en op basis waarvan is dat toegestaan?

• Welke waarborgen voor de rechten en vrijheden van de betrokkene worden geboden?

5.3. Bewaartermijn gegevens.

Geef aan waarom de opslag-/bewaartermijn adequaat en zo kort mogelijk is.150 Geef een korte uitleg van de wettelijke

basis voor het bewaren van de persoonsgegevens als de persoonsgegevens langer op het systeem worden bewaard dan

nodig is voor deze gegevensverwerking. Bepaal en motiveer de bewaartermijnen van de persoonsgegevens aan de

hand van de verwerkingsdoeleinden.

De AVG heeft als uitganspunt dat persoonsgegevens niet langer in een vorm die het mogelijk maakt de betrokkenen te

identificeren, mogen worden bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is

(beperkte bewaartermijn).151 Met andere woorden: als het voor de verwezenlijking van de verwerkingsdoeleinden niet

meer noodzakelijk is de persoonsgegevens te bewaren, moeten deze worden vernietigd of geanonimiseerd. Hierop

maakt de AVG een uitzondering als de persoonsgegevens uitsluitend worden verwerkt ten behoeve van archivering in

147 AVG artikel 9, tweede lid. 148 AVG artikel 10. 149 Artikel 10 Wet algemene bepalingen burgerservicenummer (http://wetten.overheid.nl/BWBR0022428/). 150 https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/bewaren-van-persoonsgegevens 151 AVG artikel 5, lid 1, onder e.

het algemeen belang, wetenschappelijk of historisch onderzoek of statistische verwerkingsdoeleinden. Hieraan wordt

wel de eis verbonden dat passende maatregelen worden getroffen om de betrokkenen te beschermen.152

Bij gegevensverwerkingen moet worden nagegaan of regelgeving een bewaartermijn voorschrijft. Als dat het geval is,

moet de verwerkingsverantwoordelijke zich aan die termijn houden. Als geen wettelijke bewaartermijn is

voorgeschreven, moet de verwerkingsverantwoordelijke zelf bewaartermijnen vaststellen of de persoonsgegevens

periodiek toetsen aan het uitganspunt van opslagbeperking.153 Hierbij moet rekening worden gehouden met andere

regelgeving over bewaartermijnen, zoals de Archiefwet 1995154.

Gemeenten zijn wettelijk gehouden aan de bewaartermijnen van de Selectielijst gemeentelijke en intergemeentelijke

organen 2017. 155 In deze selectielijst wordt onder andere aangegeven dat gemeenten persoonsgegevens langer mogen

bewaren dan de vastgestelde bewaartermijn als dat noodzakelijk is voor een zorgvuldige uitvoering van hun taken op

grond van de wet waarop dit van toepassing is.156 Het betreft met name resultaten waarbij zorg voor meerdere jaren

wordt verleend aan jeugdigen van 0 tot 19 jaar. Dit houdt in dat zaken die betrekking hebben op de betrokken

resultaten altijd aan de proceseigenaren of behandelde ambtenaren zal moeten voorgelegd voordat tot vernietiging

van de archiefbescheiden van deze zaken wordt overgegaan. Op basis van de genoemde zinsnede mogen zaken, als dit

noodzakelijk is voor het bedrijfsbelang, volgens de wetgeving langer bewaard worden. Het is dan wel van belang om de

redenen voor het langer bewaren vast te leggen. In het kader van de AVG dient een gemeente gegronde redenen

(onder andere een ‘vitaal belang’) te hebben om persoonsgegevens te mogen bewaren. Er dient een gedegen afweging

te worden gemaakt of een gemeente een gegrond belang heeft om de persoonsgegevens langer te bewaren, waarbij

moet worden voldaan aan de eisen die de AVG stelt. Persoonsgegevens over een minderjarige langer bewaren omdat

een behandelend ambtenaar deze persoonsgegevens nog nodig heeft voor zaken die betrekking hebben op gezinsleden

van die minderjarige, kan een reden zijn die valt onder ‘vitaal belang’. De rechten van de minderjarige dienen dan

onder de AVG te worden afgezet tegen de belangen van de gemeente. Persoonsgegevens langer bewaren omdat de

behandelende ambtenaar dat wenst, is niet mogelijk.157

Specificeer per categorie persoonsgegevens de volgende persoonsgegevens per bewaartermijn:

• Ingang bewaartermijn;

• Bewaringstermijn;

• Argumentatie voor bewaring;

• Verantwoordelijke voor verwijdering.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wat is de bewaartermijn van de gegevens?

• Hoe is de verwijdering van de persoonsgegevens geregeld?

• Heeft de gemeente een retentiebeleid? Zo ja, welke is dat? Denk hierbij ook de Selectielijst gemeentelijke en

intergemeentelijke organen 2017.

• Waar wordt de data gearchiveerd? Is dit papier of digitaal?

• Welke maximale bewaarperiode(s) zijn vereist om deze gegevensverwerking te ondersteunen en waarom?

Voldoet dit aan het retentiebeleid van de gemeente?

152 AVG artikel 89. 153 AVG overweging 39. 154 http://wetten.overheid.nl/BWBR0007376/ 155 Zie: https://vng.nl/selectielijst 156 Dit wordt aangegeven met de zinsnede “of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van hun taken op grond van deze wet noodzakelijk is”. In de selectielijst is op basis van diverse wetsartikelen deze zinsnede opgenomen 157 Zie Handreiking gebruik Selectielijst gemeenten en intergemeentelijke organen 2017 (https://vng.nl/files/vng/publicaties/2017/20170906-handreiking-gebruik.pdf).

39 Informatiebeveiligingsdienst

• Beschrijf de noodzakelijke gegevens, bijvoorbeeld Ingang bewaartermijn, bewaringstermijn, reden en wie

verantwoordelijk is voor het verwijderen, per categorie persoonsgegevens per bewaartermijn.

• Worden persoonsgegevens langer op het systeem bewaard dan nodig is voor deze gegevensverwerking? Zo ja, wat

is de wettelijke basis hiervoor? Denk hierbij ook de logbestanden, audit trails of audit logs, waarin

persoonsgegevens worden bewaard.158

5.4. Beschrijf Informatiestromen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de

gegevensverwerking in detail definiëren en beschrijven.

• Vraag DPIA-tool: Hoe werkt de levenscyclus van gegevens en processen?

• Toelichting: Presenteer en beschrijf hoe het product in het algemeen werkt (van de gegevensverzameling tot

de vernietiging van gegevens, de verschillende verwerkingsfasen, opslag, et cetera), met behulp van

bijvoorbeeld een diagram van gegevensstromen (voeg het toe als bijlage) en een gedetailleerde beschrijving

van de processen uitgevoerd.

5.4.1. Informatiestromen

Hier wordt de werking van alle interne en externe informatiestromen beschreven. Als het ‘

158 Zie hiervoor het operationele BIO document ‘Handreiking Aanwijzing Logging BIO’ van de IBD.

ICT-gegevensstroomdiagram’ gebruik wordt gemaakt van een ICT-gegevensstroomdiagram, gebruik deze dan

als referentie om de systemen en informatiestromen te identificeren. Alle ontvangers en verwerkers van de

persoonsgegevens dienen te worden geïdentificeerd, deze worden respectievelijk in paragraaf 4.4.4 ‘Identificeer de

ontvanger(s)’ en paragraaf 4.4.2 ‘Identificeer de verwerker(s)’ uitgebreider beschreven.

Overdrachtsmethode(n)

Beschrijf de methode waarmee persoonsgegevens worden overgedragen/ ontvangen van/ naar organisaties.

Bijvoorbeeld: Worden gegevens versleuteld met behulp van een filesharing159 applicatie?

Internationale doorgiften

Identificeer internationale doorgiften van gegevens, in het bijzonder aan verwerkers die buiten de EU zijn gevestigd.

Beschrijf ook de voorzorgsmaatregelen die op deze overdrachten van toepassing zijn. De verschillende

verwerkingslocaties worden in paragraaf 4.3 ‘Beschrijf verwerkingslocaties’ beschreven.

Maak een lijst met alle persoonsgegevens en de bijbehorende kenmerken die worden overgedragen en opgeslagen in

elke fase van de gegevensstroom. Gegevens die geen persoonsgegevens zijn, hoeven niet te worden opgenomen, tenzij

dit voor de duidelijkheid nodig is.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Op welke wijze, mechanismen voor gegevensoverdracht, worden de persoonsgegevens overgedragen?

• Zijn alle methode waarmee persoonsgegevens worden overgedragen of ontvangen beschreven?

• Welke (persoons)gegevens en bijbehorende kenmerken worden overgedragen en opgeslagen?

159 Filesharing is de benaming voor het delen van bestanden en dit wordt vaak gebruikt in combinatie met het delen van bestanden via internet.

41 Informatiebeveiligingsdienst

5.4.2. ICT-gegevensstroomdiagram

Dit gedeelte is vereist als de persoonsgegevens worden overgedragen buiten de bestaande systemen. Deze paragraaf

moet worden ingevuld als de persoonsgegevens buiten de gemeente worden overgedragen aan een derde partij.

Eventueel kunnen ICT-architecten hierbij helpen om dit onderdeel in te vullen.

1. Voeg een diagram toe met de belangrijkste gegevensopslagplaatsen en de koppelingen ertussen als een blok- en

lijndiagram.

2. Voeg details toe van de overdrachtsmethoden tussen gegevensopslagplaatsen. Identificeer duidelijk de begin- en

eindpunten voor de gegevensstromen.

3. Laat duidelijk zien welke delen bestaan en wat nieuw is voor het project.

4. Toon de grens tussen interne en externe gegevensopslagplaatsen van derden.

5. Markeer de punt(en) als noodzakelijk, waar de toestemming van de betrokkene voor gegevensverwerking wordt

verzameld en opgeslagen.

6. Geef ten slotte aan welke teams toegang hebben tot elke gegevensopslagplaats en elke gegevensoverdracht

(database administrator (DBA)-team, rapportageteam(s), et cetera).

6. Beschrijf systemen gegevensverwerking

Context

In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende persoonsgegevens.

Beschrijf de systemen, technieken en methoden voor gegevensverwerking

In dit deel kunt u de benodigde hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.

Vragen uit de DPIA-tool:

1 Wat zijn de persoonsgegevens ondersteunende systemen?

Maak een lijst van de ondersteunende systemen (besturingssystemen, bedrijfstoepassingen,

databasebeheersystemen, kantoorsuites, protocollen, configuraties, et cetera)

2 Welke technieken en methoden worden gebruikt voor de gegevensverwerking?

Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de

persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming,

profilering of big dataverwerkingen en, zo ja, beschrijf waaruit een en ander bestaat.

Beschrijf waar de persoonsgegevens worden bewaard en registreer de bewaartermijnen voor elk systeem.

Let op dat in het kader van best practice, persoonsgegevens voor lange termijn alleen in het registratiesysteem dienen

te worden bewaard. Als nodig dienen de persoonsgegevens naar andere systemen gekopieerd te worden en daar

alleen worden bewaard zolang ze nodig zijn voor de gegevensverwerking en vervolgens weer worden verwijderd.

6.1. Beschrijf de systemen, technieken en methoden voor gegevensverwerking Som de hardware, software, netwerken, mensen, papier of papiertransmissiekanalen op en beschrijf op welke wijze en

met gebruikmaking van welke (technische) middelen en methoden de persoonsgegevens worden verwerkt. Benoem of

sprake is van (semi-)geautomatiseerde besluitvorming, profilering of big dataverwerkingen160 en, zo ja, beschrijf

waaruit dit dan bestaat.

Het gebruik van bepaalde technieken en methoden van gegevensverwerking kunnen aanvullende privacyrisico’s met

zich meebrengen en daarom onderworpen zijn aan strengere regels en aanvullende maatregelen vereisen. Dit is onder

meer het geval bij (semi-)geautomatiseerde besluitvorming, profilering en big dataverwerkingen.

160 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling

43 Informatiebeveiligingsdienst

6.2. Beschrijf systemen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Beschrijf de systemen, technieken en methoden voor gegevensverwerking: In dit deel kunt u de benodigde

hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.

• Vraag DPIA-tool: Wat zijn de persoonsgegevens ondersteunende systemen?

• Toelichting: Maak een lijst van de ondersteunende systemen (besturingssystemen, bedrijfstoepassingen,

databasebeheersystemen, kantoorsuites, protocollen, configuraties, et cetera)

Inzicht in de informatievoorziening is nodig om de mogelijke risico’s goed in kaart te kunnen brengen. Hiervoor kan

gebruik worden gemaakt van het MAPGOOD-model om de componenten van de informatievoorziening in kaart te

brengen.161 MAPGOOD staat voor: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten.

Hierbij kan onderdeel gegevens worden overgeslagen, aangezien dat al is ingevuld in paragraaf 5.1 ‘Beschrijf

persoonsgegevens’ is beschreven.

Mens: Welke mensen gebruiken het systeem?

Apparatuur: Welke apparatuur kent het systeem?

Programmatuur: Welke programmatuur kent het systeem?

Organisatie: Welke organisatieonderdelen hebben met het systeem te maken?

Omgeving: Welke fysieke omgevingen zijn er voor het systeem?

Diensten: Welke diensten horen bij het systeem?

Dit model dient te worden ingevuld door de systeemeigenaar, eventueel met hulp van de functioneel beheerder en/of

een technisch beheerder. De systeemeigenaar kan ook de proceseigenaar betrekken in dit proces.

Belangrijk is dat iedere MAPGOOD-component volledig in kaart wordt gebracht zodat alle onderdelen van de

informatievoorziening bekend zijn die relevant zijn voor deze DPIA. De componenten hoeven daarbij niet in alle details

te worden beschreven, zoals schijfgrootte, hoeveelheid geheugen of beeldschermresolutie. De volledigheid op

hoofdcomponent niveau is belangrijk om later risico’s en maatregelen goed te kunnen toewijzen. Daarnaast is

belangrijk goed onderscheid te maken tussen de zaken waar de systeemeigenaar direct voor verantwoordelijk is en de

zaken die hij/zij heeft uitbesteed aan een externe partij en daarom onder de component ‘Dienst’ vallen.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Welke hardware, software, netwerken, mensen, papier of papiertransmissiekanalen worden gebruikt bij de

gegevensverwerking?

• Met welke (technische) middelen en methoden worden de persoonsgegevens verwerkt?

• Is er sprake is van (semi-)geautomatiseerde besluitvorming, profilering of big dataverwerkingen? Zo ja, waaruit

bestaat deze?

161 Zie voor meer achtergrondinformatie m.b.t. MAPGOOD het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD.

6.3. Beschrijf technieken en methoden voor gegevensverwerkingen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende

persoonsgegevens.

• Beschrijf de systemen, technieken en methoden voor gegevensverwerking: In dit deel kunt u de benodigde

hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.

• Vraag DPIA-tool: Welke technieken en methoden worden gebruikt voor de gegevensverwerking?

• Toelichting: Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de

persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming,

profilering of big dataverwerkingen en, zo ja, beschrijf waaruit een en ander bestaat.

6.3.1. Geautomatiseerde besluitvorming

Uitsluitend op geautomatiseerde gegevensverwerking gebaseerde besluiten die voor de betrokkenen rechtsgevolgen

hebben of hem anderszins in aanmerkelijke mate treffen, zijn verboden.162 Voor gegevensverwerkingen die onder de

werkingssfeer van de AVG vallen, geldt dat dit verbod niet van toepassing is als het besluit:

a. noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een

verwerkingsverantwoordelijke;

b. is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van

toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en

gerechtvaardigde belangen van de betrokkene; of

c. berust op de uitdrukkelijke toestemming van de betrokkene.163

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt gebruik gemaakt van besluiten gebaseerd op geautomatiseerde gegevensverwerking? Zo ja, welke zijn dat?

• Op basis van welke gronden is dit niet verboden?

6.3.2. Profilering

Onder profilering wordt verstaan: elke vorm van geautomatiseerde gegevensverwerking van persoonsgegevens waarbij

aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd,

met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren,

interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.164 Bepaalde gegevens,

zoals de resultaten van een zoekopdracht met een zoekmachine, kunnen in combinatie met elkaar een risicoprofiel

doen ontstaan. De kans hierop bestaat vooral wanneer meerdere registers met elkaar worden gecombineerd. Er kan

sprake zijn van profilering wanneer:

• op basis van een combinatie van persoonsgegevens, zoals het automerk in combinatie met de leeftijd van de

betrokkene wordt besloten iemand extra te controleren;

• gebruik wordt gemaakt van de persoonsgegevens die websitebezoekers achterlaten om de doelgroep van de

website mee vast te stellen.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt gebruik gemaakt van profilering? Zo ja, welke zijn dat?

• Wat zijn de gevolgen van deze profilering voor de betrokkenen?

162 AVG artikel 22, eerste lid. 163 AVG Artikel 22, tweede lid. 164 AVG artikel 4, vierde onderdeel.

45 Informatiebeveiligingsdienst

6.3.3. Big data

Big data is als zodanig niet gedefinieerd in de AVG, maar hangt als verschijnsel nauw samen met geautomatiseerde

besluitvorming en profilering.165 Big data staat voor het verschijnsel dat grote hoeveelheden gestructureerde en

ongestructureerde data uit verschillende bronnen worden geanalyseerd waarbij geautomatiseerd naar correlaties

wordt gezocht die kennis kunnen opleveren om te kunnen toepassen voor beslissingen op groeps- of individueel

niveau.166 In de kern komt het bij big data-analyses neer op het zoeken naar onderlinge samenhang tussen twee

reeksen van waarnemingen (correlatie). Toepassing van big data brengt specifieke risico’s mee en vergt daarom ook

specifieke maatregelen (zie paragraaf 10.2 ‘

165 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling 166 Wetenschappelijk Raad voor het Regeringsbeleid (WRR), Big data in een vrije en veilige samenleving, rapport nr. 95, p. 21. De WRR geeft geen scherpomlijnde definitie van big data, maar richt zich op de hoofdkenmerken 1) Data: het gaat om grote hoeveelheden gestructureerde en ongestructureerde data uit verschillende bronnen, 2) Analyse: de analyse is data gedreven en zoekt geautomatiseerd naar correlaties en 3) gebruik: de analyses moeten leiden tot ‘actionable knowledge’ (ingrepen in de realiteit op basis van bestandsanalyses).

6.4. Maatregelen die bijdragen aan veilig gebruik Big DataMaatregelen die bijdragen aan de rechten van de betrokkenen

Beschrijf specifiek hoe de rechten van de betrokkene worden beschermd. Noteer of verwijs naar de toestemmings- en

de privacyverklaring als gebruikt (bestaand of nieuw). Registreer en accepteer tot slot alle resterende risico's die niet

zijn gemitigeerd.

Bepaal voor elk risico de mogelijke oorsprong, de aard, het specifieke karakter en de ernst van het risico, vanuit het

perspectief van de betrokkene. Identificeer de mogelijke gevolgen voor de rechten en vrijheden van de betrokkene.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt verwezen naar toestemmings- en de privacyverklaring? Zo ja, welke zijn dat?

• Worden alle resterende risico's die niet zijn gemitigeerd beschreven?

47 Informatiebeveiligingsdienst

Maatregelen die bijdragen aan veilig gebruik Big Data’).

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt gebruik gemaakt van big data? Zo ja, welke zijn dat?

• Wat zijn de gevolgen van deze big dataverwerking voor de betrokkenen?

6.4.1. Nieuwe technologieën

Ook grote verschuivingen in de werkwijze, de manier waarop persoonsgegevens worden verwerkt en de technologie

die daarbij gebruikt wordt, kunnen gevolgen hebben voor betrokkenen. Denk aan: intelligente transportsystemen,

locatie of volgsystemen op basis van Global Positioning System (GPS), mobiele technologieën, biometrie en nieuwe

vormen van identificatie zoals gezichtsherkenning in samenhang met cameratoezicht en IoT technologieën en smart

city167,168 oplossingen waarbij persoonsgegevens kunnen worden verwerkt. Deze technologieën hebben vaak ook een

Cloud component die zich buiten de Europese Economische Ruimte (EER)169 kan bevinden.

Als gebruik wordt gemaakt van nieuwe technologieën geldt voor de betrokkenen dat er een verhoogd risico’s wordt

gelopen, de impact van het verwerkingsvoorstel op de betrokkenen en de wijze waarop de betrokkenen gaan reageren

is moeilijk in te schatten. Dit kan leiden tot verhoogde kans op imagoschade, verstoring van de bedrijfscontinuïteit, en

acties door handhavers en toezichthouders.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt gebruik gemaakt van nieuwe technologieën? Zo ja, welke zijn dat en wat betekent dit voor de betrokkenen?

• Wordt gebruik gemaakt van technologie die bij het publiek vragen of weerstand op kan roepen? Bijvoorbeeld

biometrie, Radio-frequency identification (RFID), online behavioural advertising/targeting (profilering).

• Wordt bestaande technologie in een nieuwe context ingevoerd? Zoals cameratoezicht of drugscontrole op de

werkvloer.

• Zijn er (andere) grote verschuivingen in de werkwijze van de gemeente, de manier waarop persoonsgegevens

worden verwerkt en/of de technologie die daarbij gebruikt wordt? Bijvoorbeeld het samenvoegen koppelen van

verschillende overheidsregistraties, invoering van nieuwe vormen van identificatie of vervanging van systeem

waarin persoonsgegevens worden opgeslagen.

167 Zie voor meer informatie https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/smart-cities. 168 Zie ook de ‘Handreiking IoT beveiliging’ van de IBD. 169 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu

7. Rechtmatigheid gegevensverwerkingen

Fundamentele principes

In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

Evenredigheid en noodzaak

In dit deel kunt u de legitimiteit van uw gegevensverwerking van persoonsgegevens aantonen.

Vragen uit de DPIA-tool:

1 Zijn de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem?

Leg uit waarom de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem zijn.

2 Wat is de wettelijke basis om de gegevensverwerking rechtmatig te maken?

Leg uit welke wettelijke grondslag aan de gegevensverwerking ten grondslag ligt en waarom dit zo is.

3 Zijn de gegevens adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor ze

worden verwerkt ('gegevensminimalisatie')?

Leg uit waarom elk van de verzamelde gegevens noodzakelijk is voor uw doeleinden.

4 Zijn de gegevens juist en worden ze up-to-date gehouden?

Beschrijf welke stappen worden ondernomen om de kwaliteit van de gegevens te waarborgen.

5 Wat is de bewaartermijn van de gegevens?

Leg uit waarom de bewaartermijn wordt gerechtvaardigd door wettelijke vereisten en/ of verwerkingsbehoeften.

Beoordeel aan de hand van de feiten zoals vastgesteld in hoofdstukken 4 ‘Beschrijf beoogde gegevensverwerking’, 5

‘Beschrijf kenmerken gegevensverwerking’ en 6 ‘Beschrijf systemen gegevensverwerking’ of de voorgenomen

gegevensverwerkingen rechtmatig zijn.170 Het gaat hier om de beoordeling van de juridische rechtsgrond, noodzaak en

doelbinding van de gegevensverwerkingen. Beoordeel ook de wijze waarop invulling wordt gegeven aan de rechten van

de betrokkenen. Voor dit onderdeel van de DPIA is in het bijzonder juridische expertise nodig.

7.1. Beschrijf doelbinding

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van

persoonsgegevens aantonen.

• Vraag DPIA-tool: Zijn de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem?

• Toelichting: Leg uit waarom de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem zijn.

Als de persoonsgegevens voor een ander doel worden verwerkt dan oorspronkelijk verzameld, moeten gemeenten

beoordelen of deze verdere gegevensverwerking verenigbaar is met het doel waarvoor de persoonsgegevens

oorspronkelijk zijn verzameld.171

De AVG heeft als uitganspunt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde

verwerkingsdoeleinden moeten worden verzameld en vervolgens niet verder mogen worden verwerkt op een met die

verwerkingsdoeleinden onverenigbare wijze.172

170 Met rechtmatigheid wordt gedoeld op rechtmatigheid van de gegevensverwerking in de zin van AVG artikel 6. Met rechtmatigheid wordt niet bedoeld volledige compliance met de AVG. 171 Zie ook paragraaf 4.2 ‘Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 172 AVG artikel 5, eerste lid, onder b.

49 Informatiebeveiligingsdienst

De AVG regelt dat de verdere gegevensverwerking voor een ander doel toegestaan is als de verdere

gegevensverwerking berust op toestemming van de betrokkene of op een specifiek wettelijk voorschrift. Bijvoorbeeld

de nationale veiligheid, de openbare veiligheid, monetaire, budgettaire of fiscale aangelegenheden.173 Daarnaast wordt

de verdere gegevensverwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch

onderzoek of statistische verwerkingsdoeleinden als verenigbaar geacht met de oorspronkelijke

verwerkingsdoeleinden. Hieraan wordt wel de eis verbonden dat passende maatregelen worden getroffen om de

betrokkene te beschermen.174

Een verwerkingsverantwoordelijke die beslissingen neemt over een verdere gegevensverwerking moet voldoen aan alle

eisen voor rechtmatige gegevensverwerking. Een dergelijke gegevensverwerking dient op een eigen rechtsgrond te

berusten. De verwerkingsverantwoordelijke kan beoordelen of de verdere gegevensverwerking voor een ander doel

toegestaan en verenigbaar is aan de hand van:

1 het verband tussen de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn verzameld en de

verwerkingsdoeleinden van de voorgenomen verdere gegevensverwerking;

2 de context waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkene en de

verwerkingsverantwoordelijke betreft;

3 de aard van de persoonsgegevens, met name bijzondere of strafrechtelijke persoonsgegevens;

4 de mogelijke gevolgen van de voorgenomen verdere gegevensverwerking voor de betrokkene;

5 het bestaan van passende waarborgen.175

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Is er sprake van een duidelijk gespecificeerd doel? Wat is dit doel, en waarom is dit legitiem?

• Kan dit doel ook zonder deze persoonsgegevens worden behaald? Waarom niet, of waarom wordt het niet anders

geregeld?

• Worden de persoonsgegevens gebruikt voor het doel waarvoor deze zijn verzameld of worden deze voor een

nieuw doel gebruikt?

• Is de verdere gegevensverwerking voor een ander doel toegestaan en verenigbaar.

• Maak een lijst van de specifieke verwerkingsdoeleinden waarvoor de gegevens in detail zullen worden gebruikt;

generieke verklaringen zijn niet voldoende. Geef ook aan waarom elk onderdeel van de persoonsgegevens nodig is

voor het doel.

• Welke waarborgen voor de rechten en vrijheden van de betrokkene worden geboden?

173 AVG artikel 6, vierde lid, AVG jo. AVG artikel 23, eerste lid. 174 AVG artikel 89. 175 AVG artikel 6, vierde lid.

7.2. Beschrijf rechtsgrond

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van

persoonsgegevens aantonen.

• Vraag DPIA-tool: Wat is de wettelijke basis om de gegevensverwerking rechtmatig te maken?

• Toelichting: Leg uit welke wettelijke grondslag aan de gegevensverwerking ten grondslag ligt en waarom dit zo

is.

De AVG gaat ervan uit dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene

rechtmatig, behoorlijk en transparant is.176 Een gegevensverwerking is rechtmatig als deze gebaseerd kan worden op

ten minste één van de volgende zes rechtsgronden:

1 de betrokkene heeft toestemming gegeven voor de gegevensverwerking van zijn persoonsgegevens voor een of

meer specifieke verwerkingsdoeleinden;

2 de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is,

of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

3 de gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de

verwerkingsverantwoordelijke rust;

4 de gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke

persoon te beschermen;

5 de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het

kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

6 de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de

verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de

fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen

dan die belangen, met name wanneer de betrokkene een kind is.177

Of de gegevensverwerkingen noodzakelijk zijn, wordt beoordeeld in paragraaf 7.3 ‘Beschrijf noodzaak en

evenredigheid’. Ten aanzien van de rechtsgronden 3 (wettelijke plicht) en 5 (taak van algemeen belang) geldt dat deze

moet worden vastgesteld bij of volgens de wet.178 De wettelijke verplichting (rechtsgrond 3) hoeft niet

noodzakelijkerwijs te bestaan uit een expliciete verplichting om persoonsgegevens te verwerken. Ook is mogelijk dat de

gegevensverwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht of wettelijke

verplichting. Zonder gegevensverwerking van de persoonsgegevens moet het uitvoeren van een wettelijke verplichting

redelijkerwijs niet goed mogelijk zijn. Met betrekking tot rechtsgrond 5 (de taak van algemeen belang) geldt dat deze

taak zal moeten blijken uit regelgeving die op de verwerkingsverantwoordelijke van toepassing is. Niet noodzakelijk is

dat in de regelgeving ook expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak

persoonsgegevens verwerkt mogen worden. Als het noodzakelijk is om voor de uitvoering van de publieke taak

persoonsgegevens te verwerken, kan de wettelijke grondslag voor de publieke taak ook worden beschouwd als

grondslag voor de gegevensverwerking van persoonsgegevens.

176 AVG artikel 5, eerste lid, onder a. 177 AVG artikel 6, eerste lid. 178 AVG artikel 6, derde lid.

51 Informatiebeveiligingsdienst

Bij gegevensverwerkingen zal de gemeente de voorgenomen gegevensverwerkingen moeten baseren op één van de zes

rechtsgronden. De rechtsgrond genoemd onder 6 geldt niet voor gegevensverwerkingen in het kader van de

uitoefening van publieke taken. Wel kan deze rechtsgrond gebruikt worden voor gegevensverwerkingen in de

bedrijfsvoering, zoals cameratoezicht, bezoekersregistratie en toegangscontrole. In veel situaties zal de rechtsgrond

genoemd onder 1 (toestemming) evenmin kunnen dienen als rechtsgrond voor gegevensverwerkingen door

overheidsorganen, omdat de betrokkene in de gegeven situatie niet vrijelijk toestemming kan geven.179 Vrij betekent

dat de betrokkene de keus moet hebben om zijn toestemming te weigeren, zonder dat hier mogelijk negatieve

gevolgen aan verbonden zijn. In situaties waarin een gemeente aan een burger om toestemming vraagt, is sprake van

een afhankelijkheidsrelatie. Dit is een situatie waarin de burger niet altijd vrijelijk kan kiezen. Daarom kan in dergelijke

situaties de gegevensverwerking niet op de grondslag van toestemming worden gebaseerd.

Als de gegevensverwerkingen gebaseerd worden op de rechtsgrond genoemd onder 6 (het gerechtvaardigd belang van

de verwerkingsverantwoordelijke of een derde), dan stelt de AVG als eis dat de belangen of de grondrechten en de

fundamentele vrijheden van de betrokkene niet zwaarder mogen wegen dan de gerechtvaardigde belangen van de

verwerkingsverantwoordelijke of de derde.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Bepaal welke van de 6 wettige grondslagen (rechtmatigheid) voor gegevensverwerking voor deze

verwerkingsactiviteit worden gebruikt.180

1. Toestemming: Geef aan of het om een nieuwe of bestaande gegevensverwerking gaat.

2. Overeenkomst: Waarom-is dit noodzakelijk?

3. Wettelijke plicht: Specificeer de noodzaak.

Denk hierbij ook aan het (bestaande) verwerkingsregister waarin de (wettelijke) doelen waarvoor de

persoonsgegevens worden verwerkt dient te staan.181

4. Vitaal belang: Specificeer het vitaal belang.

5. Publieke taak: Wat is de publieke taak?

6. Rechtvaardigbelang: Waarom-is dit noodzakelijk?

7.3. Beschrijf noodzaak en evenredigheid

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van

persoonsgegevens aantonen.

• Vraag DPIA-tool: Zijn de gegevens adequaat, relevant en beperkt tot wat nodig is met betrekking tot de

doeleinden waarvoor ze worden verwerkt ('gegevensminimalisatie')?

• Toelichting: Leg uit waarom elk van de verzamelde gegevens noodzakelijk is voor uw doeleinden.

Er dient een beoordeling van de noodzaak en de evenredigheid (proportionaliteit) van de gegevensverwerkingen met

betrekking tot de verwerkingsdoeleinden worden verstrekt.182 Beoordeel of de voorgenomen gegevensverwerkingen

noodzakelijk zijn voor het verwezenlijken van de verwerkingsdoeleinden. Ga hierbij in ieder geval in op proportionaliteit

en subsidiariteit.

a. Proportionaliteit: staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens

van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden?

b. Subsidiariteit: kunnen de verwerkingsdoeleinden in redelijkheid niet op een andere, voor de betrokkene minder

nadelige wijze, worden verwezenlijkt?

179 AVG artikel 4, elfde onderdeel en AVG overweging 43. 180 AVG artikel 6. 181 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#wat-moet-er-in-het-register-van-verwerkingsactiviteiten-staan-6137 182 AVG artikel 35, lid 7, onder b.

De AVG heeft als uitgangspunt dat de gegevensverwerking wordt beperkt tot wat noodzakelijk is voor de

verwerkingsdoeleinden. Dit uitganspunt van minimale gegevensverwerking/dataminimalisatie komt verder tot

uitdrukking door het gebruik van het woord ‘noodzakelijk’ in AVG artikel 6. De AVG eist hiermee dat de

gegevensverwerking noodzakelijk is voor het verwezenlijken van de verwerkingsdoeleinden. De gegevensverwerking

moet daarbij de toets van proportionaliteit en subsidiariteit kunnen doorstaan.

Bij proportionaliteit moet steeds worden afgevraagd of het doel van de gegevensverwerking in verhouding staat tot de

mogelijke inbreuk van die gegevensverwerking op de privacy van betrokkenen Daarbij zal onder meer moeten worden

gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde doel te bereiken en of de aangevoerde

redenen relevant en toereikend zijn om het beoogde doel te bereiken. Daarbij kunnen empirische

onderzoeksresultaten helpen.183 Gezien het iteratieve karakter van de DPIA zou de proportionaliteit ook na een periode

geëvalueerd moeten worden, om te kijken of de gemaakte inschatting juist is. Het kan lastig zijn om de proportionaliteit

vooraf in te schatten. Empirische resultaten zijn over het algemeen dus pas beschikbaar als de gegevensverwerking al

een tijd plaatsvindt, tenzij een soortgelijke gegevensverwerking al ergens anders is uitgevoerd. In dat geval is er

misschien ook al wel een DPIA beschikbaar, die als input kan worden gebruikt.

Een voorbeeld waar de proportionaliteit niet in verhouding stond met het beoogde doel was het verstekken van

persoonsgegevens van kinderen bij een aanbestedingen voor leerlingenvervoer door gemeenten.184

Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen worden

bereikt. Bijvoorbeeld:

• kan bij het gebruik van bijzondere of strafrechtelijke persoonsgegevens hetzelfde resultaat behaald worden met

gebruikmaking van een combinatie van gewone persoonsgegevens?

• kan het verwerken van de persoonsgegevens in een beperktere vorm of met minder gegevensverwerkingen?

Zo kan in bepaalde gevallen met foto’s hetzelfde doel worden bereikt (bijvoorbeeld: identificatie) als met het

verwerken van filmbeelden. Subsidiariteit houdt bijvoorbeeld ook in dat als persoonsgegevens openbaar gemaakt gaan

worden, niet automatisch alle persoonsgegevens openbaar worden gemaakt, maar een selectie wordt gemaakt op

grond van gerechtvaardigde criteria. Bij deze afwegingen worden de doelen, belangen en feiten zoals in beeld gebracht

in hoofdstukken Error! Reference source not found. ‘Beschrijf beoogde gegevensverwerking’ en 6 ‘Beschrijf systemen

gegevensverwerking’ betrokken.

Persoonsgegevens moeten toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de

verwerkingsdoeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”).185

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Doorstaat de gegevensverwerking de toets van proportionaliteit en subsidiariteit? Zo ja, waarom of waarom niet?

• Leg uit waarom de vereiste gegevens toereikend en noodzakelijk zijn voor deze verwerkingsactiviteit (adequaat,

relevant en beperkt tot wat nodig is.

183 Empirische onderzoeksresultaten zijn gebaseerd op ervaring en/of proefondervindelijke uitkomsten. 184 https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-vraagt-aandacht-voor-privacy-bij-aanbesteding-leerlingenvervoer 185 AVG artikel 5, lid 1, onder c.

53 Informatiebeveiligingsdienst

7.4. Beschrijf stappen om de gegevenskwaliteit te waarborgen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van

persoonsgegevens aantonen.

• Vraag DPIA-tool: Zijn de gegevens juist en worden ze up-to-date gehouden?

• Toelichting: Beschrijf welke stappen worden ondernomen om de kwaliteit van de gegevens te waarborgen.

7.5. Beschrijf rechtvaardiging bewaartermijn

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van

persoonsgegevens aantonen.

• Vraag DPIA-tool: Wat is de bewaartermijn van de gegevens?

• Toelichting: Leg uit waarom de bewaartermijn wordt gerechtvaardigd door wettelijke vereisten en/ of

verwerkingsbehoeften.

8. Rechten van betrokkenen

Fundamentele principes

In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen

In dit deel kunt u aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten

uit te oefenen.

Vragen uit de DPIA-tool:

1 Hoe worden de betrokkenen geïnformeerd over de gegevensverwerking?

Beschrijf wat de informatie is die aan de betrokkenen wordt gegeven en wat de middelen zijn om dit te doen.

2 Hoe wordt de toestemming van betrokkenen verkregen?

Beschrijf, indien toestemming de grondslag is voor de gegevensverwerking, hoe ervoor gezorgd wordt dat

gebruikers toestemming hebben gegeven.

3 Hoe kunnen betrokkenen hun recht op toegang en overdraagbaarheid van gegevens uitoefenen?

Beschrijf de manier waarop betrokkenen toegang wordt verleend tot hun gegevens en hoe ze overgedragen kunnen

worden.

4 Hoe kunnen betrokkenen hun recht op rectificatie en verwijdering uitoefenen?

Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen naar het beleid

en de procedure voor het wissen van gegevens.

5 Hoe kunnen betrokkenen hun recht op beperking uitoefenen en bezwaar maken?

Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de gemeente kan

verwijzen naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de gegevensverwerking

berust op toestemming als wettige basis.

6 Zijn de verplichtingen van de verwerkers duidelijk geïdentificeerd en geregeld in een (verwerkers)overeenkomst?

Beschrijf voor elke verwerker zijn verantwoordelijkheden (duur, reikwijdte, doel, gedocumenteerde

verwerkingsinstructies, voorafgaande toestemming) en verstrek de hoofdovereenkomsten, inkoopvoorwaarden,

verwerkersovereenkomsten, gedragscodes en certificeringen die zijn taken en verplichtingen bepalen.

7 Zijn de gegevens in het geval van gegevensoverdracht buiten de Europese Unie voldoende beschermd?

Voor elk land buiten de Europese Unie waar gegevens worden opgeslagen of verwerkt, geeft u dit op en geeft u

aan of wordt erkend dat dit een adequaat niveau van gegevensbescherming biedt of beschrijft u de bepalingen

met betrekking tot de overdracht.

Geef aan hoe invulling wordt gegeven aan de rechten van betrokkenen.186,187,188 Als de rechten van de betrokkene

worden beperkt, bepaal op grond van welke wettelijke uitzonderingen of dat is toegestaan.189 Uitzonderingen moeten

altijd op een nationale wet berusten of direct zijn toegestaan op grond van de bepalingen in de AVG.

186 AVG hoofdstuk III (artikelen 12-22). 187 Zie ook https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen 188 Zie ook hoofdstuk 7 ‘Hoe ga ik om met de rechten van de betrokkene?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 189 AVG artikel 23.

55 Informatiebeveiligingsdienst

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Geef bij gegevensverwerkingen aan hoe invulling wordt gegeven aan de rechten van betrokkenen, bijvoorbeeld op

welke wijze de betrokkenen worden geïnformeerd en hoe wordt omgegaan met een aanvraag voor correctie en

wissing van gegevens. Als de verwerkingsverantwoordelijke uitzonderingen wil maken op de uitoefening van

bepaalde rechten van betrokkenen, geef aan waarom dat noodzakelijk is en op welke grond dat is toegestaan.

o Wordt er voldoende informatie verstrekt aan betrokkene? Is het voor betrokkenen duidelijk welke rechten ze

hebben en hoe ze deze kunnen uitoefenen?

o Hoe is het recht op inzage gewaarborgd?

o Hoe is het recht op rectificatie gewaarborgd?

o Hoe is het recht op wissing gewaarborgd?

o Hoe is het recht op overdraagbaarheid (dataportabiliteit)190van gegevens gewaarborgd?

• Is er sprake van een duidelijke maximale (wettelijke) bewaartermijn?

8.1. Informeren betrokken

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Hoe worden de betrokkenen geïnformeerd over de gegevensverwerking?

• Toelichting: Beschrijf wat de informatie is die aan de betrokkenen wordt gegeven en wat de middelen zijn om

dit te doen.

Vermeld welke informatie wordt verstrekt aan de betrokkene en in welk formaat.191

8.2. Toestemming betrokkenen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Hoe wordt de toestemming van betrokkenen verkregen?

• Toelichting: Beschrijf, indien toestemming de grondslag is voor de gegevensverwerking, hoe ervoor gezorgd

wordt dat gebruikers toestemming hebben gegeven.

190 Zie ook de ‘Richtlijnen voor het recht op dataportabiliteit’ (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_dataportabiliteit.pdf) 191 AVG artikelen 12, 13 en 14.

8.3. Inzage en overdraagbaarheid van gegevens

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op toegang en overdraagbaarheid van gegevens

uitoefenen?

• Toelichting: Beschrijf de manier waarop betrokkenen toegang wordt verleend tot hun gegevens en hoe ze

overgedragen kunnen worden.

Geef aan hoe de betrokkene toegang heeft tot de persoonsgegevens, de gemeente kan hierbij verwijzen naar het

beleid en procedure voor een toegangsverzoek van betrokkenen en hoe de overdraagbaarheid zal worden bereikt. De

overdraagbaarheid is mogelijk minder belangrijk als de persoonsgegevens tijdelijk worden bewaard, of beschikbaar zijn

in een permanent bronsysteem onafhankelijk van de gegevensverwerking die onder deze DPIA vallen.192

8.4. Gegevens corrigeren of wissen

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op rectificatie en verwijdering uitoefenen?

• Toelichting: Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen

naar het beleid en de procedure voor het wissen van gegevens.

Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen naar het beleid en de

procedure voor het wissen van gegevens.193

8.5. Beperking van gegevensverwerking

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op beperking uitoefenen en bezwaar maken?

• Toelichting: Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de

gemeente kan verwijzen naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de

gegevensverwerking berust op toestemming als wettige basis.

192 AVG artikelen 15 en 20. 193 AVG artikelen 16, 17 en 19.

57 Informatiebeveiligingsdienst

Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de gemeente kan verwijzen

naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de gegevensverwerking berust op

toestemming als wettige basis.194

8.6. Verplichtingen verwerkers

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Zijn de verplichtingen van de verwerkers duidelijk geïdentificeerd en geregeld in een

(verwerkers)overeenkomst?

• Toelichting: Beschrijf voor elke verwerker zijn verantwoordelijkheden (duur, reikwijdte, doel,

gedocumenteerde verwerkingsinstructies, voorafgaande toestemming) en verstrek de hoofdovereenkomsten,

inkoopvoorwaarden, verwerkersovereenkomsten, gedragscodes en certificeringen die zijn taken en

verplichtingen bepalen.

8.7. Internationale doorgifte

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.

• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u

aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te

oefenen.

• Vraag DPIA-tool: Zijn de gegevens in het geval van gegevensoverdracht buiten de Europese Unie voldoende

beschermd?

• Toelichting: Voor elk land buiten de Europese Unie waar gegevens worden opgeslagen of verwerkt, geeft u dit

op en geeft u aan of wordt erkend dat dit een adequaat niveau van gegevensbescherming biedt of beschrijft u

de bepalingen met betrekking tot de overdracht.

Worden de gegevens internationaal overgebracht en zo ja, welke voorzorgsmaatregelen zijn aanwezig. Waarborgen

rondom internationale overschrijving(en).195 Dit kan worden beantwoord door een kruisverwijzing te maken met

paragraaf 5.4.1 ‘Informatiestromen’.

194 AVG artikelen 18, 19 en 21. 195 AVG hoofdstuk V.

9. Beschrijf risico’s

Risico's

In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin

altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen die op de

gegevensverwerking betrekking hebben.

Geplande of bestaande maatregelen

In deze sectie kunt u maatregelen (bestaande of geplande) identificeren en toelichten die bijdragen aan

gegevensbeveiliging.

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande

maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen

die op de gegevensverwerking betrekking hebben.

• Geplande of bestaande maatregelen: In deze sectie kunt u maatregelen (bestaande of geplande) identificeren

en toelichten die bijdragen aan gegevensbeveiliging.

• Vraag DPIA-tool:

• Toelichting:

De DPIA-tool biedt standaard onderstaande maatregelen aan waaruit geselecteerd kan worden, maar uiteraard

kunnen ook eigen maatregelen worden toegevoegd:

Beveiligingsmaatregelen uit de BIO:

6.1.2 Scheiding van taken

6.2.2 Telewerkbeleid

7.1.1 Screening personeel

7.1.2 Beveiliging in arbeidsvoorwaarden

8.2.1 Classificatie van informatie

8.2.2 Informatie labelen

8.2.3 Procedures voor behandelen van bedrijfsmiddelen

8.3.1 Beheer van verwijderbare media

8.3.2 Procedures voor verwijderen van media

8.3.3 Bescherming media bij fysiek overdragen

9.1.1 Beleid voor toegangsbeveiliging

9.1.2 Alleen bevoegde toegang tot netwerken en netwerkdiensten

9.2.1 Registratie en afmelden van gebruikers

9.2.2 Procedure voor toegang verlenen gebruikers

9.2.6 Toegangsrechten intrekken of aanpassen bij beëindigen werkzaamheden

9.3.1 Geheime authenticatie-informatie gebruiken

9.4.1 Beperking toegang tot informatie

9.4.2 Beveiligde inlogprocedures

9.4.3 Systeem voor wachtwoordbeheer

9.4.4 Maatregelen gebruik speciale systeemhulpmiddelen

9.4.5 Toegangsbeveiliging op programmabroncode

10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

10.1.2 Sleutelbeheer

11.1.1 Gebruik fysieke beveiligingszones

11.1.5 Werken in beveiligde gebieden

11.1.6 Beheersing Laad- en loslocaties

11.1.6 Beheersing Laad- en loslocaties

59 Informatiebeveiligingsdienst

11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

11.2.7 Veilig verwijderen of hergebruiken van apparatuur

11.2.8 Bescherming onbeheerde gebruikersapparatuur

11.2.9 ‘Clear desk’- en ‘clear screen’-beleid

12.4.2 Beschermen van informatie in logbestanden

12.4.2 Beschermen van informatie in logbestanden

13.2.1 Beleid en procedures voor informatietransport

13.2.2 Overeenkomsten over informatietransport

13.2.3 Bescherming elektronische berichten

13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

14.1.2 Toepassingen op openbare netwerken beveiligen

14.1.3 Transacties van toepassingen beschermen

18.1.4 Borging van privacy en bescherming van persoonsgegevens

18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

Logische beveiligingsmaatregelen:

• Anonimisering

• Pseudonimisering

• Archiveren

• Minimaliseren van de hoeveelheid persoonsgegevens

Fysieke beveiligingsmaatregelen:

• Onderhoud

Organisatorische maatregelen:

• <geen>

De risico's voor de rechten en vrijheden van betrokkenen moeten beheerd worden.196 Er dient hierbij rekening

gehouden te worden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's.197 Dit betekent dat

elk risico, zoals onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens, gezien moet worden vanuit

het oogpunt van de betrokkenen.

Beschrijf en beoordeel de risico’s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de

betrokkenen. Houd hierbij rekening met de aard, omvang, context en doelen van de gegevensverwerking zoals in

hoofdstukken 4 ‘Beschrijf beoogde gegevensverwerking’, 5 ‘Beschrijf kenmerken gegevensverwerking’, 6 ‘Beschrijf

systemen gegevensverwerking’ en 7 ‘Rechtmatigheid gegevensverwerkingen’ zijn beschreven en beoordeeld.

Maatregelen moeten vastgesteld worden om deze risico’s aan te pakken.198 Het gaat hierbij overigens niet om de

risico’s van de verwerkingsverantwoordelijke zelf.

Maak gebruik van risicoanalyses die eerder zijn uitgevoerd en betrekking hebben op deze gegevensverwerking. Bepaal

dan welke van de geïdentificeerde risico's en veiligheidsmaatregelen van toepassing zijn en vermeld de mitigerende

maatregelen die zijn geïmplementeerd voor risico's die niet worden beheerd door de bestaande beveiligingen.

• Overzicht van de relevante risico's.

• Noteer het restrisico dat overblijft nadat alle mitigerende maatregelen zijn geïmplementeerd.

196 AVG artikel 35, lid 7, onder c. 197 AVG overweging 84. 198 AVG artikel 35, lid 7, onder d en overweging 90.

9.1. Risico’s beoordelen

Risico's

In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin

altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen die op de

gegevensverwerking betrekking hebben.

Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige toegang tot

persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

Vragen uit de DPIA-tool:

1 Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?

Voer de potentiële gevolgen in

2 Wat zijn de belangrijkste dreigingen die tot het risico kunnen leiden?

Voer de bedreigingen in

3 Wat zijn de risicobronnen?

Voer de risicobronnen in

4 Welke van de geïdentificeerde maatregelen dragen bij aan het mitigeren van het risico?

Klik hier om de in de sectie ‘Geplande of bestaande maatregelen’ te selecteren die het risico mitigeren.

5 Hoe schat u de ernst van het risico, rekening houdend met de potentiële effecten en geplande maatregelen?

Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal

Rechtvaardig hier de geschatte ernst van het risico.

6 Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot dreigingen, risicobronnen en geplande

maatregelen?

Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal

Rechtvaardig hier de geschatte waarschijnlijkheid.

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande

maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen

die op de gegevensverwerking betrekking hebben.

• De drie onderkende bedreigingen:

o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige

toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in

persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de

ernst en waarschijnlijkheid ervan in.

• Vraag DPIA-tool: Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?

• Toelichting: Voer de potentiële gevolgen in

Beschrijf en beoordeel de risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen.

Ga hierbij in ieder geval in op:

a. welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van de

betrokkenen;

b. de oorsprong van deze gevolgen;

c. de waarschijnlijkheid (kans) dat deze gevolgen zullen intreden;

d. de ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden.

61 Informatiebeveiligingsdienst

Volgens de AVG dient een DPIA een beoordeling van risico’s voor de rechten en vrijheden van de betrokkenen te

bevatten.199 Aan de hand van de aard, het toepassingsgebied, de context en de verwerkingsdoeleinden van de

gegevensverwerking dient de waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de

betrokkenen te worden bepaald. Op basis van een objectieve beoordeling kan vastgesteld worden of de

gegevensverwerking gepaard gaat met een (hoog) risico.200 Hiervoor is het nodig om de oorsprong, de aard, het

specifieke karakter en de ernst van dat risico te evalueren.201

Het gaat hier om een risicogerichte benadering die kan bestaan uit de volgende stappen:

1. risico’s identificeren;

2. risico’s inschatten/analyseren;

3. risico’s beoordelen/evalueren.

Deze benadering zal in grote lijnen vergelijkbaar zijn met een risicoafweging in het kader van informatiebeveiliging.202

Daarom kan ook gebruik gemaakt worden van informatie die daaruit naar voren is gekomen. Anders dan bij deze

risicoafweging die gericht is op de betrouwbaarheidseisen voor informatiesystemen, en daarmee de risico’s voor de

verantwoordelijke (zoals aanpassing, vertrouwen, publiciteit, toezicht en handhaving, dienstverlening, betrouwbare

informatie), ziet de risicoafweging van de DPIA op de risico’s voor de betrokkenen.

De AVG schrijft niet voor op welke wijze de risicoanalyse moet worden uitgevoerd. Het verdient aanbeveling om aan te

sluiten bij internationale standaarden, bijvoorbeeld van de International Organization of Standardization (ISO)203,

Eenduidige Normatiek Single Information Audit (ENSIA)204 en Organisation for Economic Co-operation and

Development (OECD)205.

9.2. Risico’s identificeren

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande

maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen

die op de gegevensverwerking betrekking hebben.

• De drie onderkende bedreigingen:

o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige

toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in

persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de

ernst en waarschijnlijkheid ervan in.

• Vraag DPIA-tool: Wat zijn de belangrijkste dreigingen die tot het risico kunnen leiden?

• Toelichting: Voer de bedreigingen in

• Vraag DPIA-tool: Wat zijn de risicobronnen?

• Toelichting: Voer de risicobronnen in

199 AVG artikel 35, zevende lid, aanhef en onder c. 200 AVG overweging 76. 201 AVG overweging 84. 202 Zie Deel 2 ‘Kader BIO’ van de Baseline Informatiebeveiliging Overheid (BIO) en het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD. 203 https://www.iso.org/home.html 204 https://www.ensia.nl/wat-is-ensia/#!/ 205 http://www.oecd.org/

De eerste stap is om potentiële privacyrisico’s vast te stellen. Een privacyrisico is een kans op het optreden van een

negatief gevolg voor de rechten en vrijheden van de betrokkenen als gevolg van de gegevensverwerking van

persoonsgegevens.

Bij rechten en vrijheden van de betrokkenen moet in eerste instantie aan het recht op privacy worden gedacht, maar

ook aan andere fundamentele rechten en vrijheden, zoals de vrijheid van meningsuiting, de vrijheid van godsdienst en

het verbod van discriminatie. Het voordoen van de (hypothetische) situatie kan leiden tot lichamelijke, materiële of

immateriële schade voor de betrokkene. Hierbij kan gedacht worden aan de volgende situaties:

• waar de gegevensverwerking kan leiden tot:

o discriminatie, stigmatisering en uitsluiting;

o (blootstelling aan) identiteitsdiefstal of -fraude;

o financiële verliezen;

o reputatie- of anderszins relationele schade;

o verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens;

o ongeoorloofde ongedaanmaking van pseudonimisering;

o of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie;

• wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd om controle

over hun persoonsgegevens uit te oefenen;

• wanneer bijzondere of strafrechtelijke persoonsgegevens worden verwerkt;

• wanneer persoonlijke aspecten worden geëvalueerd, om bijvoorbeeld beroepsprestaties, economische situatie,

gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te

analyseren of te voorspellen, om persoonlijke profielen op te stellen of te gebruiken;

• wanneer persoonsgegevens van kwetsbare personen, zoals kinderen, worden verwerkt; of

• wanneer de gegevensverwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een

groot aantal betrokkenen.206

9.3. Risico’s inschatten

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande

maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen

die op de gegevensverwerking betrekking hebben.

• De drie onderkende bedreigingen:

o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige

toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in

persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.

o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de

ernst en waarschijnlijkheid ervan in.

• Vraag DPIA-tool: Hoe schat u de ernst van het risico, met name op basis van de potentiële effecten en

geplande maatregelen?

• Toelichting: Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal.

Rechtvaardig hier de geschatte ernst van het risico.

• Vraag DPIA-tool: Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot dreigingen,

risicobronnen en geplande maatregelen?

• Toelichting: Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal.

Rechtvaardig hier de geschatte waarschijnlijkheid.

206 AVG overwegingen 75 en 85.

63 Informatiebeveiligingsdienst

Vervolgens moeten de benoemde risico’s worden gekwalificeerd door het inschatten van de kans dat een dreiging zich

voordoet en de mogelijke gevolgen daarvan voor de betrokkenen. Met andere woorden: wat zijn de gevreesde

gevolgen en hoe groot is de impact daarvan op de betrokkenen? En hoe treden deze in werking en hoe waarschijnlijk is

dat? Deze vragen zijn niet gericht op zwart-wit antwoorden, maar op een afweging. Aan de hand hiervan moet een

risiconiveau worden bepaald.

De impact/ernst van de risico’s hangt af van de context van de gegevensverwerkingen: de aard van de

persoonsgegevens, de aard van de gegevensverwerkingen en de verwerkingsdoeleinden waarvoor de

persoonsgegevens worden verwerkt.

De kans dat de risico’s zich voltrekken is onder andere afhankelijk van de middelen die de

verwerkingsverantwoordelijke gebruikt bij de gegevensverwerking en de aard van de persoonsgegevens.

Persoonsgegevens die de sleutel vormen voor toegang tot geldelijke middelen of waarmee een betrokkene te

chanteren is zijn aantrekkelijk voor hackers. Denk hierbij aan de inloggegevens voor DigiD of een datingwebsite.

De kans dat zich gevolgen voordoen voor de rechten en vrijheden van de betrokkenen kan ook verband houden met de

(mate van) beveiliging van de persoonsgegevens. De al dan niet opzettelijke:

• vernietiging en verlies (beschikbaarheid);

• wijziging (integriteit);

• ongeoorloofde toegang en verstrekking (vertrouwelijkheid);

van persoonsgegevens, kan leiden tot schade voor de betrokkene.207

Voor het inschatten van de risico’s kan het behulpzaam zijn om de betrokkenen of hun vertegenwoordigers te

raadplegen.

Big dataverwerkingen kunnen specifieke risico’s voor de betrokkene met zich brengen. Zo kan een algoritme een

correlatie ontdekken die weliswaar in statistische zin logisch is, maar die kan leiden tot vooroordelen en stereotypering,

discriminatie en sociale uitsluiting of anderszins impact heeft op de betrokkenen, bijvoorbeeld bij sollicitaties, het

aangaan van leningen en afsluiten van verzekeringen. Ook bestaat het risico dat de betrokkene onderworpen is aan big

data-besluitvorming die hij niet begrijpt en waar hij geen invloed op heeft.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Hoe wordt de schade, kans en impact van de risico’s ingeschat (zie Tabel 1)?

207 AVG overweging 83.

Invulinstructies Tabel 1

Samen met de bijvoorbeeld de proces- of systeemeigenaar worden de relevante bedreigingen in kaart gebracht. Het

betreft bedreigingen waardoor onrechtmatige toegang, ongewenste modificatie, verdwijning of zoekraken van

persoonsgegevens kan ontstaan. De bedreigingen kunnen in de vorm van incidenten worden verwoord.208 Voorbeelden

van incidenten zijn:

• Ongeautoriseerde toegang door onbevoegden (hackers/hosters).

• Ongeautoriseerde wijziging of verwijdering van gegevens (hacking).

• Onvoldoende toegangsbeperking tot apparatuur.

• Fouten in interne geheugens.

• Aftappen van gegevens.

• Onzorgvuldige vernietiging.

• Niet toepassen clear screen/clear desk.

• Oneigenlijk gebruik van autorisaties.

• Onvoldoende interne controle.

• Onvoldoende toetsing op richtlijnen.

• Et cetera.

Per incident wordt op een 3-puntenschaal (Laag, Midden, Hoog) aangegeven hoe groot de invloed ervan is op werking

van het informatiesysteem (de schade), en wat de kans is op het optreden van de betreffende bedreiging. Op basis van

Tabel 2 wordt bepaald wat het totale effect is (kans x schade). Er kunnen binnen de gemeente al risicoanalyses zijn

uitgevoerd, eventuele bedreigingen die hier zijn vastgesteld kunnen worden meegenomen.

9.3.1. Impact betrokkenen vaststellen

Definieer aanvaardbare risicowaarden en beoordeel of de risico’s aanvaardbaar zijn. Hiervoor dient de impact voor de

betrokkenen in Tabel 1 te worden ingevuld. Op basis van de berekening van de kans x schade en de impact voor de

betrokkenen wordt bepaald welke dreigingen het meest relevant worden geacht.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wat is de exacte impact van uitlekken van gegevens op betrokkenen?

o Heeft dit nadelige gevolgen voor de persoon?

o Is er kans op financiële schade?

o Is er kans op identiteitsdiefstal of -fraude?

208 Zie voor meer achtergrondinformatie m.b.t. incidenten en de koppeling met MAPGOOD, Bijlage B ‘Model om dreigingen in kaart te brengen’ uit het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD.

Risico Bedreiging209 (beschrijf het specifieke risico210)

Schade (L, M, H)

Kans (L, M, H)

Impact Impact voor de betrokkene (Detail)

Mitigerende maatregelen

Onrechtmatige toegang – interne medewerkers

Onrechtmatige toegang - externe medewerkers

Ongewenste modificatie - interne medewerkers

Ongewenste modificatie - externe medewerkers

Verdwijning of zoekraken van persoonsgegevens

Tabel 1 Risico-inschatting gegevensverwerking.

Tabel 2 wordt gebruikt om de impact van de bedreigingen vast te stellen. Deze wordt ingevuld in de kolom ‘impact’ van Tabel 1. Wanneer een bedreiging bijvoorbeeld een kans ‘midden’ heeft en de

potentiele schade ‘hoog’ is, dan wordt uit Tabel 2 afgeleid dat de totale uitkomst op ‘hoog’ uitkomt voor die specifieke bedreiging.

SCHADE

H M L

KA

NS

H HH H M

M H M L

L M L LL

Tabel 2 Bepalen impact bedreigingen

209 Zie voor mogelijke bedreigingen ook Bijlage B ‘Model om dreigingen in kaart te brengen’ uit het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD. 210 Hoe kan dit risico zich voordoen?

66

10. Beschrijf voorgenomen maatregelen

Risico's

In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin

altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen maatregelen die op de

gegevensverwerking betrekking hebben.

Geplande of bestaande maatregelen

In deze sectie kunt u maatregelen (bestaande of geplande) identificeren en toelichten die bijdragen aan

gegevensbeveiliging.

Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:

• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande

maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen

maatregelen die op de gegevensverwerking betrekking hebben.

• Geplande of bestaande maatregelen: In deze sectie kunt u maatregelen (bestaande of geplande) identificeren

en toelichten die bijdragen aan gegevensbeveiliging.

• Vraag DPIA-tool: Welke van de geïdentificeerde maatregelen dragen bij aan het mitigeren van het risico?

• Toelichting: Klik hier om de in de sectie ‘Geplande of bestaande maatregelen’ te selecteren die het risico

mitigeren.

De DPIA-tool biedt standaard onderstaande maatregelen aan waaruit geselecteerd kan worden, maar uiteraard

kunnen ook eigen maatregelen worden toegevoegd:

Beveiligingsmaatregelen uit de BIO:

6.1.2 Scheiding van taken

6.2.2 Telewerkbeleid

7.1.1 Screening personeel

7.1.2 Beveiliging in arbeidsvoorwaarden

8.2.1 Classificatie van informatie

8.2.2 Informatie labelen

8.2.3 Procedures voor behandelen van bedrijfsmiddelen

8.3.1 Beheer van verwijderbare media

8.3.2 Procedures voor verwijderen van media

8.3.3 Bescherming media bij fysiek overdragen

9.1.1 Beleid voor toegangsbeveiliging

9.1.2 Alleen bevoegde toegang tot netwerken en netwerkdiensten

9.2.1 Registratie en afmelden van gebruikers

9.2.2 Procedure voor toegang verlenen gebruikers

9.2.6 Toegangsrechten intrekken of aanpassen bij beëindigen werkzaamheden

9.3.1 Geheime authenticatie-informatie gebruiken

9.4.1 Beperking toegang tot informatie

9.4.2 Beveiligde inlogprocedures

9.4.3 Systeem voor wachtwoordbeheer

9.4.4 Maatregelen gebruik speciale systeemhulpmiddelen

9.4.5 Toegangsbeveiliging op programmabroncode

10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

10.1.2 Sleutelbeheer

11.1.1 Gebruik fysieke beveiligingszones

11.1.5 Werken in beveiligde gebieden

11.1.6 Beheersing Laad- en loslocaties

11.1.6 Beheersing Laad- en loslocaties

67

11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

11.2.7 Veilig verwijderen of hergebruiken van apparatuur

11.2.8 Bescherming onbeheerde gebruikersapparatuur

11.2.9 ‘Clear desk’- en ‘clear screen’-beleid

12.4.2 Beschermen van informatie in logbestanden

12.4.2 Beschermen van informatie in logbestanden

13.2.1 Beleid en procedures voor informatietransport

13.2.2 Overeenkomsten over informatietransport

13.2.3 Bescherming elektronische berichten

13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst

14.1.2 Toepassingen op openbare netwerken beveiligen

14.1.3 Transacties van toepassingen beschermen

18.1.4 Borging van privacy en bescherming van persoonsgegevens

18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

Logische beveiligingsmaatregelen:

• Anonimisering

• Pseudonimisering

• Archiveren

• Minimaliseren van de hoeveelheid persoonsgegevens

Fysieke beveiligingsmaatregelen:

• Onderhoud

Organisatorische maatregelen:

• <geen>

Voor de verwerkingsactiviteiten die onder deze DPIA vallen, moeten de maatregelen om de geïdentificeerde risico's te

mitigeren worden bepaald. Deze maatregelen moeten waarborgen bieden dat de bescherming van persoonsgegevens

worden gegarandeerd en aantonen dat aan de AVG wordt voldaan.211 Hierbij dienen de rechten en gerechtvaardigde

belangen van de betrokkenen en andere personen in kwestie in acht worden genomen.

In dit hoofdstuk wordt bekeken welke maatregelen kunnen worden getroffen om de in hoofdstuk 9 ‘Beschrijf risico’s’

erkende risico’s te voorkomen of te verminderen. In de huidige versie van de DPIA-tool zijn de algemene

beveiligingsmaatregelen vervangen door makkelijk te selecteren BIO-maatregelen. Welke maatregelen in redelijkheid

worden getroffen is een belangenafweging van de verwerkingsverantwoordelijke en mogelijk ook de wetgever. Voor dit

onderdeel van de DPIA is expertise over informatiebeveiliging belangrijk en met name als het gaat om

beveiligingsmaatregelen.

Beoordeel welke technische, organisatorische en juridische maatregelen in redelijkheid kunnen worden genomen om

de risico’s die Tabel 1 zijn beschreven te voorkomen of te verminderen. Als een (diepgaande) risicoanalyse door het

informatiebeveiligingsteam is uitgevoerd, dan kan worden gekeken welke veiligheidsmaatregelen hieruit naar voren zijn

gekomen om de onderkende risico’s te mitigeren. Beschrijf welke maatregel welk risico aanpakt en wat het restrisico is

na het implementeren van de maatregel. Als de maatregel het risico niet volledig afdekt, motiveer waarom het

restrisico acceptabel is.

Denk bij maatregelen bijvoorbeeld aan: het extra informeren van de betrokkenen, een extra keuze-, inspraak- of

bezwaarmogelijkheid voor de betrokkenen, periodieke controles, toezicht verstevigen, verhogen bewustwording en

dataminimalisatie.

211 AVG artikel 35, lid 7, onder d en AVG overweging 90.

68

Daarnaast kunnen de maatregelen ook beveiligingsmaatregelen omvatten. De AVG gaat uit van het feit dat

persoonsgegevens door het nemen van passende technische en organisatorische maatregelen op een dusdanige

manier wordt verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen

ongeoorloofde of onrechtmatige gegevensverwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.212

De verwerkingsverantwoordelijk moet passende technische en organisatorische maatregelen treffen om een op het

risico afgestemd beveiligingsniveau te waarborgen.213 In het begrip passend ligt besloten dat de beveiliging in

overeenstemming is met de stand van de techniek. Het begrip passend duidt onder andere op een proportionaliteit

tussen de maatregelen en erkende privacyrisico’s. Naarmate de risico’s groter zijn, worden zwaardere eisen gesteld aan

de beveiliging van de persoonsgegevens. Er is geen verplichting om altijd de zwaarste beveiliging te nemen. Enkel is

vereist dat de maatregelen met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn.214 Deze

maatregelen moeten het risico tot een aanvaardbaar niveau brengen. Beveiligingsrisico’s volledig reduceren is niet

mogelijk. Dit betekent dat er altijd een restrisico zal overblijven. De verwerkingsverantwoordelijke dient te beschrijven

hoe hij tot dit restrisico is gekomen en waarom dit aanvaardbaar wordt geacht.

Een passend beveiligingsniveau veronderstelt dat gewerkt wordt met een planning- en controlcyclus (plan-do-check-

act) aan de hand waarvan kan worden beoordeeld of de beveiliging steeds adequaat is voor de huidige stand van de

techniek en de organisatie.

Voor te treffen maatregelen kan worden aangehaakt bij beveiligingskaders en -standaarden, best practices en

goedgekeurde gedragscodes en certificeringsmechanismen. Ter illustratie noemt de AVG de volgende maatregelen:

a. pseudonimiseren en versleutelen van persoonsgegevens;

b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de

verwerkingssystemen en diensten te garanderen;

c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de

persoonsgegevens tijdig te herstellen;

d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de

technische en organisatorische maatregelen ter beveiliging van de gegevensverwerking.215

Daarnaast kan worden gedacht aan de volgende maatregelen, onder andere bedoeld om ervoor te zorgen dat

persoonsgegevens, gelet op de verwerkingsdoeleinden waarvoor ze worden verwerkt, juist en nauwkeurig zijn216:

• fysieke maatregelen voor toegangsbeveiliging217 en logische toegangscontrole218;

• opslag van gegevens in een kluis;

• project-, risico-219 en incidentenmanagement220;

• data opsplitsen;

• dataminimalisatie;

• back-ups; 221

• integriteitscontroles;

• multifactor-authenticatie;

• monitoring en logging; 222

• controle van toegekende bevoegdheden; 223

• privacybewustzijn-224 en beveiligingstrainingen;

212 AVG artikel 5, eerste lid, aanhef en onder f. 213 AVG artikel 32. 214 AVG overwegingen 83 en 94. 215 AVG artikel 32, eerste lid. 216 AVG artikel 5, eerste lid, onder d. 217 Zie hiervoor het operationele BIO document ‘Handreiking Toegangsbeleid BIO’ van de IBD. 218 Zie hiervoor het operationele BIO document ’Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 219 Zie hiervoor het operationele BIO document ‘Handreiking Diepgaande Risicoanalyse Methode Gemeenten’ van de IBD. 220 Zie hiervoor het operationele BIO document ’Voorbeeld Incidentmanagement en response beleid BIO’ van de IBD. 221 Zie hiervoor het operationele BIO document ’Handreiking Back-up en recovery gemeente BIO’ van de IBD. 222 Zie hiervoor het operationele BIO document ’Handreiking Aanwijzing Logging BIO’ van de IBD. 223 Zie hiervoor het operationele BIO document ’Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 224 Zie hiervoor het operationele BIO document ’Presentatie Bewustwording Informatieveiligheid bij gemeenten’ van de IBD.

69

• managementrapportages over risicobeheer;

• beperken inzageniveau;

• periodiek een audit of hack- of penetratietest225 uitvoeren;

• richtlijnen inzake gebruik ICT-hulpmiddelen, zoals versleutelde USB-sticks en beveiligde opslagplekken; 226

• responsible-disclosurebeleid; 227

• geheimhoudingsverklaringen; 228

• service level agreements (met boeteclausules); 229

• verwerkersovereenkomsten; 230

• screening personeel en VOG-verklaring.231

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Per risico dient te worden aangeven welke maatregelen worden genomen om de gegevens te beschermen (zie

Tabel 1).

• Bij het bepalen van de maatregelen dient ook rekening gehouden te worden met maatregelen die voortvloeien uit

de Baseline Informatiebeveiliging Overheid (BIO)232.

• Zijn er nog aanvullende organisatorische maatregelen die worden genomen?

• Zijn er nog aanvullende technische maatregelen die worden genomen?

• Wordt gemotiveerd als de maatregel het risico niet volledig afdekt, waarom het restrisico acceptabel is?

• Wordt voor de getroffen maatregelen aangehaakt bij beveiligingskaders en -standaarden, best practices en

goedgekeurde gedragscodes en certificeringsmechanismen? Zo ja, welke zijn dit?

• Wordt gewerkt met een planning & controlcyclus (plan-do-check-act) om een passend beveiligingsniveau te

realiseren?

• Is het duidelijk wie na afloop van het project verantwoordelijk is voor het in stand houden en evalueren van de

getroffen maatregelen? Zo ja, wie is dit?

10.1. Maatregelen die bijdragen aan de rechten van de betrokkenen Beschrijf specifiek hoe de rechten van de betrokkene worden beschermd. Noteer of verwijs naar de toestemmings- en

de privacyverklaring als gebruikt (bestaand of nieuw). Registreer en accepteer tot slot alle resterende risico's die niet

zijn gemitigeerd.

Bepaal voor elk risico de mogelijke oorsprong, de aard, het specifieke karakter en de ernst van het risico, vanuit het

perspectief van de betrokkene. Identificeer de mogelijke gevolgen voor de rechten en vrijheden van de betrokkene.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Wordt verwezen naar toestemmings- en de privacyverklaring? Zo ja, welke zijn dat?

• Worden alle resterende risico's die niet zijn gemitigeerd beschreven?

225 Zie hiervoor het operationele BIO document ’Handreiking penetratietesten BIO’ van de IBD. 226 Zie hiervoor het operationele BIO document ’Handreiking Mobiele gegevensdragers BIO’ van de IBD. 227 Zie hiervoor het operationele BIO document ’Handreiking Responsible disclosure BIO’ van de IBD. 228 Zie hiervoor het operationele BIO document ’Handreiking Geheimhoudingsverklaringen BIO’ van de IBD. 229 Zie hiervoor het operationele BIO documenten ’Handreiking Service Level Agreement (SLA) BIO’ en ‘Voorbeeld Service Level Agreement (SLA) met aandacht voor informatiebeveiliging’ van de IBD. 230 Zie hiervoor het operationele BIO document ‘Handreiking Standaard Verwerkersovereenkomst Gemeenten (VWO)’ en het factsheet ‘Verwerkersovereenkomsten’ van de IBD. 231 Zie hiervoor het operationele BIO document ’Handreiking Personeelsbeleid gemeente BIO’ van de IBD. 232 Zie https://zoek.officielebekendmakingen.nl/stcrt-2019-26526.html

70

10.2. Maatregelen die bijdragen aan veilig gebruik Big Data Bij Big data-analyses (paragraaf 6.3.3. ‘

71

Big data’) waarbij persoonsgegevens worden verwerkt, dient, gelet op de daarmee gepaard gaande risico’s, in het

bijzonder aandacht te worden besteed aan het treffen van de volgende maatregelen.

• Zorg ervoor dat naarmate de mogelijkheden van patroonherkenning bij de toepassing van big data minder zijn, een

goede validatie door experts op het desbetreffende vakgebied plaatsvindt om het risico van foutieve uitkomsten

zoveel mogelijk te reduceren.

• Zorg ervoor dat de data zoveel als met een redelijke inspanning mogelijk is, up-to-date zijn, de te gebruiken

datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te gebruiken algoritmen en analysemethoden

deugdelijk zijn.

• Bepaal, rekening houdend met de potentiële impact van de toepassing, de foutmarge die bij de toepassing mag

optreden.

• Zorg ervoor dat nuttige informatie aan betrokkenen wordt verschaft over de gebruikte logica achter de analyse en

dat voor toezicht en rechterlijke toetsing voldoende inzicht kan worden gegeven in gebruikte algoritmen en

analysemethoden.233

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Bij de toepassing van de uitkomsten van big data-analyses dient aandacht te worden besteed aan het treffen van

de volgende maatregelen.

o Zorg voor menselijke tussenkomst in het proces van geautomatiseerde besluitvorming.234

o Naarmate de potentiële negatieve impact voor de betrokkene groter wordt, neemt de noodzaak voor een

goede validatie en een weging van de uitkomsten navenant toe.

10.3. Maatregelen die bijdragen aan evenredigheid en noodzaak gegevensverwerking Zie hiervoor paragraaf 7.3 ‘Beschrijf noodzaak en evenredigheid’.

233 Kamerstukken II 2016/17, 26 643, nr. 426, p. 7-10 (https://zoek.officielebekendmakingen.nl/kst-26643-426.pdf). 234 AVG artikel 22.

72

11. Belanghebbenden

Validatie

In dit gedeelte kunt u de PIA-validatie voorbereiden en formaliseren.

Meningen van FG en betrokkenen

Presenteer het advies van de persoon die verantwoordelijk is voor gegevensbescherming en privacy (functionaris

gegevensbescherming indien aanwezig). Presenteer de standpunten van de betrokkenen of hun vertegenwoordigers.

Mening FG:

• De gegevensverwerking zou kunnen worden geïmplementeerd.

Geef de redenen voor uw keuze

• De gegevensverwerking mag niet worden geïmplementeerd.

Geef de redenen voor uw keuze

• Mening van betrokkenen werd gevraagd.

o De behandeling zou kunnen worden geïmplementeerd.

o De behandeling mag niet worden gebruikt.

Geef de redenen voor uw keuze.

• Mening van betrokkenen werd niet gevraagd.

Mening betrokkenen:

• Mening van betrokkenen werd gevraagd.

o De gegevensverwerking zou kunnen worden geïmplementeerd.

o De gegevensverwerking mag niet worden geïmplementeerd.

Beschrijf hoe de meningen zijn verzameld en wat de analyse is. Als de meningen niet zijn opgevraagd, vermeld

dan de redenen.

• Mening van betrokkenen werd niet gevraagd.

Geef de reden waarom de mening van de betrokkenen niet is gevraagd.

In dit hoofdstuk dient informatie te worden verstrekt over hoe rekening is gehouden met de opvattingen van de

belanghebbenden. Bijvoorbeeld door een opsomming te geven van onderzoeken of raadplegingen die hebben

plaatsgevonden die verband houden met het gegevensverwerkingsvoorstel.

11.1. Advies van de functionaris voor gegevensbescherming De verwerkingsverantwoordelijke wint bij het uitvoeren van een DPIA het advies in van de FG als deze door de

gemeente is aangewezen.235 Werd de FG geraadpleegd tijdens het opstellen van het gegevensverwerkingsvoorstel en

welke richtlijnen werden door hem versterkt. Geef hier een opsomming van alle belangrijke punten.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Als een FG is benoemd, is het verplicht om deze FG om advies te vragen. Leg het advies van de FG vast. Beschrijf

minimaal, de volgende gegevens:

o Naam FG.

o Datum advies.

o De FG dient onderstaande vragen zo compleet mogelijk te beantwoorden:

▪ Zijn de gegevensverwerking en verwerkingsdoeleinden duidelijk omschreven?

▪ Is de gegevensverwerking van de persoonsgegevens noodzakelijk of proportioneel voor de

verwerkingsdoeleinden?

▪ Zijn de privacyrisico’s voldoende in kaart gebracht? Welke risico’s ontbreken nog?

235 AVG artikel 35, lid 2.

73

11.2. De mening van betrokkenen of hun vertegenwoordigers De verwerkingsverantwoordelijke vraagt de betrokkenen of hun vertegenwoordigers naar hun mening over de

voorgenomen gegevensverwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging

van gegevensverwerkingen.236 Denk hierbij aan:

• Enig onderzoek uitgevoerd door een organisatie om de standpunten van de betrokkenen of hun

vertegenwoordigers vast te leggen. Heeft er bijvoorbeeld een onderzoek plaatsgevonden dat inzicht geeft in het

gegevensverwerkingsvoorstel?

• Onderzoek of raadplegingen door derden om de standpunten van de betrokkenen of hun vertegenwoordigers vast

te leggen

• Alle discussiedocumenten die zijn gepubliceerd of die zullen worden gepubliceerd, bijvoorbeeld door sectorale

regelgevers.

Beschrijf de uitkomsten/bevindingen van een van bovenstaande en vermeld een link naar de informatie. Leg de

redenen vast als tegen de mening van de betrokkenen of hun vertegenwoordigers in wordt gegaan.

Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:

• Is voor deze DPIA gesproken met betrokkenen of vertegenwoordigers? Zo ja, welke reactie hebben zij gegeven en

hoe is deze reactie verwerkt?

• Leg de redenen vast als tegen de mening van de betrokkenen of hun vertegenwoordigers in wordt gegaan.

11.3. Voorafgaande raadpleging Wanneer uit een DPIA volgens de AVG237 blijkt dat de gegevensverwerking een hoog risico zou opleveren als de

verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de

verwerkingsverantwoordelijke voorafgaand aan de gegevensverwerking de AP.238

11.4. Redenen voor het niet uitvoeren van onderzoek Geef aan waarom in dit geval besloten is om geen onderzoek te doen of te verwijzen naar bestaand onderzoek. Dat wil

zeggen waarom het niet passend werd geacht.

236 AVG artikel 35, lid 9. 237 Zie hiervoor AVG artikel 35. 238 AVG artikel 36.

74

Bijlage 1: Naslag: tekst uit AVG, UAVG en MVT bij UAVG

Algemene verordening gegevensbescherming (AVG)239

Afdeling 3 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Artikel 35 Gegevensbeschermingseffectbeoordeling

1 Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt,

gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de

rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een

beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.

2 Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij

het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.

3 Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:

a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is

gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd

waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op

vergelijkbare wijze wezenlijk treffen;

b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of

van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10;

of

c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

4 De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een

gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De

toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.

5 De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor

geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan

het Comité.

6 Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het

aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende

lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen

beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in

artikel 63 bedoelde coherentiemechanisme toe.

7 De beoordeling bevat ten minste:

a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in

voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden

behartigd;

b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de

doeleinden;

c) een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en

d) de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en

mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze

verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen

en andere personen in kwestie.

8 Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte

verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de

in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

239 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

75

9 De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar

hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of

algemene belangen of de beveiliging van verwerkingen.

10 Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het

recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel

van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene

effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een

gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de

lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

11 Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking

overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is

van een verandering van het risico dat de verwerkingen inhouden.

Overwegingen 84 en 89 - 93

(84) Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met

hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke

of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met

name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de

beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden

genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd. Wanneer

een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de

verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en

de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats

te vinden.

(89) Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de

toezichthoudende autoriteiten te melden. Die verplichting leidt tot administratieve en financiële lasten, maar heeft niet

in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Die ongedifferentieerde algemene

kennisgevingsverplichtingen moeten derhalve worden afgeschaft en worden vervangen door doeltreffende procedures

en mechanismen die gericht zijn op de soorten verwerkingen die naar hun aard, reikwijdte, context en doeleinden

waarschijnlijk grote risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengen. Dergelijke

verwerkingen kunnen die zijn waarbij met name wordt gebruikgemaakt van nieuwe technologieën, of die welke van

een nieuw type zijn en waarbij er vooraf geen gegevensbeschermingseffectbeoordeling is verricht door de

verwerkingsverantwoordelijke, of wanneer zij noodzakelijk worden gelet op de tijd die sinds de aanvankelijke

verwerking is verstreken.

(90) In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een

gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de grote

risico’s te beoordelen, rekening houdend met de aard, omvang, context en doelen van de verwerking en de bronnen

van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen

en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze

verordening is voldaan.

(91) Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een

aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal

betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met

zich kunnen brengen, wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op

grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en vrijheden van

de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker

kunnen uitoefenen.

76

Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden

verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een

systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de

profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische

gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende

veiligheidsmaatregelen. Een gegevensbeschermingseffectbeoordeling is tevens nodig voor de grootschalige bewaking

van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur wordt gebruikt, of voor alle

andere verwerkingen wanneer de bevoegde toezichthoudende autoriteit oordeelt dat zij waarschijnlijk een groot risico

inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze

verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, of

omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens mag

niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van

patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag

een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld.

(92) Onder bepaalde omstandigheden kan het redelijk en nuttig zijn dat de gegevensbeschermingseffectbeoordeling

zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -organen een gemeenschappelijk

applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere verwerkingsverantwoordelijken van plan zijn

een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment

daarvan, of voor een gangbare horizontale activiteit.

(93) In het kader van de vaststelling van het lidstatelijke recht waarop de vervulling van de taken van de

overheidsinstantie of het overheidsorgaan is gebaseerd, en waarin de specifieke verwerking of reeks verwerkingen

wordt geregeld, kunnen de lidstaten het noodzakelijk achten een dergelijke beoordeling uit te voeren voordat met de

verwerking wordt begonnen.

Memorie van toelichting Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)240

5.2.6 Gegevensbeschermingseffectbeoordeling

Afdeling 3 van hoofdstuk IV van de verordening gaat over de gegevensbeschermingseffectbeoordeling (ook bekend

onder de Engelse term privacy impact assessment, afgekort PIA, of data protection impact assessment, afgekort DPIA)

en voorafgaande raadpleging van de toezichthoudende autoriteit. Deze bepalingen zijn nieuw ten opzichte van de

bestaande regelgeving, maar niet geheel onbekend: sinds 1 september 2013 is het uitvoeren van een PIA bij

ontwikkeling van nieuwe wetgeving en systemen die zien op de verwerking van persoonsgegevens verplicht voor de

rijksoverheid.241 Recent heeft het kabinet een aangepast model PIA Rijksdienst vastgesteld, dat rekening houdt met de

AVG.242

De PIA zal onder de verordening echter gelden als een verplichting die geldt voor zowel de rijksoverheid, de decentrale

overheden als voor het bedrijfsleven.

Artikel 35, eerste lid, van de verordening bepaalt wanneer een PIA noodzakelijk is, namelijk wanneer een verwerking, in

het bijzonder als nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden

daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Het derde lid

geeft een nadere specificatie van deze norm door een drietal situaties te benoemen waarin een PIA in elk geval is

voorgeschreven:

a) bij systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen met het oog op

het nemen van besluiten gebaseerd op geautomatiseerde verwerkingen, waaronder profilering;

b) bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende

strafrechtelijke veroordelingen of strafrechtelijke feiten;

c) bij stelselmatige en grootschalige bewaking van openbaar toegankelijke ruimten.

240 https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/memorie-van-toelichting-uitvoeringswet-algemene-verordening-gegevensbescherming 241 Kamerstukken II 2012/13, 26 643, nr. 282 en bijlage. 242 Kamerstukken II 2017/18, 26 643, nr. 490 (brief van 29 september 2017).

77

Het blijft evenwel een abstracte normstelling, die in belangrijke mate door de verwerkingsverantwoordelijke zelf

geïnterpreteerd zal moeten worden. De toezichthoudende autoriteit zal, op grond van het vierde lid, in ieder geval een

lijst openbaar maken van het soort verwerkingen waarvoor een PIA noodzakelijk is. Op grond van het vijfde lid kan de

toezichthoudende autoriteit ook een lijst opstellen van het soort verwerkingen waarvoor geen PIA vereist is. Voor de

rijksoverheid is aandacht besteed aan de vraag wanneer een PIA is vereist in het aangepaste model PIA Rijksdienst.

Daarvoor geldt dat niet alleen voor voorgenomen verwerkingen die waarschijnlijk een hoog risico inhouden voor de

rechten en vrijheden van betrokkenen een PIA vereist is (conform de eis in de verordening), maar dat ook een PIA moet

worden uitgevoerd bij de ontwikkeling van beleid en regelgeving die betrekking hebben op verwerkingen van

persoonsgegevens of waaruit verwerkingen van persoonsgegevens voortvloeien. Het opstellen van een PIA is dus een

standaard onderdeel bij de voorbereiding van dergelijke wet- en regelgeving, waaronder ook algemene maatregelen

van bestuur.

Het zevende lid benoemt de inhoudelijke aspecten die in een PIA aan de orde moeten komen. Het gaat hier om zaken

als een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, een inschatting van de

risico’s en beoogde maatregelen om het risico te reduceren. Op grond van het negende lid mogen ook betrokkenen of

hun vertegenwoordigers worden gevraagd naar hun mening.

78

Bijlage 2: Criteria DPIA

De WP29 stelt de volgende criteria voor die verwerkingsverantwoordelijken kunnen gebruiken om te beoordelen of een

DPIA, of een methode voor het uitvoeren van een DPIA, volledig genoeg is om aan de AVG te voldoen:243

• er wordt een systematische beschrijving van de verwerking verstrekt (artikel 35, lid 7, onder a)):

o er wordt rekening gehouden met de aard, omvang, context en doelen van de verwerking (overweging 90);

o de persoonsgegevens, de ontvangers en de periode gedurende welke de persoonsgegevens worden bewaard

worden geregistreerd;

o er wordt een functionele beschrijving van de verwerking verstrekt;

o de activa waarop persoonsgegevens steunen (hardware, software, netwerken, mensen, papier of

papiertransmissiekanalen) worden geïdentificeerd;

o er wordt rekening gehouden met de naleving van de goedgekeurde gedragscodes (artikel 35, lid 8);

• de noodzaak en evenredigheid worden beoordeeld (artikel 35, lid 7, onder b)):

o de beoogde maatregelen om aan de verordening te voldoen worden bepaald (artikel 35, lid 7, onder d), en

overweging 90), waarbij rekening wordt gehouden met:

▪ maatregelen die bijdragen aan de evenredigheid en noodzaak van de verwerking op basis van:

- een of meer gespecificeerde, expliciete en legitieme verwerkingsdoeleinden (artikel 5, lid 1, onder

b));

- rechtmatigheid van de verwerking (artikel 6);

- toereikend, ter zake dienend en beperkt tot wat noodzakelijke gegevens zijn (artikel 5, lid 1, onder

c));

- beperkte bewaartermijn (artikel 5, lid 1, onder e));

▪ maatregelen die bijdragen aan de rechten van de betrokkenen:

- informatie verstrekt aan de betrokkene (artikelen 12, 13 en 14);

- recht van inzage en recht op overdraagbaarheid van gegevens (artikelen 15 en 20);

- recht op rectificatie en recht op gegevenswissing (artikelen 16, 17 en 19);

- recht van bezwaar en recht op beperking van de verwerking (artikelen 18, 19 en 21);

- relaties met verwerkers (artikel 28);

- waarborgen omtrent internationale doorgifte(n) (hoofdstuk V);

- voorafgaande raadpleging (artikel 36).

• de risico's voor de rechten en vrijheden van betrokkenen worden beheerd (artikel 35, lid 7, onder c)):

o er wordt rekening gehouden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's

(zie overweging 84) of, meer specifiek, voor elk risico (onrechtmatige toegang, ongewenste wijziging en

verdwijning van gegevens) vanuit het perspectief van de betrokkenen:

▪ er wordt rekening gehouden met de bronnen van de risico's (overweging 90);

▪ de mogelijke gevolgen voor de rechten en vrijheden van de betrokkenen worden geïdentificeerd in geval

van gebeurtenissen zoals onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens;

▪ bedreigingen die kunnen leiden tot onrechtmatige toegang, ongewenste wijziging en de verdwijning van

gegevens worden geïdentificeerd;

▪ de waarschijnlijkheid en ernst worden ingeschat (overweging 90);

o de beoogde maatregelen om de risico's aan te pakken worden bepaald (artikel 35, lid 7, onder d), en

overweging 90);

• de belanghebbenden worden betrokken:

o het advies van de functionaris voor gegevensbescherming wordt ingewonnen (artikel 35, lid 2);

o indien nodig wordt de betrokkenen of hun vertegenwoordigers naar hun mening gevraagd (artikel 35, lid 9).

243 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf

79

Bijlage 3: Bronnen

De gebruikte bronnen zijn:

1. Website van de Autoriteit Persoonsgegevens244

2. Website van de Informatiebeveiligingsdienst voor gemeenten (IBD)245

3. De (oude) PIA-vragenlijst van de IBD die uitgevoerd diende te worden onder de Wet bescherming

persoonsgegevens (Wbp)246.

4. Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)247

Versie: 1.0 September 2017

5. Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een

hoog risico inhoudt" in de zin van Verordening 2016/679248

Vastgesteld op 4 oktober 201

6. Handleiding Algemene verordening gegevensbescherming249

Publicatiedatum januari 2018 (versie 108130)

7. Documentatie van de DPIA-tool250

Opgesteld door de Commission Nationale de l'Informatique et des Libertés (CLIN) de Franse

privacytoezichthouder.

244 https://autoriteitpersoonsgegevens.nl/nl 245 https://www.informatiebeveiligingsdienst.nl/ 246 http://wetten.overheid.nl/BWBR0011468/ 247 https://www.rijksoverheid.nl/documenten/rapporten/2017/09/29/model-gegevensbeschermingseffectbeoordeling-rijksdienst-pia 248 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf 249 https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming 250 https://www.cnil.fr/en/privacy-impact-assessment-pia

80

Kijk voor meer informatie op:

www.informatiebeveiligingsdienst.nl

Nassaulaan 12

2514 JS Den Haag

CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)

CERT 24x7: Piketnummer (instructies via voicemail)

info@IBDGemeenten.nl / incident@IBDGemeenten.nl