Quality Centre Nederland

Quality Centre Nederland QCN (Quality Centre Nederland) is een organisatie van tijdelijke managers die, sinds 1991, voor de overheid werkzaam zijn.

QCN (Quality Centre Nederland) heeft sinds de start in op 01 oktober 1991, als organisatie van tijdelijke managers, een zeer brede ervaring binnen de overheid met volgende specialistische kennis:

Integrale en informatie veiligheid (BIG, BIR, BiWa, IBI, ISO27K, etc)
Samenwerking / Herindeling / Fusie van organisaties
Arbeidsbemiddeling (van o.a. boventalligen)
Bedrijfsvoering (en alle onderdelen daarvan)
We hebben meer dan 30 jaar ervaring binnen diverse (semi) overheden

MARCO KROON:Gistermiddag heb ik samen met een aantal oudgedienden een werkelijk schitterende presentatie van ons officie...
10/12/2023

MARCO KROON:
Gistermiddag heb ik samen met een aantal oudgedienden een werkelijk schitterende presentatie van ons officier in de Nederlandse Willemsorde Marco Kroon in Bronbeek (Arnhem) gekregen. Hij heeft daar heel openlijk alles verteld over zijn missie in Uruzgan. Hij heeft ook beelden en een paar filmpjes laten zien die ronduit schokkend waren.
Naar de mening van alle veertig aanwezigen was het verhaal van Marco openhartig, eerlijk en waarheidsgetrouw. De verhalen werden vaak bevestigd door zijn advocaten aan te halen. Ook het verhaal over zijn martelingen en verkrachting heeft hij zeer openlijk verteld evenals de verhalen over het “wildplassen” etc.
Het was, althans voor mij, een verhaal om nooit te vergeten, daarnaast heeft het ook mij geholpen om nare ervaringen uit het verleden beter te verwerken.
Na zijn presentatie en het verhaal wat erbij hoort, ben ik nog diepen onder de indruk van hetgeen onze officier in de Nederlandse Willemsorde Marco Kroon gedaan heeft, maar ook wat hij allemaal heeft doorgemaakt en zeker ook via de Nederlandse pers die hem regelrecht de grond heeft ingestampt. SCHANDE voor ons “beroemde” Nederlandse pers !

19/06/2020

Zeker in deze tijd, de tijd van de Corona, waarin we alles moeten delen, is onze privacy en veiligheid van het grootste belang. Geef dus nooit informatie aan anderen / derden waarvan u kunt denken dat dat uw privacy zou kunnen schaden.
Ook als u denkt: ik heb niets te verbergen, denk dan eens goed na of u echt ALLES in de openbaarheid zou willen brengen

De apps versus het Coronavirus contra de PrivacyDe overheid wil ons doen geloven dat er geen persoonsgegevens worden opg...
08/04/2020

De apps versus het Coronavirus contra de Privacy

De overheid wil ons doen geloven dat er geen persoonsgegevens worden opgeslagen vanuit de app, maar niemand geeft ons (de burger) de garantie / zekerheid dat dit ook daadwerkelijk niet gebeurt. Joost Schellevis (NOS Tech redacteur) geeft weliswaar aan dat er “mogelijkheden” zijn om alles “privacy-vriendelijk” op te slaan, maar ook hij weet niet of dat ook gaat gebeuren.
Wat mij betreft zeg ik: zolang deze app niet wettelijk bij ons wordt afgedwongen is het zeer verstandig om deze app of apps niet te installeren en te gebruiken.
het simpele advies blijft dus: blijf binnen en als je toch naar buiten wil hou dan goede afstand van de ander en spreek hem/haar er op aan als de afstand niet gerespecteerd wordt !

Minister De Jonge maakte vanavond bekend dat het kabinet apps wil inzetten om de verspreiding van het coronavirus tegen te gaan.

02/04/2020

Denk in deze bijzondere tijden zeker ook aan uw privacy én daarnaast:
Klik niet zomaar op elke link die u in uw mail of op internet ziet. Dit kan u veel geld kosten !!

12/08/2019

De bewustwording en betrokkenheid zijn de twee eerste en de meest belangrijke zaken bij zowel de BIO (informatieveiligheid) als de AVG (privacy wetgeving). Ook zijn mensen vaak bang om fouten te maken of om regels te overtreden, waardoor (in hun gedachten) de organisatie een (forse) boete zou kunnen krijgen. Voor workshops zie ook onze Website

15/07/2019

De AVG en de risico’s

Welke risico’s lopen overheden?? De tijd van afwachten is helaas voorbij. Waar het lange tijd stil leek te zijn bij de autoriteit, zien we nu binnen Europa een actievere handhaving. De afgelopen maanden zijn er steeds meer overtreders van de privacywet die een boete ontvangen. Ook zien we dat kleinere organisaties niet worden ontzien. Maar wat is relevant voor (kleinere) overheden) in Nederland en wat kunt u doen om een AVG-boete te voorkomen?
Schadevergoedingen
De eerste schadevergoeding in Nederland is een feit. De rechtbank van Overijssel heeft in juni 2019 een schadevergoeding toegekend aan een particulier, omdat een organisatie zijn privacyrechten heeft geschonden.

"Dit belooft wat voor de toekomst. Ik denk dat er nog heel veel van dit soort zaken komen, als je de AVG leest zoals deze is bedoeld.’’ Liet een rechtsbijstandverlener aan ons weten.
Ook kleine bedrijven lopen risico
Uiteraard liggen grote organisaties met veel relaties en medewerkers, eerder onder de loep. Echter zien we dat burgers zich steeds bewuster zijn van hun privacy rechten. Zo kreeg in Frankrijk een klein bedrijf, met slechts negen werknemers, afgelopen week een AVG-boete van 20.000 euro voor het onterecht filmen van zijn werknemers. Groot of klein, iedere organisatie moet voldoen aan de AVG wet.

Als u dat wilt kunnen wij u daadwerkelijk helpen en er samen voor zorgen dat u geen AVG boete zult krijgen, daarnaast kunnen we u helpen om ook een betaling tot schadevergoeding te voorkomen. Ook bij een datalek kunnen we u van dienst zijn. Het gaat dan niet alleen om een boete, maar ook om schade voor uw imago.
Vragen als:
• Hoe zorg ik er voor dat mijn organisatie snel kan handelen bij een datalek?
• Mijn organisatie heeft een datalek, hoe krijg ik overzicht op de situatie?
• Hoe kan ik als organisatie de schadelijke gevolgen van een datalek beperken?

Neem contact op met uw adviseur/consultant en ga in gesprek. Het gesprek kost u niets.

Persoonsgegevens en de regels voor het gebruik ervanDeze keer besteden we weer aandacht aan de Algemene Verordening Gege...
16/06/2019

Persoonsgegevens en de regels voor het gebruik ervan
Deze keer besteden we weer aandacht aan de Algemene Verordening Gegevensbescherming AVG, daar zijn nog veel misverstanden over. Velen zijn er ook bang voor, door de boetes en dergelijke. Ons moet van het hart dat als u vroeger goed omging met de Wet Bescherming Persoonsgegeven u niet bang hoeft te zijn voor de AVG. De AVG is vrijwel het zelfde als de WBp, alleen wat meer aangescherpt. Belangrijk is echter wel dat de bewustwording voldoende is, u moet weten wat u waarom doet én of u het er ook mee eens bent.
Waar gaat het over
Er liggen veel gegevens van burgers bij de gemeente. Vaak zijn burgers ook verplicht om hun persoonsgegevens aan de gemeente af te geven. Daarom moet iedereen erop kunnen vertrouwen dat gemeenten zorgvuldig met deze gegevens omgaan.
Er zijn 3 wetten die bepalen hoe gemeenten persoonsgegevens mogen gebruiken. Dit zijn de Algemene verordening gegevensbescherming AVG, de Uitvoeringswet AVG (UAVG) en de Wet basisregistratie personen (Wet BRP). De Autoriteit Persoonsgegevens houdt in de gaten of gemeenten zich aan deze wetten houden.
Bij de uitvoering van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdwet verzamelen gemeenten meer persoonsgegevens van mensen dan noodzakelijk voor hun zorgvraag. Dit is in strijd met de privacywetgeving. De Autoriteit Persoonsgegevens (AP) onderzocht de manier waarop twee gemeenten persoonsgegevens verwerken in een zelfredzaamheidsmatrix (ZRM). Voorzitter Aleid Wolfsen: “Het gaat hier om persoonsgegevens van kwetsbare mensen. Het is belangrijk dat gemeenten hier zorgvuldig mee omgaan. Goede zorg en een zorgvuldige omgang met persoonsgegevens zijn onlosmakelijk met elkaar verbonden. Alle gemeenten die een ZRM gebruiken, moeten hun werkwijze hierop aanpassen.”
De ZRM is een instrument waarmee wordt gemeten hoe zelfredzaam mensen zijn. De matrix wordt in veel gemeenten als leidraad gebruikt bij contacten met burgers, zoals tijdens de zogeheten keukentafelgesprekken. Met een ZRM worden persoonsgegevens verzameld op een groot aantal domeinen, zoals lichamelijke en psychische gezondheid, financiën en justitie.
Gebruik zelfredzaamheidsmatrix
In de Wet bescherming persoonsgegevens is vastgelegd dat er niet meer persoonsgegevens mogen worden verzameld dan noodzakelijk voor het doel. Uit het onderzoek van de AP blijkt dat met een ZRM ook persoonsgegevens worden verzameld die niet relevant zijn voor de hulpvraag. Daarmee handelen gemeenten in strijd met de wet.
Zorgplicht gemeenten
De AP constateert dat instructies van de gemeenten op dit punt onvoldoende concreet en specifiek zijn. Daarmee voldoen de gemeenten niet aan hun zorgplicht. Gemeenten hebben een zorgplicht om te waarborgen dat professionals voldoende in staat zijn om te kunnen beoordelen welke persoonsgegevens noodzakelijk zijn voor de toeleiding naar zorg. Dat betekent dat zij daarvoor waarborgen moeten treffen, bijvoorbeeld door het organiseren van opleidingen en het opstellen van adequate handreikingen voor professionals.
De Autoriteit Persoonsgegevens (AP) heeft bij de Vereniging Nederlandse Gemeenten (VNG) aandacht gevraagd voor de bescherming van persoonsgegevens van kinderen bij

aanbestedingen voor leerlingenvervoer door gemeenten. De AP had signalen ontvangen over publicatie van (bijzondere) persoonsgegevens van kinderen met een zorgvraag of beperkingen op de aanbestedingswebsite.

Noodzaak
Bij de publicatie van de persoonsgegevens van kinderen door gemeenten op de website TenderNed ging het naast namen, adresgegevens, telefoonnummers, geboortedata en schoollocaties ook om heel gevoelige gegevens, zoals een aanduiding van de beperking(en) van de kinderen.
Naar aanleiding daarvan heeft de AP enkele gemeenten benaderd. Deze gemeenten hebben de documenten met persoonsgegevens inmiddels laten verwijderen. “Gemeenten mogen dit soort gevoelige gegevens niet op een aanbestedingswebsite zetten. Dat moet en kan anders.” Aldus Wilbert Tomesen, vicevoorzitter van de AP.
De toezichthouder benadrukt in een brief aan de VNG dat het verwerken, dus ook het publiceren, van persoonsgegevens noodzakelijk moet zijn voor het doel, in dit geval de aanbesteding, waarvoor ze worden gebruikt.
De vraag moet altijd zijn of het doel niet kan worden bereikt met minder gegevens of dat er een andere, minder ingrijpende manier is om hetzelfde doel te bereiken. Bijvoorbeeld als kan worden volstaan met niet-herleidbare gegevens.
Gemeenten kunnen aanbestedingen via verschillende websites of systemen publiceren. Ook dan geldt: publiceer alleen het hoogstnoodzakelijke. De AP heeft de VNG verzocht dit onder de aandacht te brengen van haar leden.
De Functionaris Gegevensbescherming (de FG)
De AP stelt een externe functionaris gegevensbescherming (FG) aan. Een FG houdt intern toezicht op de toepassing en naleving van de AVG en is in beginsel iemand die binnen de organisatie werkzaam is. De AP is echter zelf de onafhankelijke toezichthouder op de naleving van het register bescherming van persoonsgegevens. Om die reden is er voor gekozen een externe FG aan te stellen die meer op aftand staat, om te waarborgen dat ook de FG onafhankelijk van de AP handelt en niet wordt aangestuurd door de AP. De externe FG zal uitsluitend op basis van signalen uit de organisatie acteren en wordt in haar taak uitvoerig bijgestaan door Privacy contact personen binnen de AP, die haar voorzien van de benodigde informatie over bijvoorbeeld nieuwe verwerkingen, DPIA’s die uitgevoerd (moeten) worden en over privacy schendingen of signalen hiervan en (andere) relevante zaken op het gebied van gegevensverwerking binnen de AF. De externe FG zal om die reden worden geïnformeerd en ondersteund worden door een aantal privacy contactpersonen (per directie één) en een concern privacy contactpersoon. Deze personen zullen tevens de privacy-gerelateerde verzoeken en klachten van burgers en personeel behandelen en de externe FG daarover tijdig informeren. Zo wordt geborgd dat de externe FG over afdoende informatie kan beschikken en haar taak goed kan uitoefenen.

Definitie privacy
Hier wordt met de term privacy verwezen naar de informationele privacy. Deze gaat over het verwerken en verzamelen van persoonlijke data, zogeheten persoonsgegevens. Hieronder vallen bijvoorbeeld medische gegevens, financiële gegevens en contact gegevens, maar ook alle andere informatie over geïdentificeerde of identificeerbare natuurlijke personen. De AP volgt de definitie van persoonsgegevens zoals die in de AVG en Richtlijn 2016/680 wordt gegeven en uitgelegd
Begrippen
Persoonsgegevens (artikel 4, aanhef en onder; van de AVG en artikel 3, aanhef en onder; van Richtlijn2o; 6/68o) Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatie zoals een naam, een identiteit nummer, locatie gegevens, een online identificatie of van een of

meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Verwerking (artikel 4, aanhef en onder 2, van de AVG en artikel 3, aanhef en onder 2, van Richtlijn 2016/680)
Een bewerking of een geheel van bewerkingen tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vast leggen, ordenen, structureren, opslaan, bijwerk en of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijk (artikel, aanhef en onder 7, van de AVG) Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unie recht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is en/of volgens welke criteria deze wordt aangewezen.
Verwekingsverantwoordelijke (artikel 3. Aanhef en onder 8, van Richtlijn 2016/680) De bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unie recht of het lid statelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigde zijn om de persoonsgegevens te verwerken.
Er zijn verschillende ISMS systemen op de markt die u in combinatie met de BIG/BIO kunt gebruiken voor de AVG.

Workshops
Zowel de workshop voor de BIG/BIR/BiWa/IBI/BIO als ook voor de AVG worden gehouden aan de hand van de artikelen uit de betreffende wet en regelgeving. Tijdens deze workshops gaan we bekijken wat de invloed van deze wet en regelgeving is op uw werk, hoe we de artikelen moeten lezen en wat deze artikelen inhoudelijk betekenen.
Daarnaast bekijken we wat de wetgever bedoeld heeft met deze wet en regelgeving.
Ook gaan we bekijken hoe de CISO zich verhoudt tot de FG en waar we deze moeten plaatsen en ook waarom het management dient samen te werken met de CISO en de FG.
We laten ook zien dat beveiliging en de AVG niet simpel het voldoen aan de regeltjes is, maar dat zeker ook het zogenaamde Security by Design-principe belangrijk is.
Andere zaken die aan de orde komen zijn:
• Het verankeren van het beleid in de organisatie
• De beveiligingsbewustwording van de gehele organisatie op peil brengen en houden
• Het betrekken van het MT bij zowel de BIG als ook bij de AVG
Het is core-issue dat men een ad-hoc aanpak heeft als het gaat om business information security (BIS) of AVG. Het is brandweergedrag: men laat zich vaak verrassen, blust dan brandjes en rent daar nog steeds achteraan. Dat geldt zowel voor het management als voor de uitvoerenden.” Wij concluderen dat dat komt doordat het onvoldoende urgentie heeft bij het management, dat er bovendien de kennis niet voor heeft om een betere BIS aan te sturen en blijvend te verankeren, zoals dat wél gebeurt met bijvoorbeeld de financiële administratie. “Zowel uitvoerenden als bestuurders laten zich verrassen door incidenten. Men worstelt met die verantwoordelijkheid en aansprakelijkheid. Een onderzoek leverde concrete tips op om die verantwoordelijkheid en aansprakelijkheid op verschillende niveaus binnen de organisatie beter onder controle te krijgen.
Wij helpen u om (weer) grip op de situatie te krijgen, want er is voor zowel de BIG/BIO als de AVG een sociologische aanpak nodig en dat kan alleen met een juiste houding, een bepaald gedrag en een bijpassende cultuur.
Wij hopen u met bovenstaande informatie een beetje verder geholpen te hebben en natuurlijk kunt u ook uw eigen contactpersoon binnen QCN raadplegen.
Uiteraard staat er ook informatie op onze webpage www.qcn.nl en op https://www.qcn.nl/de-fg/workshop/
Bronnen: In dit stuk hebben we onder andere gebruik gemaakt van teksten van het ministerie van BzK

Quality Centre Nederland biedt gepassioneerde interimmers, CISO, beveiligingsfunctionarissen en Functionarissen Gegevensbescherming voor de overheid.

In 1991 is Quality Centre Nederland ontstaan om organisaties (onder andere overheden en de zorg) te helpen informatiebev...
22/03/2019

In 1991 is Quality Centre Nederland ontstaan om organisaties (onder andere overheden en de zorg) te helpen informatiebeveiliging volgens toen BS7799 en nu ISO 27001/2 (Nu ook de BIG, BIR, BiWa, IBI, ENSIA en de BIO) op een hoger en beter niveau te brengen. Het verbeteren van de bewustwording is daarbij een belangrijk hulpmiddel. Daarnaast houden we ons sinds 2001 ook bezig met (toen) de WbP en nu de AVG. Ons doel is om organisaties compliant te laten worden/zijn voor informatiebeveiliging en de AVG. Kijk ook eens op www.qcn.nl
Onthoud één ding: De vlieger gaat alleen omhoog bij tegenwind !

Privacy impact assessment (PIA) en deData protection impact assessment (DPIA)Wilt u als organisatie privacy risico’s van...
04/02/2019

Privacy impact assessment (PIA) en de
Data protection impact assessment (DPIA)
Wilt u als organisatie privacy risico’s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld brengen? Dan kunt u een privacy impact assessment (PIA) (laten) uitvoeren.
Een PIA stimuleert u om op tijd na te denken over vragen als:
• wat de impact is van het beoogde project op de privacy van de betrokkenen (de mensen van wie u persoonsgegevens verwerkt);
• wat de risico’s zijn voor de betrokkenen en voor de organisatie;
• of er, gegeven de doelstellingen van het project, ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy.
Let op: vanaf 25 mei 2018 gelden er nieuwe Europese privacyregels. Uw organisatie kan dan verplicht zijn een data protection impact assessment (DPIA) uit te voeren.
Doelen PIA
Met een PIA kunt u het volgende bereiken:
• minder gevolgen van toezicht en handhaving;
• betere kwaliteit gegevens;
• betere dienstverlening;
• betere besluitvorming;
• meer privacy bewustzijn binnen uw organisatie;
• betere haalbaarheid van een project;
• meer vertrouwen van bijvoorbeeld uw klanten en werknemers in hoe u hun persoonsgegevens verwerkt en hun privacy respecteert;
• betere communicatie over privacy en de bescherming van persoonsgegevens.
Opbrengst PIA
Is er een PIA uitgevoerd, dan kunt u gerichte opdrachten geven aan degene die het product of de dienst verder ontwikkelt. Hierdoor voorkomt u dat in een later stadium kostbare aanpassingen nodig zijn. Bijvoorbeeld dat u een systeem moet herontwerpen of een project moet stopzetten.
Let op: veranderen de omstandigheden van een project tijdens de looptijd, dan is het raadzaam om de PIA te herhalen.
Verplichte PIA voor overheid
De rijksoverheid is verplicht om ook bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een PIA, hier gegevensbeschermingseffectbeoordeling genoemd. Hiervoor is het Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) ontwikkeld.

Data protection impact assessment (DPIA)
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.
Groot privacyrisico
Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen.
Guidelines DPIA
De Europese privacytoezichthouders hebben in oktober 2017 de (definitieve) Guidelines on Data Protection Impact Assessment gepubliceerd die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.
Huidige situatie
De Rijksoverheid is nu al verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een DPIA, nu nog Privacy Impact Assessment (PIA) genoemd. Andere organisaties zijn nu nog niet verplicht een (D)PIA uit te voeren.
Het is aan te raden om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.
Vragen over DPIA
• In welke gevallen moet ik een DPIA uitvoeren?
Als verantwoordelijke moet u een data protection impact assessment (DPIA) uitvoeren wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Dit moet u zelf bepalen. De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van 9* criteria opgesteld om u hierbij te helpen.
9 criteria om te toetsen of u een DPIA moet uitvoeren
Als vuistregel kunt u hanteren dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet.
1. Beoordelen van mensen op basis van persoonskenmerken
Het gaat hierbij onder meer om profilering en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.
Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.
2. Geautomatiseerde beslissingen
Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.
Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende WP29-guidelines over profilering volgt hierover meer uitleg.
3. Stelselmatige en grootschalige monitoring
Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.
4. Gevoelige gegevens
Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
5. Grootschalige gegevensverwerkingen
De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria te bepalen of hiervan sprake is:
o de hoeveelheid mensen van wie gegevens worden verwerkt;
o de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
o de tijdsduur van de gegevensverwerking;
o de geografische reikwijdte van de gegevensverwerking.
6. Gekoppelde databases
Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.
7. Gegevens over kwetsbare personen
Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.
8. Gebruik van nieuwe technologieën
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.
De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

9. Blokkering van een recht, dienst of contract
Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
o een recht niet kunnen uitoefenen of;
o een dienst niet kunnen gebruiken of;
o een contract niet kunnen afsluiten.
Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.
Verantwoordingsplicht
Let op: deze 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één of geen van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht.
*In de definitieve guidelines die zijn vastgesteld in oktober 2017, is het 10e criterium ‘Doorgifte van persoonsgegevens buiten de EU’ vervallen. Ook legt de wet voor bestaande verwerkingen nu een link naar het ‘voorafgaand onderzoek’ onder de huidige privacywetgeving.
Start met het data protection impact assessment (DPIA) zo vroeg als praktisch gezien mogelijk is in de ontwerpfase van de gegevensverwerking. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.
Continu proces
Let op: dat u de DPIA misschien gaandeweg moet aanpassen, is geen argument om de DPIA uit te stellen of achterwege te laten. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U zult altijd moeten (blijven) monitoren of uw gegevensverwerking wijzigt en of u daarom de DPIA moet bijstellen.
Wie moet een DPIA uitvoeren ?
Als verantwoordelijke moet u ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. U blijft wel eindverantwoordelijk.
Advies FG
Is er in uw organisatie een verplichte functionaris voor de gegevensbescherming (FG) aangewezen? Dan moet u de FG om advies vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.
Advies bewerker
Voert een bewerker (in de AVG ‘verwerker’ genoemd) in opdracht van u de gegevensverwerking uit? Dan moet de bewerker u ondersteunen bij het uitvoeren van de DPIA en de informatie verstrekken die u nodig heeft.
Advies betrokkenen
U moet als het nodig is de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening vragen.
Er zijn, afhankelijk van uw specifieke situatie, verschillende geschikte manieren waarop u betrokkenen om hun mening kunt vragen. U kunt bijvoorbeeld een intern of extern onderzoek doen, consumenten- of werknemersorganisaties consulteren of uw toekomstige klanten een vragenlijst sturen.

Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen om al dan niet met de verwerking door te gaan documenteren. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.
Advies overige partijen
Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen in uw specifieke situatie betrokken kunnen worden bij een DPIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts, sociologen etc.).
Op welke manier moet ik een DPIA uitvoeren
Er zijn verschillende methodes om een data protection impact assessment (DPIA) uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven.
Voorwaarden DPIA
De DPIA moet in ieder geval het volgende bevatten:
• Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
• Een beoordeling van de privacyrisico's voor de betrokkenen.
• De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Mocht u vragen hebben, of u wilt extra informatie: mail mij direct op [email protected] en het antwoord krijgt u binnen 24 uur.

Adres

Maindal 10
Capelle Aan Den Ijssel
2904CS

Telefoon

+31102840940

Meldingen

Wees de eerste die het weet en laat ons u een e-mail sturen wanneer Quality Centre Nederland nieuws en promoties plaatst. Uw e-mailadres wordt niet voor andere doeleinden gebruikt en u kunt zich op elk gewenst moment afmelden.

Contact

Stuur een bericht naar Quality Centre Nederland:

Delen