Het belang van impactanalyse (PIA of AIPD of DPIA)

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Het is mogelijk dat de "data protection impact assessment" (DPIA) het symbool van de AVG wordt (in het Engels spreken we van DPIA, Data Protection Impact Assessment, of kortweg PIA, Privacy Impact Assessment). In ieder geval is het het instrument dat gekozen is om bedrijven ter verantwoording te roepen en te voorkomen dat ze handelen ten nadele van consumenten. Door voorafgaand onderzoek voorafgaand aan elke gegevensverwerking en, waar nodig, overleg met de toezichthoudende autoriteit te eisen, biedt het een serieuze garantie voor de eerbiediging van de privacy. 

Een impactbeoordeling is vereist vóór verwerking "wanneer een verwerking, met name met behulp van nieuwe technologieën, en rekening houdend met de aard, de omvang, de context en de doeleinden daarvan, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert" (art. 35-1). Er wordt gepreciseerd dat een analyse betrekking kan hebben op meerdere vergelijkbare verwerkingen die hetzelfde type hoge risico's met zich meebrengen. Uit deze bepalingen kan worden afgeleid dat indien er geen sprake is van een "hoog risico" en/of indien er al een analyse is uitgevoerd voor vergelijkbare verwerkingen, de analyse niet verplicht is (evenmin wanneer de verwerking verband houdt met een taak van algemeen belang, zie de reeds vermelde uitzondering).

Het begrip "hoog risico" is niet expliciet gedefinieerd, maar de CNIL specificeert "risico voor de privacy". Dit is "een scenario dat het volgende beschrijft: een gevreesde gebeurtenis (ongeoorloofde toegang, ongewenste wijziging of verdwijning van gegevens, en de mogelijke gevolgen daarvan voor de rechten en vrijheden van personen); alle bedreigingen die dit mogelijk zouden maken. De ernst en waarschijnlijkheid ervan worden ingeschat. De ernst moet worden beoordeeld voor de betrokken personen, niet voor de organisatie." Dit is te vaag en breed genoeg om te stellen dat het risico voor de privacy, en dus hoog, overeenkomt met veel verwerkingsactiviteiten.

Artikel 35-4 bepaalt dat de toezichthoudende autoriteit een lijst publiceert van verwerkingen waarvoor een analyse vereist is. De G29 heeft inmiddels verschillende punten uit de AVG gecombineerd tot een lijst met 9 criteria (richtlijnen van 4 april 2017, gewijzigd op 4 oktober 2017), die kunnen suggereren dat een verwerking waarschijnlijk een hoog risico oplevert:

– “beoordeling of waardering, met inbegrip van profilerings- of voorspellingsactiviteiten, met name met betrekking tot “aspecten betreffende de prestaties van de betrokkene op het werk, de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, de betrouwbaarheid of het gedrag, of de locatie en verplaatsingen” (overwegingen 71 en 91)”;

– “geautomatiseerde besluitvorming met een juridisch of vergelijkbaar significant effect”;

– “systematische monitoring”;

– "gevoelige gegevens of gegevens van zeer persoonlijke aard." Dit kan informatie omvatten over politieke opvattingen, strafrechtelijke veroordelingen, medische gegevens, maar ook, aldus de G29, e-mails, dagboeken en aantekeningen. Indien dergelijke gegevens door de betrokkene openbaar zijn gemaakt, wordt hiermee rekening gehouden;

– “gegevens die op grote schaal worden verwerkt”. Het begrip “grootschalige verwerking” wordt niet gespecificeerd, maar de WG29 adviseert om rekening te houden met het aantal betrokkenen, de hoeveelheid gegevens, de duur en de geografische reikwijdte van de verwerking;

– “het kruisen of combineren van datasets”;

– “gegevens betreffende kwetsbare personen (overweging 75)”, dat wil zeggen kinderen, werknemers, personen met een psychische aandoening, asielzoekers, ouderen, patiënten, enz.;

– “innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen”. De G29 noemt met name het gecombineerde gebruik van vingerafdrukherkenning en gezichtsherkenning, oftewel het Internet of Things;

– verwerking die “betrokkenen verhindert een recht uit te oefenen of gebruik te maken van een dienst of overeenkomst”. De G29 geeft het voorbeeld van een bank die haar klanten zou screenen aan de hand van een kredietbeoordelingsdatabase voordat ze haar kredietbeslissingen neemt.

De G29 is van mening dat verwerking die aan twee van deze negen criteria voldoet, een DPIA vereist (ook al kan één criterium voldoende zijn). De CNIL geeft een voorbeeld: "Een bedrijf voert monitoring in van de activiteiten van zijn werknemers. Deze verwerking voldoet aan de criteria van systematische monitoring en van gegevens over kwetsbare personen. Daarom is de uitvoering van een DPIA noodzakelijk."

De analyse moet ten minste het volgende bevatten: een beschrijving van de beoogde verwerkingen en de doeleinden van de verwerking, een indicatie van de evenredigheid van de eerste ten opzichte van de laatste, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, en de beoogde maatregelen om de risico's aan te pakken. De CNIL baseert de impactanalyse op twee pijlers: een meer juridische beoordeling met betrekking tot de "niet-onderhandelbare" beginselen, en een meer technische studie van de beoogde maatregelen ter bescherming van de gegevens. In haar DPIA-gidsen (die momenteel worden herzien) stelt zij voor om het AVG-plan toe te passen (aangegeven aan het begin van deze paragraaf); wanneer deze worden bijgewerkt, zullen ze ongetwijfeld nuttige hulpmiddelen zijn voor iedereen die een dergelijk document moet opstellen.

De vraag rijst of een impactbeoordeling nodig is voor verwerkingen die al vanaf 25 mei 2018 zijn uitgevoerd. De AVG geeft hierop geen antwoord, maar de CNIL wel. "Een impactbeoordeling is niet vereist voor: verwerkingen die vóór 25 mei 2018 het onderwerp zijn geweest van een eerdere formaliteit bij de CNIL; verwerkingen die zijn geregistreerd in het register van een correspondent voor gegevensbescherming en vrijheden." Na drie jaar moeten regelmatig uitgevoerde verwerkingen echter wel aan een impactbeoordeling worden onderworpen, altijd in geval van een "hoog risico" voor de betrokkenen.  

Onderaan deze richtlijnen voegt de CNIL de volgende zin toe: "De uitvoering van een DPIA vormt in alle gevallen een goede praktijk die het proces van naleving van de materiële voorwaarden van de AVG vergemakkelijkt." Aangezien de CNIL de toezichthoudende autoriteit in Frankrijk is, mag dit advies niet over het hoofd worden gezien als een goede praktijk. Vooral omdat de G29 stelt: "In geval van twijfel over de noodzaak van een DPIA, aangezien DPIA's een belangrijk instrument zijn voor verwerkingsverantwoordelijken om te voldoen aan de wetgeving inzake gegevensbescherming, beveelt de G29 aan om er hoe dan ook een uit te voeren." De Europese werkgroep voegt er ten slotte aan toe dat de DPIA verplicht is wanneer "de bijbehorende risico's zijn geëvolueerd".

Ook de aanwijzingen over de professionals die moeten meewerken aan de uitvoering van de impactanalyse zijn niet nutteloos: de verwerkingsverantwoordelijke (wie is verantwoordelijk), de onderaannemer (indien van toepassing), de functionaris voor gegevensbescherming (we zullen zien wie dat is), de projectleiders en -managers, de verantwoordelijke voor de beveiliging van de informatiesystemen en eventueel de betrokken personen, die via een vragenlijst om hun mening kunnen worden gevraagd.

Artikel 35-7 van de AVG definieert de minimale inhoud van een impactanalyse:

– een systematische beschrijving van de beoogde handelingen en de doeleinden van de verwerking;

– een beoordeling van de noodzakelijkheid en evenredigheid van de verwerkingen in verhouding tot de doeleinden;

– een beoordeling van de risico’s voor de rechten en vrijheden van de betrokken personen;

– de maatregelen die zijn gepland om de risico’s aan te pakken en bewijs te leveren van naleving van de regelgeving.

De G29 geeft voorbeelden van methodologie in een bijlage bij haar analyse van de AIPD. De CNIL heeft onlangs handleidingen gepubliceerd met een methode en een catalogus met best practices, evenals open-source PIA-software. Er zijn dus geen excuses meer om niet aan de nieuwe verplichtingen te voldoen.

Zodra de effectbeoordeling is afgerond, kan de verwerking beginnen of moet de verwerkingsverantwoordelijke de toezichthoudende autoriteit raadplegen "vóór de verwerking wanneer een gegevensbeschermingseffectbeoordeling uitgevoerd op grond van artikel 35 aangeeft dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken" (art. 36-1). Paragraaf 2 van hetzelfde artikel bepaalt dat de toezichthoudende autoriteit in geval van een dergelijke voorafgaande raadpleging 8 weken (+6 in complexe gevallen) de tijd heeft om haar advies uit te brengen.

De effectbeoordeling kan worden gepubliceerd met als doel het vertrouwen in het bedrijf te versterken, maar dit is geen verplichting.

Indien er geen effectbeoordeling wordt uitgevoerd of indien de beoordeling onjuist is uitgevoerd, kan dit leiden tot een boete van maximaal € 10 miljoen of, voor een bedrijf, € 2,1 miljard van de wereldwijde omzet, afhankelijk van welk bedrag het hoogst is.