Handreiking Data Protection Impact Assessment (DPIA) Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)
Handreiking
Data Protection Impact Assessment (DPIA)
Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)
Colofon Naam document
Handreiking Data Protection Impact Assessment (DPIA)
Versienummer
1.0
Versiedatum
Juni 2019
Versiebeheer
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)
Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk
Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende
voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel
zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te
verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. De IBD wordt als bron vermeld.
2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden.
3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven
onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten.
4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf
vermelde mededeling.
Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van
Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.
Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.
Rechten en vrijwaring
De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin
kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden,
onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende
uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.
Met dank aan
De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.
3 Informatiebeveiligingsdienst
Wijzigingshistorie
Versie Datum Wijziging / Actie
0.1 23-04-2018 Initiële versie DPIA
0.8 13-05-2018 Opmerkingen van interne review verwerkt
0.9 18-06-2019 Structuur en teksten van deze handreiking gelijkgetrokken met
structuur DPIA-tool
1.0 Juni 2019 Definitieve versie
Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle
Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is
voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij
hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig
kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere
overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de
producten en de generieke dienstverlening van de IBD.
De IBD is ondergebracht bij VNG Realisatie.
Leeswijzer Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is
eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.
Doel
Het doel van dit document is het geven van een toelichting op de data protection impact assessment (DPIA) voor
gemeenten ter ondersteuning bij het uitvoeren van de DPIA in overeenstemming met de Algemene Verordening
Gegevensbescherming (AVG).1
Doelgroep
Dit document is van belang voor het verwerkingsverantwoordelijke, de functionaris voor gegevensbescherming (FG), de
verwerkers, management van de gemeente, de systeemeigenaren, de ICT-afdeling en de Chief Information Security
Officer (CISO).2
Relatie met overige producten
• Baseline Informatiebeveiliging Overheid (BIO)
• Handreiking informatiebeveiligingsbeleid BIO gemeenten met apart format informatiebeveiligingsbeleid
• Baselinetoets BIO inclusief uitleg, diepgaande risicoanalyse en handreiking dataclassificatie
Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)
18.1.4 1 Privacy en bescherming van persoonsgegevens Privacy en bescherming van persoonsgegevens
behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante
wet- en regelgeving. 1 De Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018. 2 Zie voor een definitie van verwerkingsverantwoordelijke en verwerkers artikel 4 van de AVG.
Inhoudsopgave
1. Inleiding ....................................................................................................................................... 6 1.1. DEDA-model .................................................................................................................................... 7 1.2. Doelstelling handreiking .................................................................................................................. 7 1.3. Aanwijzing voor gebruik .................................................................................................................. 8
2. Uitvoeren DPIA .......................................................................................................................... 9 2.1. Uitvoeren DPIA verplicht ................................................................................................................. 9 2.2. Geen DPIA uitvoeren ..................................................................................................................... 13 2.3. Tijdstip uitvoeren DPIA .................................................................................................................. 13 2.4. Uitvoerder DPIA ............................................................................................................................. 14 2.5. Methode uitvoeren DPIA ............................................................................................................... 15 2.6. Betrokkenen bij uitvoeren DPIA .................................................................................................... 16
3. DPIA-tool IBD .......................................................................................................................... 18 3.1. Delen van DPIA’s ............................................................................................................................ 19 3.2. Naamgeving DPIA’s ........................................................................................................................ 19 3.3. Opslag DPIA’s ................................................................................................................................. 19 3.4. Workflow binnen de DPIA-tool ..................................................................................................... 21 3.5. Ondersteunde browsers ................................................................................................................ 21
4. Beschrijf beoogde gegevensverwerking ....................................................................... 22 4.1. Beschrijf verwerkingsvoorstel ....................................................................................................... 23 4.2. Beschrijf verwerkingsdoeleinden .................................................................................................. 24 4.3. Beschrijf verwerkingslocaties ........................................................................................................ 25 4.4. Beschrijf verantwoordelijkheden gegevensverwerking ................................................................ 26 4.5. Beschrijf juridisch en beleidsmatig kader ...................................................................................... 31 4.6. Beschrijf gedragscode(s) ................................................................................................................ 32
5. Beschrijf kenmerken gegevensverwerking ................................................................. 33 5.1. Beschrijf persoonsgegevens .......................................................................................................... 33 5.2. Beschrijf bijzondere persoonsgegevens ........................................................................................ 36 5.3. Bewaartermijn gegevens. .............................................................................................................. 37 5.4. Beschrijf Informatiestromen ......................................................................................................... 39
6. Beschrijf systemen gegevensverwerking ..................................................................... 42 6.1. Beschrijf de systemen, technieken en methoden voor gegevensverwerking............................... 42 6.2. Beschrijf systemen ......................................................................................................................... 43 6.3. Beschrijf technieken en methoden voor gegevensverwerkingen ................................................. 44
7. Rechtmatigheid gegevensverwerkingen ....................................................................... 48 7.1. Beschrijf doelbinding ..................................................................................................................... 48 7.2. Beschrijf rechtsgrond .................................................................................................................... 50 7.3. Beschrijf noodzaak en evenredigheid ........................................................................................... 51 7.4. Beschrijf stappen om de gegevenskwaliteit te waarborgen ......................................................... 53 7.5. Beschrijf rechtvaardiging bewaartermijn ...................................................................................... 53
8. Rechten van betrokkenen ....................................................................................................... 54 8.1. Informeren betrokken ................................................................................................................... 55 8.2. Toestemming betrokkenen ........................................................................................................... 55 8.3. Inzage en overdraagbaarheid van gegevens ................................................................................. 56
5 Informatiebeveiligingsdienst
8.4. Gegevens corrigeren of wissen ..................................................................................................... 56 8.5. Beperking van gegevensverwerking .............................................................................................. 56 8.6. Verplichtingen verwerkers ............................................................................................................ 57 8.7. Internationale doorgifte ................................................................................................................ 57
9. Beschrijf risico’s ......................................................................................................................... 58 9.1. Risico’s beoordelen ....................................................................................................................... 60 9.2. Risico’s identificeren ...................................................................................................................... 61 9.3. Risico’s inschatten ......................................................................................................................... 62
10. Beschrijf voorgenomen maatregelen ............................................................................. 66 10.1. Maatregelen die bijdragen aan de rechten van de betrokkenen ......................................... 69 10.2. Maatregelen die bijdragen aan veilig gebruik Big Data ........................................................ 70 10.3. Maatregelen die bijdragen aan evenredigheid en noodzaak gegevensverwerking ............. 71
11. Belanghebbenden.................................................................................................................. 72 11.1. Advies van de functionaris voor gegevensbescherming ....................................................... 72 11.2. De mening van betrokkenen of hun vertegenwoordigers .................................................... 73 11.3. Voorafgaande raadpleging .................................................................................................... 73 11.4. Redenen voor het niet uitvoeren van onderzoek ................................................................. 73
Bijlage 1: Naslag: tekst uit AVG, UAVG en MVT bij UAVG ................................................. 74
Bijlage 2: Criteria DPIA ................................................................................................................ 78
Bijlage 3: Bronnen ......................................................................................................................... 79
1. Inleiding De verwerkingsverantwoordelijke moet voorafgaand aan de gegevensverwerking een data protection impact
assessment (DPIA)3 uitvoeren om de waarschijnlijkheid en ernst van risico's te beoordelen. Hierbij moet rekening
worden gehouden met de aard, omvang, context en doelen van de gegevensverwerking en de bronnen van de risico's.
Bij een DPIA moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om risico’s
te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan de Algemene Verordening
Gegevensbescherming (AVG)4 wordt voldaan.
Een DPIA is een proces dat is bedoeld om de gegevensverwerking van persoonsgegevens te beschrijven, de noodzaak
en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke
personen te helpen beheren.5 Hiervoor moeten risico’s worden ingeschat en maatregelen worden bepaald om deze
risico’s aan te pakken. Een DPIA is een belangrijk verantwoordingsinstrument. Het helpt
verwerkingsverantwoordelijken om aan de eisen van de AVG te voldoen, en om aan te tonen dat passende
maatregelen zijn genomen om ervoor te zorgen dat de AVG wordt nageleefd.6 Met andere woorden: een DPIA is een
proces voor het realiseren en aantonen van naleving (zie ook Figuur 3).
Als niet aan de eisen van de DPIA wordt voldaan, kan dat onder de AVG tot gevolg hebben dat de bevoegde
toezichthoudende autoriteit boetes oplegt.7 Als geen DPIA wordt uitgevoerd terwijl dat voor de gegevensverwerking
wel verplicht is8, als een DPIA niet correct wordt uitgevoerd9, of als de Autoriteit Persoonsgegevens (AP)10 niet wordt
geraadpleegd terwijl dat wel vereist is11, kan dat leiden tot een administratieve boete van maximaal 10 miljoen
EUR.12,13
De AVG vereist dat verwerkingsverantwoordelijken passende maatregelen treffen om de naleving van de AVG te
waarborgen en te kunnen aantonen, onder meer rekening houdend met "de qua waarschijnlijkheid en ernst
uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen".14 De verplichting voor
verwerkingsverantwoordelijken om in bepaalde omstandigheden een DPIA uit te voeren, komt voort uit hun algemene
verplichting om risico's die verbonden zijn aan de gegevensverwerking van persoonsgegevens op passende wijze te
beheren. Er moet worden benadrukt dat om de risico's voor de rechten en vrijheden van natuurlijke personen te
beheren, de risico's moeten worden geïdentificeerd, geanalyseerd, ingeschat, geëvalueerd, aangepakt (bijvoorbeeld
afgezwakt) en regelmatig moeten worden herbeoordeeld. Verwerkingsverantwoordelijken kunnen hun
verantwoordelijkheid niet ontlopen door risico's te verzekeren.15
Voor het samenstellen van deze handreiking ‘Data Protection Impact Assessment (DPIA)’ is gebruik gemaakt van de
documentatie zoals beschreven in Bijlage 3: Bronnen.
3 In de Nederlandse vertaling van de Algemene Verordening Gegevensbescherming (AVG) wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). 4 De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR) (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/gdpr.pdf). 5 In de AVG wordt het concept "data protection impact assessment" niet formeel gedefinieerd, maar de minimale inhoud ervan wordt gespecificeerd in AVG artikel 35, lid 7 en de betekenis en rol ervan wordt verduidelijkt in AVG overweging 84. Zie ook bijlage 1 in deze handreiking Data Protection Impact Assessment (DPIA). 6 AVG artikel 24 en AVG overweging 84. 7 De Nederlandse toezichthoudende autoriteit is de Autoriteit Persoonsgegevens (AP) (https://autoriteitpersoonsgegevens.nl/). 8 AVG artikel 35, leden 1, 3 en 4. 9 AVG artikel 35, leden 2, 7, 8 en 9. 10 https://autoriteitpersoonsgegevens.nl/ 11 AVG artikel 36, lid 3, onder e. 12 AVG artikel 83, lid 4. 13 De hoogte van de administratieve geldboeten kan oplopen tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Aangezien het hier over gemeenten gaat is de hoogte maximaal 10.000.000 EUR. 14 AVG artikel 24, lid 1. 15 Het verzekeren van geldboetes is in strijd met de goede zeden, zie artikel 40 in Boek 3 van het Nederlandse Burgerlijk Wetboek (http://wetten.overheid.nl/BWBR0005291/). Het is dus wettelijk niet toegestaan. Een verzekering mag wel worden afgesloten om de juridisch kosten of kosten die gemaakt worden bij het herstellen van een datalek te beperken.
7 Informatiebeveiligingsdienst
1.1. DEDA-model Door de Utrecht Data School (UDS)16 is een instrument beschikbaar gesteld waarmee organisaties hun ethisch
bewustzijn bij nieuwe data-projecten tegen het licht kunnen houden, het model heet De Ethische Data Assistent
(DEDA). 17 DEDA is een methode om in een team op ethische vragen te reflecteren. Hierbij wordt een poster gebruikt,
waarop alle ethische aspecten die bij data-projecten relevant kunnen zijn, aan bod komen.
Het beantwoorden van vragen van het model zorgt ervoor dat betrokkenen bij een data-project stilstaan bij diverse
essentiële zaken, zoals de verantwoordelijke aanwijzen, doelmatigheid bepalen, eventuele privacy-risico's vaststellen
en de wijze waarop de data gevisualiseerd wordt. Nu wordt er nog vaak vanuit een onderbuikgevoel over ethiek
gesproken bij data-projecten. Het DEDA-model zorgt ervoor dat het gesprek over data ethiek gestructureerd kan
verlopen en goed beargumenteerd wordt.
Aanvulling op DPIA
Door het uitvoeren van de DPIA wordt bepaald welke privacyrisico's er kunnen optreden en welke maatregelen
genomen kunnen worden om deze privacyrisico’s te mitigeren. Als uit de DPIA blijkt dat de gegevensverwerking
uitgevoerd mag worden wordt met behulp van DEDA de ethische vraag beantwoord. Het mag volgens de wet- en
regelgeving maar moeten we dit als gemeente wel willen?
De conclusie is dat de DPIA en DEDA enige overlap hebben maar vooral aanvullend op elkaar zijn. DEDA functioneert als
een dialogische tool. In deze vorm is de tool gelicenseerd bij de VNG en is al bij meer dan 50 gemeentes gebruikt bij
data-ethiek trainingen.
1.2. Doelstelling handreiking De doelstelling van deze handreiking is een toelichting geven op de DPIA voor gemeenten ter ondersteuning bij het
uitvoeren van de DPIA in overeenstemming met de AVG.
De indeling van dit document is als volgt:
• Hoofdstuk 2 beschrijft wanneer de gemeente wel of niet een DPIA moet uitvoeren. Verder wordt ingegaan
wanneer gestart moet worden met het uitvoeren van een DPIA en wie hierbij betrokken moet worden.
• Hoofdstuk 3 geeft een korte introductie van de DPIA-tool die door de IBD wordt aangeboden.
• Hoofdstuk 4 beschrijft de gegevensverwerking van de gemeente. De gemeente moet hierbij rekening houden met
de aard, omvang, context en doelen van de gegevensverwerking.
• Hoofdstuk 5 beschrijft de persoonsgegevens die worden gebruikt bij de gegevensverwerking, waaronder
bijzondere persoonsgegevens en de bewaartermijnen.
• Hoofdstuk 6 beschrijft de systemen die bij de gegevensverwerking worden gebruikt. De gemeente moet hierbij
rekening houden met de locatie waar de gegevens worden bewaard en de bewaartermijnen van de
persoonsgegevens voor elk systeem.
• Hoofdstuk 7 beschrijft of de voorgenomen gegevensverwerkingen van de gemeente rechtmatig zijn. Het gaat hier
om de beoordeling van de juridische rechtsgrond, noodzaak en doelbinding van de gegevensverwerkingen, maar
ook met de wijze waarop invulling wordt gegeven aan de rechten van de betrokkenen.
• Hoofdstuk 8 beschrijft hoe invulling wordt gegeven aan de rechten van de betrokkenen en of er internationale
doorgifte van de persoonsgegevens plaatsvindt.
• Hoofdstuk 9 brengt de risico's voor de rechten en vrijheden van betrokkenen in kaart. Ook hier moet de gemeente
rekening houden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's of, meer specifiek,
voor elk risico (onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens) vanuit het perspectief
van de betrokkenen.
16 https://dataschool.nl/deda 17 Zie ook: https://www.vngrealisatie.nl/nieuws/deda-geeft-zicht-op-de-ethische-kant-van-data
• Hoofdstuk 10 beschrijft de maatregelen die gemeente treffen om de in hoofdstuk 9 erkende risico’s te voorkomen
of te verminderen.
• Hoofdstuk 11 beschrijft hoe de gemeente omgaat met de opvattingen van de belanghebbenden. Denk hierbij aan
de functionaris voor gegevensbescherming (FG) en betrokkenen of hun vertegenwoordigers.
• Bijlage 1 bevat de relevante overwegingen, artikelen en paragrafen uit de AVG, Uitvoeringswet Algemene
verordening gegevensbescherming (UAVG) en de Memorie van toelichting (MVT) bij UAVG
• Bijlage 2 bevat de criteria van de werkgroep van Europese privacytoezichthouders WP29 die gebruikt kunnen
worden om te beoordelen of een DPIA volledig genoeg is om aan de AVG te voldoen.
• Bijlage 3 geeft een opsomming van de gebruikte bronnen om deze handreiking DPIA op te stellen.
De voorliggende handreiking Data Protection Impact Assessment (DPIA) beschrijft methode voor het uitvoeren van een
DPIA, zodat wordt voldaan aan de gemeenschappelijke criteria18 die zijn vastgesteld door de werkgroep van Europese
privacytoezichthouders (WP29)19. Deze gemeenschappelijke criteria kunnen door de verwerkingsverantwoordelijke
worden gebruikt om te beoordelen of een DPIA, of een methode voor het uitvoeren van een DPIA, volledig genoeg is
om aan de AVG te voldoen.
1.3. Aanwijzing voor gebruik Deze handreiking bevat uitgebreide achtergrondinformatie om de DPIA met behulp van de DPIA-tool IBD voor
gemeenten uit te voeren. Er is in deze handreiking naar getracht om een zo goed en compleet mogelijke beschrijving te
geven van de zaken waar de gemeente bij het uitvoeren van een DPIA rekening moet houden. Een van de
uitgangspunten was om alle relevante zaken bij het uitvoeren van een DPIA in één document te beschrijven. Dit heeft
wel als resultaat dat het uiteindelijk een lijvig document is geworden. Naast deze uitgebreide handreiking komt er ook
een verkorte versie van deze handreiking, hierin is deze achtergrondinformatie uiteraard niet beschreven en is de tekst
beperkt tot de aandachtspunten die bij de verschillende paragrafen relevant zijn.
18 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf 19 http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358
9 Informatiebeveiligingsdienst
2. Uitvoeren DPIA In dit hoofdstuk wordt aangegeven wanneer wel en wanneer niet een DPIA moet worden uitgevoerd. Verder wordt
ingegaan wat het beste moment is om te starten met het uitvoeren van een DPIA, wei de DPIA moet uitvoeren en wie
hierbij betrokken moeten worden.
2.1. Uitvoeren DPIA verplicht In deze paragraaf worden handvatten gegeven om vast te stellen of het uitvoeren van een DPIA wel of niet verplicht is.
Hierbij wordt onderscheid gemaakt in bestaande (vóór 25 mei 2018) en nieuwe gegevensverwerkingen.
2.1.1. DPIA bestaande gegevensverwerkingen
Een veel gestelde vraag is of de gemeente een DPIA moet uitvoeren voor gegevensverwerkingen waarmee de
gemeente vóór 25 mei 2018 was begonnen? Met hulp van het schema in Figuur 1 kan de gemeente bepalen of het
nodig is om verder uit te zoeken of de gemeente een DPIA moet uitvoeren voor bestaande gegevensverwerkingen. Het
gaat om gegevensverwerkingen waarmee de gemeente vóór de ingang van de AVG, op 25 mei 2018, is gestart. Zie voor
nieuwe gegevensverwerkingen paragraaf 2.1.2 ‘DPIA nieuwe gegevensverwerkingen’.
Figuur 1 DPIA-checklist: bestaande gegevensverwerkingen.
2.1.2. DPIA nieuwe gegevensverwerkingen
Als de gemeente wil starten met een nieuwe gegevensverwerking van persoonsgegevens? Dan moet de gemeente
eerst bepalen of de gemeente verplicht is om een DPIA uit te voeren voordat met de gegevensverwerking gestart mag
worden. Met hulp van het schema in Figuur 2 kan de gemeente bepalen of het nodig is om een DPIA uit te voeren voor
nieuwe gegevensverwerkingen.
Voor gegevensverwerkingen waarmee de gemeente vóór de ingang van de AVG, op 25 mei 2018, is gestart, hoeft de
gemeente mogelijk geen DPIA uit te voeren. Zie hiervoor paragraaf 2.1.1 ‘DPIA bestaande gegevensverwerkingen’.
Heeft u voor deze verwerking
al eens een voorafgaand
onderzoek moeten laten
uitvoeren?
Zijn de risico's van de
verwerking veranderd?
Bijvoorbeeld doordat de
maatschappelijke context is
veranderd?
Is de verwerking in de
tussentijd veranderd?
De gemeente hoeft geen DPIA
uit te voeren.
Nee
Nee
Ja
Ja
Nee
De gemeente moet mogelijk een
DPIA uitvoeren voordat de
gemeente door mag gaan met
deze verwerking
Ja
Toets of de gemeente verplicht is
een DPIA uit te voeren voor de
gemeente bestaande verwerking:
In welke gevallen moet ik een
DPIA uitvoeren?
De gemeente hoeft geen DPIA
uit te voeren.Nee
Figuur 2 DPIA-checklist: nieuwe gegevensverwerkingen
De lijst met gegevensverwerkingen waarvoor een DPIA verplicht is wordt opgesomd in paragraaf 2.1.3 ‘Uitvoeren DPIA
verplicht’.
2.1.3. Uitvoeren DPIA verplicht
De AP heeft een lijst van soorten gegevensverwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is
vóórdat de gemeente met verwerken begint.20 Deze gegevensverwerkingen zijn:
1. Heimelijk onderzoek
2. Zwarte lijsten
3. Fraudebestrijding
4. Creditscores
5. Financiële situatie
6. Genetische persoonsgegevens
7. Gezondheidsgegevens
8. Samenwerkingsverbanden
9. Cameratoezicht
10. Flexibel cameratoezicht
11. Controle werknemers
12. Locatiegegevens
20 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879
13. Communicatiegegevens
14. Internet of things
15. Profilering
16. Observatie en beïnvloeding van gedrag
Staat uw verwerking op de lijst
waarvoor een DPIA verplicht is?
Levert uw verwerking
waarschijnlijk een hoog
privacyrisico op?
Lijkt uw gegevensverwerking
sterk op een verwerking
waarvoor al een DPIA is
uitgevoerd?
Of:
Is er bij de totstandkoming van
een Europese of nationale wet
al een DPIA uitgevoerd voor uw
type gegevensverwerking?**
De gemeente hoeft geen DPIA
uit te voeren.
Nee
Nee
Ja
Ja
Nee
De gemeente moet een DPIA
uitvoeren voordat de gemeente
met deze verwerking mag
starten.
Ja
Stel een DPIA op. Lees meer
over de voorwaarden waar een
goede DPIA aan voldoet:
Op welke manier moet ik een
DPIA uitvoeren?
11 Informatiebeveiligingsdienst
De lijst, met 16 specifieke gegevensverwerkingen, is niet uitputtend. Het kan zijn dat de gegevensverwerking niet op
deze lijst staat. In dat geval moet de gemeente beoordelen of de gegevensverwerking een hoog privacyrisico oplevert
voor de betrokkenen. Zie hiervoor ook de DPIA-vragenlijst persoonsgegevens 6A ‘Verwerkingen waarvoor een DPIA
verplicht is’ in de Baselinetoets BBN BIO21.
2.1.4. Criteria Europese privacytoezichthouders
De werkgroep van Europese privacytoezichthouders (WP29)22 heeft een lijst van 9 criteria23 opgesteld om te toetsen of
een DPIA moet worden uitgevoerd. Op 25 mei 2018 is de WP29 vervangen door de European Data Protection Board
(EDPB)24. Als vuistregel kan worden gehanteerd dat een DPIA moet worden uitgevoerd als de gegevensverwerking aan
2 of meer van de onderstaande criteria voldoet. Dit zou als een pre-DPIA-assessment kunnen worden gezien.
1. Beoordelen van mensen op basis van persoonskenmerken
Het gaat hierbij onder meer om profiling25 en het maken van prognoses, met name op basis van kenmerken als
iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses,
betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid26
van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te
testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.
2. Geautomatiseerde beslissingen
Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben.
Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.
Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende
WP29-guidelines over profiling volgt hierover meer uitleg.27
3. Stelselmatige en grootschalige monitoring
Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen
persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar
vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze
gegevensverwerking te onttrekken.
4. Gevoelige gegevens
Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over
iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens
die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie,
locatiegegevens en financiële gegevens.
5. Grootschalige gegevensverwerkingen
De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria
te bepalen of hiervan sprake is:
• de hoeveelheid mensen van wie persoonsgegevens worden verwerkt;
• de hoeveelheid gegevens en/of de verscheidenheid aan persoonsgegevens die worden verwerkt;
• de tijdsduur van de gegevensverwerking;
• de geografische reikwijdte van de gegevensverwerking.
21 Zie hiervoor het operationele BIO document ‘Baselinetoets BBN BIO’ van de IBD. 22 http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358 23 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#in-welke-gevallen-moet-ik-een-dpia-uitvoeren-5879 24 https://edpb.europa.eu/ 25 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-en-tv/profiling 26 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/financi%C3%ABn/kredietwaardigheid-en-schulden 27 Op moment van schrijven zijn conceptrichtlijnen gepubliceerd over geautomatiseerde besluitvorming en profilering onder de AVG (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053).
Zie ook paragaaf 2.1.5 ‘Worden op grote schaal (bijzondere) persoonsgegevens verwerkt?’.
6. Gekoppelde databases
Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld
databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of
uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen
verwachten.
7. Gegevens over kwetsbare personen
Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke
machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid
toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld
werknemers, kinderen en patiënten gaan.
8. Gebruik van nieuwe technologieën
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor
is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk
grote privacyrisico’s.
De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog
onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige
‘Internet of Things (IoT)’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de
privacy van mensen, waardoor hierbij een DPIA nodig is.28
9. Blokkering van een recht, dienst of contract
Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
• een recht niet kunnen uitoefenen of;
• een dienst niet kunnen gebruiken of;
• een contract niet kunnen afsluiten.
Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.
Verantwoordingsplicht
Let op: deze 9 criteria zijn een handreiking om in te schatten of de gemeente een DPIA moet uitvoeren. Ook als de
gemeente aan slechts één of geen van deze criteria voldoet, moet de gemeente goed kunnen onderbouwen waarom de
gemeente ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht.29
In de definitieve richtlijnen die zijn vastgesteld in oktober 2017, is het 10e criterium ‘Doorgifte van persoonsgegevens
buiten de EU’ vervallen. Ook legt de wet voor bestaande gegevensverwerkingen30 nu een link naar het ‘voorafgaand
onderzoek’ onder de huidige privacywetgeving.
2.1.5. Worden op grote schaal (bijzondere) persoonsgegevens verwerkt?
Onderstaande criteria31 kunnen helpen om te bepalen of de gemeente volgens de AVG op grote schaal (bijzondere)
persoonsgegevens verwerkt:
• het aantal betrokkenen (de mensen van wie persoonsgegevens worden verwerkt);
• de hoeveelheid persoonsgegevens die worden verwerkt;
• de duur van de gegevensverwerking;
• de geografische reikwijdte van de gegevensverwerking.
28 https://www.bnr.nl/podcast/gdpr/10339656/internet-of-things 29 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht 30 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#moet-ik-alsnog-een-dpia-uitvoeren-voor-een-bestaande-verwerking-5882 31 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg#wat-ziet-de-avg-als-een-grootschalige-verwerking-van-persoonsgegevens-6019
13 Informatiebeveiligingsdienst
Hieronder worden een aantal voorbeelden van gegevensverwerkingen benoemd die door de Europese toezichthouders
als grootschalig worden gezien (bron: Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection
Officer, DPO))32.
• Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde
stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
• Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen
de actuele locatiegegevens van klanten verwerkt voor statistische verwerkingsdoeleinden.
• Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke
werkzaamheden.
• Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
• Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten.
Zoals inhoud, verkeer en locatie.
Voorbeeld van een niet-grootschalige verwerking:
• De gezamenlijke Europese toezichthouders beschouwen gegevensverwerkingen van bijzondere persoonsgegevens
door individuele artsen of advocaten (‘eenpitters’)33 niet als grootschalig.
2.2. Geen DPIA uitvoeren De gemeente hoeft geen DPIA uit te voeren wanneer de gegevensverwerking:
• Waarschijnlijk geen hoog privacyrisico oplevert.
• Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd.
• Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA
was uitgevoerd. Deze uitzondering geldt niet als de AP oordeelt dat er toch een DPIA nodig is.
• Op een lijst staat van gegevensverwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de
privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht.34
2.3. Tijdstip uitvoeren DPIA De DPIA moet worden uitgevoerd "vóór de gegevensverwerking"35, behalve wanneer het gaat om een al bestaande
gegevensverwerking die vooraf door de AP is gecontroleerd (zie ook paragraaf 2.1.1 ‘DPIA bestaande
gegevensverwerkingen’). De DPIA moet wel worden uitgevoerd als de bestaande gegevensverwerking belangrijke
veranderingen heeft ondergaan. Dit is in overeenstemming met het uitgangspunt van gegevensbescherming door
ontwerp en door standaardinstellingen.36 De DPIA is een hulpmiddel bij de besluitvorming met betrekking tot de
gegevensverwerking.
De DPIA moet zo vroeg mogelijk bij het ontwerpen van de gegevensverwerking worden gestart, zelfs als sommige
gegevensverwerkingen nog niet bekend zijn. Het bijwerken van de DPIA gedurende het gehele levenscyclusproject
zorgt ervoor dat continu rekening wordt gehouden met gegevensbescherming en privacy en stimuleert het creëren van
oplossingen die de naleving bevorderen. Het kan ook nodig zijn om bepaalde stappen van de beoordeling te herhalen
naarmate het ontwikkelingsproces vordert, omdat de selectie van bepaalde technische of organisatorische maatregelen
van invloed kan zijn op de ernst of waarschijnlijkheid van de risico's die de gegevensverwerking met zich meebrengt.
Het feit dat de DPIA mogelijk moet worden bijgewerkt nadat de gegevensverwerking daadwerkelijk van start is gegaan,
is geen geldige reden om die beoordeling uit te stellen of niet uit te voeren. Dit geldt vooral als een
32 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp243rev01_nl.pdf 33 Een freelancer of een zelfstandigen zonder personeel (zzp’er). 34 Op moment van schrijven is nog geen lijst beschikbaar gesteld door de privacytoezichthouder(s) met gegevensverwerkingen waarvoor een DPIA niet verplicht is. 35 AVG artikel 35, leden 1 en 10, en AVG overwegingen 90 en 93. 36 AVG artikel 25 en AVG overweging 78.
gegevensverwerking dynamisch is en onderhevig is aan voortdurende verandering. Het uitvoeren van een DPIA is een
continu proces, niet een eenmalige oefening. Er moet continu gemonitord worden of de gegevensverwerking wijzigt en
of de DPIA daarom bijgesteld moet worden.
2.4. Uitvoerder DPIA Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om ervoor te zorgen dat de DPIA wordt
uitgevoerd.37 De DPIA kan door iemand anders, binnen of buiten de gemeente, worden uitgevoerd, maar de
verwerkingsverantwoordelijke blijft de eindverantwoordelijke voor die taak.38.
2.4.1. Advies functionaris voor gegevensbescherming
Als de gemeente een (verplichte) functionaris voor gegevensbescherming (FG)39 heeft aangesteld, moet de
verwerkingsverantwoordelijke ook zijn advies in winnen.40 Dat advies en wat met dat advies door de
verwerkingsverantwoordelijke is gedaan moet in de DPIA worden gedocumenteerd. De FG heeft ook als taak toe te zien
op de uitvoering van de DPIA.41 De FG hoeft dus niet de DPIA’s zelf uit te voeren!
Nadere richtsnoeren zijn opgenomen in de WP29, WP29-richtlijnen voor functionarissen voor gegevensbescherming
16/NL WP 243.42
2.4.2. Advies verwerker
Als de gegevensverwerking geheel of gedeeltelijk door een verwerker wordt uitgevoerd, moet de verwerker de
verwerkingsverantwoordelijke ondersteunen met het uitvoeren van de DPIA en alle noodzakelijke informatie
verstrekken.43, 44
2.4.3. Advies betrokkenen
De betrokkenen, of hun vertegenwoordigers moeten om hun mening worden gevraagd.45 Er zijn, afhankelijk van de
specifieke situatie, verschillende geschikte manieren waarop betrokkenen om hun mening gevraagd kunnen worden.
Denk hierbij bijvoorbeeld aan het uitvoeren van een intern of extern onderzoek, het consulteren van consumenten- of
werknemersorganisaties of de toekomstige betrokkenen een vragenlijst sturen.
De redenen om al dan niet met de gegevensverwerking door te gaan moet gedocumenteerd worden. Dit moet zeker als
de beslissing afwijkt van de mening van de betrokkenen of hun vertegenwoordigers. Ook moet beargumenteerd
worden als de gemeente van oordeel is dat er niet naar de mening van de betrokkenen hoeft te worden gevraagd.
2.4.4. Advies overige partijen
Tot slot is het advies om vast te stellen en te documenteren welke andere partijen in deze specifieke situatie betrokken
kunnen worden bij een DPIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de ICT-afdeling, andere
afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts et cetera).
37 AVG artikel 35, lid 2. 38 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia#wie-moet-een-dpia-uitvoeren-5884. 39 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/functionaris-voor-de-gegevensbescherming 40 AVG artikel 35, lid 2. 41 AVG artikel 39, lid 1, onder c. 42 http://ec.europa.eu/newsroom/document.cfm?doc_id=43823, de officiële Nederlandse https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf en onofficiële Nederlandse vertaling van de AP https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_fg.pdf 43 In overeenstemming met AVG artikel 28, lid 3, onder f. 44 AVG overweging 95. 45 AVG artikel 35, lid 9.
15 Informatiebeveiligingsdienst
2.5. Methode uitvoeren DPIA Er kunnen verschillende (internationale) methoden46 worden gebruikt als hulpmiddel bij het uitvoeren van een DPIA
om aan de basiseisen van de AVG te voldoen. Er is dus niet één standaardmethode voor het uitvoeren van een DPIA. De
AVG bevat een overzicht met resultaten die minimaal in een DPIA beschreven moeten worden
2.5.1. Procesbeschrijving DPIA
In Figuur 3 wordt een iteratief proces voor het uitvoeren van een DPIA weergegeven. In de praktijk is het waarschijnlijk
dat elk van de fasen meerdere keren wordt herhaald voordat de DPIA kan worden afgerond.
Figuur 3 Generiek iteratief proces voor het uitvoeren van een DPIA.
Bij de beoordeling van het effect van een gegevensverwerking moet rekening worden gehouden met de naleving van
een voor de gemeente geldende gedragscode (zie ook paragraaf 4.6 ‘Beschrijf gedragscode’).47 Dit kan nuttig zijn om
aan te tonen dat adequate maatregelen zijn gekozen of geïmplementeerd, op voorwaarde dat de gedragscode passend
is voor de gegevensverwerking. Er moet ook rekening worden gehouden met certificeringen, zegels en merktekens
waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij gegevensverwerkingen
handelen in overeenstemming met de AVG48 , evenals met bindende bedrijfsvoorschriften49.
De verwerkingsverantwoordelijke moet toetsen om te beoordelen of de gegevensverwerking overeenkomstig de DPIA
wordt uitgevoerd, ten minste als sprake is van een verandering van het risico dat de gegevensverwerking met zich
meebrengt.50,51
46 Zie bijlage 1 ‘Voorbeelden van bestaande EU-kaders voor gegevensbeschermingseffectbeoordelingen’ die door de WP29 is opgesteld (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf). 47 AVG artikel 40 en AVG artikel 35, lid 8. 48 AVG artikel 42. 49 AVG artikel 47. 50 AVG artikel 35, lid 11. 51 In AVG artikel 35, lid 10, wordt alleen de toepassing van AVG artikel 35, leden 1 tot en met 7, uitdrukkelijk uitgesloten.
1. Beschrijving van beoogde
gegevensverwerking en de benodigde systemen
2. Beoordeling rechtmatigheid
gegevensverwerkingen
3. Risicobeoordeling
4. Beschrijving voorgenomen maatregelen
5. Documentatie
6. Toezicht en evaluatie
2.5.2. Inhoud van een DPIA
In de AVG is beschreven wat een DPIA tenminste dient te bevatten:52
• "een systematische beschrijving van de beoogde gegevensverwerkingen en de verwerkingsdoeleinden,
waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke
worden behartigd";
• "een beoordeling van de noodzaak en de evenredigheid van de gegevensverwerkingen";
• "een beoordeling van de [...] risico's voor de rechten en vrijheden van betrokkenen";
• "de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en
mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze
verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en
andere personen in kwestie”.
2.5.3. Gemeenschappelijke criteria DPIA
Alle relevante eisen die in de AVG zijn beschreven, bieden een breed, algemeen kader voor het ontwerpen en uitvoeren
van een DPIA. De praktische implementatie van een DPIA hangt af van de eisen die in de AVG zijn uiteengezet. Deze
eisen kunnen worden aangevuld met meer gedetailleerde praktische richtsnoeren. De uitvoering van de DPIA is dus
schaalbaar. Dit betekent dat zelfs een kleine verwerkingsverantwoordelijke een DPIA kan ontwerpen en uitvoeren die
geschikt is voor zijn gegevensverwerkingen.
In de AVG worden een aantal onderdelen van de DPIA geschetst die overlappen met welomschreven onderdelen van
risicobeheer (bv. ISO 3100053).54 Wat risicobeheer betreft, is een DPIA gericht op het "beheren van risico's" voor de
rechten en vrijheden van natuurlijke personen.
De DPIA is overeenkomstig de AVG een instrument om risico's voor de rechten van de betrokkenen te beheren, waarbij
dus hun perspectief wordt ingenomen. De AVG laat verwerkingsverantwoordelijken vrij om de precieze structuur en
vorm van de DPIA te bepalen, zodat zij deze beoordeling kunnen laten aansluiten op bestaande werkmethoden.
Ongeacht de vorm moet een DPIA een risicobeoordeling zijn op basis waarvan verwerkingsverantwoordelijken
maatregelen kunnen nemen om de risico's aan te pakken.
Om verschillende benaderingen mogelijk te maken en om verwerkingsverantwoordelijken in de mogelijkheid te stellen
aan de AVG te voldoen, zijn door de WP29 gemeenschappelijke criteria vastgesteld (zie Error! Reference source not
found.). Deze criteria verduidelijken de basiseisen van de AVG, maar laten voldoende ruimte voor verschillende
uitvoeringsvormen. Deze criteria kunnen worden gebruikt om aan te tonen dat een bepaalde DPIA-methode voldoet
aan de door de AVG vereiste standaarden. Het is aan de verwerkingsverantwoordelijke om een methode te kiezen,
maar de gekozen methode moet voldoen aan de criteria zoals in Error! Reference source not found. beschreven.
2.6. Betrokkenen bij uitvoeren DPIA Zoals in paragraaf 2.4 ‘Uitvoerder DPIA’ aangegeven is het de verantwoordelijkheid van de
verwerkingsverantwoordelijke om ervoor te zorgen dat de DPIA wordt uitgevoerd. Alleen om een DPIA zo goed en
compleet mogelijk in te vullen is een is een diversiteit aan deskundige nodig. Welke expertise wanneer nodig is hangt af
van de fase die ingevuld wordt. Onderstaand overzicht geeft een indicatie en zal per DPIA vastgesteld dienen te
worden.
52 AVG artikel 35, lid 7, en de AVG overwegingen 84 en 90. 53 Richtlijnen voor de implementatie van risicomanagement (https://www.iso.org/iso-31000-risk-management.html). 54 AVG overweging 90.
17 Informatiebeveiligingsdienst
Benodigde expertise zijn onder andere:
• Proceseigenaar.
Bijvoorbeeld bij de Beschrijving van beoogde gegevensverwerking
• Systeemeigenaar.
Bijvoorbeeld bij de beschrijving van de beoogde gegevensverwerking, de systemen voor gegevensverwerking en
de risicobeoordeling, de risicobeoordeling en het vaststellen van de voorgenomen maatregelen.
• Functioneel beheerder.
Bijvoorbeeld bij de beschrijving van de beoogde gegevensverwerking, de systemen voor gegevensverwerking, de
risicobeoordeling en het vaststellen van de voorgenomen maatregelen.
• Technisch beheerder
Bijvoorbeeld bij de beschrijving van de systemen voor gegevensverwerking, de risicobeoordeling en het vaststellen
van de voorgenomen maatregelen.
• Juridische experts
Bijvoorbeeld bij de beoordeling van de rechtmatigheid voor gegevensverwerkingen en de risicobeoordeling.
• Informatiebeveiliging experts (bijvoorbeeld de CISO)
Bijvoorbeeld bij de risicobeoordeling en het vaststellen van de voorgenomen maatregelen.
3. DPIA-tool IBD De online community voor informatiebeveiliging55 is door de IBD opgericht vanuit de behoefte van gemeenten om de
onderlinge dialoog en kennisuitwisseling over informatiebeveiliging te stimuleren. Op deze website kunnen gemeenten
gebruik maken van de DPIA-tool van de IBD.56 Deze DPIA-tool was een verzoek van gemeenten en de IBD heeft
vervolgens onderzocht welke tools beschikbaar zijn en het beste aansluiten bij de behoeften van gemeenten. De
uitkomst van dit onderzoek was de tool die is ontwikkeld door de Franse equivalent van de AP namelijk de ‘Commission
Nationale de l'Informatique et des Libertés (CLIN)57. De CNIL is een onafhankelijke Franse instantie die tot taak heeft
ervoor te zorgen dat de wet met betrekking tot gegevensbescherming wordt toegepast op de gegevensverwerking van
persoonsgegevens. Het is de nationale gegevensbeschermingsautoriteit voor Frankrijk.
Figuur 4 DPIA-logo.
De CLIN heeft een DPIA-tool58 beschikbaar gesteld, zie Error! Reference source not found. De DPIA-software helpt om
de impactbeoordeling van gegevensbescherming uit te voeren, de DPIA-software is open source. De DPIA-software
helpt verwerkingsverantwoordelijke bij het voldoen en aantonen van naleving van de AVG. De DPIA-tool is door CLIN
beschikbaar gesteld in het Frans en in het Engels, maar is door de community vertaald in andere talen waaronder
Nederlands. Het vergemakkelijkt het uitvoeren van een DPIA. Van deze DPIA-tool zijn twee varianten beschikbaar:
• Lokale versie die op een lokale computer kan worden geïnstalleerd en deze versie is beschikbaar voor Windows,
Linux 32 of 64-bits, en Max OS.59
• Web-versie die moet worden geïmplementeerd op de servers van de gemeente. Het is beschikbaar in een front60-
of back-end61 modus. De code is open source, en kan worden aangepast aan de bestaande computeromgeving.
Diverse sessies op IBD regiobijeenkomsten en een uitgebreide test met 27 gemeenten hebben vervolgens geleid tot de
huidige versie van de DPIA-tool. Ten opzichte van de oorspronkelijke versie van de tool zijn de teksten beter vertaald,
uitgebreid en beter toepasbaar gemaakt voor gemeenten. Verder zijn de algemene beveiligingsmaatregelen vervangen
door makkelijk te selecteren BIO-maatregelen.
55 https://community.informatiebeveiligingsdienst.nl/ 56 https://pia.informatiebeveiligingsdienst.nl/#/ 57 https://www.cnil.fr/en/home 58 https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment 59 Windows: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-Setup-1.6.3.exe of Linux 32 bits: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3-i386.AppImage of Linux 64-bits: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3-x86_64.AppImage of Mac OS: https://github.com/LINCnil/pia-app/releases/download/1.6.3/PIA-1.6.3.dmg 60 https://github.com/LINCnil/pia 61 https://github.com/LINCnil/pia-back
19 Informatiebeveiligingsdienst
3.1. Delen van DPIA’s Een belangrijk uitgangspunt van de DPIA-tool is het default delen van de ingevulde DPIA’s met alle andere leden van de
IBD-community. De leden van de IBD-community zijn allemaal werkzaam bij gemeenten of gemeentelijke
samenwerkingsverbanden die zijn aangesloten bij de IBD. Het voordeel van standaard delen is dat gebruikers reeds
ingevulde DPIA’s van andere gemeenten als basis voor hun eigen DPIA kunnen gebruiken, dit spaart tijd, komt de
professionaliteit en de kwaliteit van de DPIA’s ten goede en maakt het makkelijk om anderen te laten meekijken met de
eigen DPIA. Als er een hele gedetailleerde omschrijving van de (nog te nemen) beveiligingsmaatregelen aan de DPIA
zou willen toevoegen kan dat natuurlijk beter niet gedeeld worden in deze DPIA-tool. Verwijs in dat geval naar een
bijlage die niet aan de DPIA-tool wordt toevoegt.
Gebruiken van DPIA’s van andere gemeenten
Het is prima om DPIA’s van anderen in te zien maar ga er niet in wijzigen. Om reeds ingevulde DPIA’s van andere
gemeenten te gebruiken kan een bestaande DPIA worden gedupliceerd. Hiervoor is een knop op het dashboardscherm
in de kolom “acties”. Wordt hierop gedrukt dan wordt een kopie gemaakt en in de lijst gezet onder dezelfde naam met
COPY ervoor. Van de kopie kan de naam worden gewijzigd en hierin kunnen de wijzigingen worden aangebracht.
3.2. Naamgeving DPIA’s Als er een DPIA gaat aanmaken is het eerste dat je moet doen een naam opgeven voor je DPIA. Om het makkelijk te
maken om relevante DPIA’s te vinden die als basis voor je eigen DPIA kunnen dienen is het handig dat iedereen
dezelfde naamgeving hanteert. Probeer hierbij aan te sluiten bij de GEMMA-referentiearchitectuur.62 Dit maakt het ook
mogelijk om het bijbehorende BIO- BBN bij te zoeken en de daarbij horende verplichte of aanbevolen
beveiligingsmaatregelen. Dit is ook de link naar het register van gegevensverwerkingen waar bijvoorbeeld gezocht kan
worden welke gegevens worden verwerkt van welke betrokkenen, wat de grondslag is en wat de bewaartermijnen zijn.
De IBD legt op dit moment de laatste hand aan een volledig gevuld standaard register van gegevensverwerkingen,
mede op basis van de GEMMA-referentiecomponenten63.
Begin de naam van de DPIA met een domein (Generiek, Bestuur, OOV, Ondersteuning, Publieksdiensten, Ruimtelijk
Domein, Sociaal Domein, Informatiebeveiliging) en daarna met de naam van een referentiecomponent uit deze lijst en
daarna de eigen algemene omschrijving. Bijvoorbeeld: Publieksdiensten-baliecomponent-xxxxxx.
Het tweede veld dat moet worden ingevuld bij een nieuwe DPIA is het veld “aanpassen”. Gebruik dit veld om als eerste
de gemeentenaam in te vullen, hierdoor kan later gemakkelijk de eigen DPIA’s worden teruggevonden.
3.3. Opslag DPIA’s Om ervoor te zorgen dat de DPIA’s worden gedeeld, beveiligd, opgeslagen en gebackupt is het nodig om bij het eerste
gebruik van de tool de servernaam (https://pia.informatiebeveiligingsdienst.nl) in te vullen rechtsboven onder Tools
instellingen. Wordt dit niet gedaan dan wordt het werk in de eigen browser opgeslagen en kunne niet de DPIA’s van
anderen worden ingezien.
In Figuur 7 wordt de back-end architectuur van de DPIA-tool weergegeven. Om als gebruiker verbinding te leggen met
de server moet de gebruiker 2 stappen doorlopen. Deze zijn:
1 Stap 1: Op de website van de DPIA-tool (https://pia.informatiebeveiligingsdienst.nl/), moet de gebruiker in de
menu optie ‘Tools’ op ‘instellingen’ klikken. Daarna wordt het scherm getoond zoals in Figuur 5.
2 Stap 2: Hier moet de gebruiker het server-adres https://pia.informatiebeveiligingsdienst.nl/ invoeren, zodat de
uitgevoerde DPIA’s centraal worden opgeslagen. Het centraal opslaan is noodzakelijk om de DPIA’s makkelijk te
kunnen delen met andere gemeenten.
62 https://www.gemmaonline.nl/index.php/Gemeentelijke_Model_Architectuur_(GEMMA) 63 https://www.gemmaonline.nl/index.php/Overzicht_alle_referentiecomponenten
Figuur 5 Instellingen-scherm van de DPIA-tool.
Als het server-adres niet wordt ingevuld worden de uitgevoerde DPIA’s lokaal in de omgeving van de gebruikte browser
opgeslagen (zie Figuur 6).64 Op het moment dat een andere browser, op dezelfde of een andere computer, wordt
gebruikt ziet men de eerder uitgevoerde DPIA’s niet. Iedere browser gebruik zijn eigen lokale omgeving. Worden DPIA’s
uitgevoerd met dezelfde browser op dezelfde computer, dan ziet men uiteraard de eerder uitgevoerde DPIA’s wel.
Figuur 6 DPIA-tool lokale opslag.
Als de gebruiker wel gebruik maakt van de server omgeving zoals in Figuur 7 wordt weergegeven, maar de gebruiker
maakt gebruik van verschillende browsers dan moet de gebruiker op iedere browser de stappen uit Figuur 7 doorlopen
worden. Dit hoeft alleen de eerste keer doorlopen te worden, daarna haalt de browser dit server-adres uit de lokale
omgeving van de browser.
64 In veel webbrowser zitten verborgen hulpprogramma’s, die bijzonder handig kunnen zijn bij het bouwen van een website. Deze hulpprogramma’s voor ontwikkelaars, ook wel de ‘Developer Tools’ genoemd, zijn een nuttig middel om een gebouwde website te analyseren en te verbeteren. Via deze hulpprogramma’s kan ook de inhoud van de lokaal uitgevoerde DPIA’s worden bekeken (onderdeel IndexedDB). Doe dit alleen op het moment dat u ervaring heeft met dit soort hulpprogramma’s.
Netwerk IBD
Internet
Centrale
DPIA
Database
https://pia.ibd.max.nl/
Stap 1
Stap 2
Dit veld is leeg op het moment dat de webapplicatie
voor de eerste keer wordt bezocht met een browser.
Dit veld kan op het moment dat het is ingevuld
uiteraard ook weer leeg worden gemaakt.
Op het moment dat het extrne server (URL) veld
leeg is wordt er geen verbinding gelegd met de
centrale DPIA database, maar wordt de DPIA-
invoer lokaal in de browser-omgeving opgeslagen.
XFirefox
Chrome
Internet
Explorer
Safari
Lokale
DPIA DB
Lokale
DPIA DB
Lokale
DPIA DB
Lokale
DPIA DB
21 Informatiebeveiligingsdienst
Figuur 7 DPIA-tool back-end architectuur.
3.4. Workflow binnen de DPIA-tool De DPIA-tool is verdeeld in secties die in de linker kolom van je scherm worden getoond. De eerste twee secties
bevatten vragen die gewoon beantwoord moeten worden over de context en de fundamentele principes bij de
gegevensverwerking.
In de derde sectie moeten eerst privacy- en beveiligingsmaatregelen worden geselecteerd. Vanaf 1-1-2020 is de BIO
van kracht voor de gehele overheid.65 Daarom zijn de meeste BIO-maatregelen voor vertrouwelijkheid al opgenomen in
deze DPIA-tool. In de sectie “Risico’s” onder het eerste kopje “Geplande of bestaande maatregelen”. Ze zijn aanklikbaar
in de DPIA vanaf de rechter kolom van het scherm.
Daarna worden de risico’s voor betrokkenen geanalyseerd langs de assen onrechtmatige toegang, onrechtmatige
wijziging, en verlies van persoonsgegevens. Dit resulteert uiteindelijk in een grafisch overzicht van de (rest)-risico’s.
De vierde sectie is gereserveerd voor beoordeling en goedkeuring. Hierin is ook het actieplan opgenomen, een
overzicht van de punten uit de DPIA waarop actie geformuleerd is tijdens de review. Dit plan volgt uit de
validatie/controle van de overige drie secties, bijvoorbeeld door de Functionaris Gegevensbescherming (FG).
3.5. Ondersteunde browsers De DPIA-tool ondersteunt alleen moderne browsers. De volgende browsers worden in ieder geval ondersteund:
• Mozilla Firefox
• Microsoft Edge
• Google Chrome
De browser Microsoft Internet Explorer geeft problemen en kan niet worden gebruikt.
Bij opmerkingen of verbetervoorstellen voor de DPIA-tool kan hierover de IBD worden benaderd op 070-373-8011 of
65 https://www.informatiebeveiligingsdienst.nl/project/baseline-informatiebeveiliging-overheid/
Netwerk IBD
Internet
Centrale
DPIA
Database
https://pia.ibd.max.nl/
Stap 1
Stap 2
Firefox
Chrome
Internet
Explorer
Safari
4. Beschrijf beoogde gegevensverwerking
Context
Dit gedeelte geeft u een duidelijk beeld van de behandeling(en) van de betreffende persoonsgegevens.
Overzicht
In dit deel kunt u het object van het onderzoek identificeren en presenteren.
Vragen uit de DPIA-tool:
1 Welke gegevensverwerking wordt overwogen?
Presenteer een korte schets van de gegevensverwerking: de naam, inzet en afbakening.
2 Wat zijn de doeleinden van de gegevensverwerkingen?
Benoem de doeleinden van de gegevensverwerkingen. Geef de doelen een nummer zodat je er bij de detailvragen
over de persoonsgegevens en doelbinding naar kunt verwijzen.
3 Waar vinden de gegevensverwerkingen plaats?
Benoem de locaties (landen) waar de gegevensverwerkingen plaatsvinden.
4 Welke verantwoordelijkheden zijn verbonden aan de gegevensverwerking?
Beschrijf de verantwoordelijke(n), de mogelijke gegevensverwerkers, de betrokkenen, van wie de
persoonsgegevens worden betrokken en welke categorieën functionarissen bij de te verwerken persoonsgegevens
kunnen (Zie paragraaf 4.4).
5 Welke wet- en regelgevingen hebben betrekking op de gegevensverwerkingen?
Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke gevolgen voor de
voorgenomen gegevensverwerkingen.
6 Zijn er normen van toepassing op de gegevensverwerking?
Maak een lijst van de relevante normen die van toepassing zijn op de gegevensverwerking, met name
goedgekeurde gedragscodes en certificeringen van gegevensbescherming.
De AVG vereist dat een systematische beschrijving van de gegevensverwerking wordt gegeven en dat rekening wordt
gehouden met de aard, omvang, context en doelen van de gegevensverwerking.66 Bij voorkeur wordt dit ingevuld door
de proces- of systeemeigenaar. De beschrijving bevat ten minste een systematische beschrijving van de beoogde
gegevensverwerkingen en de verwerkingsdoeleinden, waaronder de gerechtvaardigde belangen die door de
verwerkingsverantwoordelijke worden behartigd.67
Hier wordt de eerste stap beschreven van het proces voor het uitvoeren van een DPIA (zie Figuur 3). Dit gedeelte
moet een duidelijke en complete beschrijving bevatten met een overzicht van de relevante feiten van de voorgenomen
gegevensverwerkingen. Als de feiten onduidelijk zijn, werkt dit door in de uiteindelijke beoordeling.
Maak hierbij zoveel mogelijk gebruik van eventueel eerder uitgevoerde analyses en toetsen. Denk hierbij aan de:
• Baselinetoets BBN BIO68;
• Diepgaande risicoanalyse69;
• Dataclassificatie70;
• DPIA met betrekking tot vergelijkbare gegevensverwerkingen.
66 AVG overweging 90. 67 AVG artikel 35, lid 7, onder a. 68 Zie hiervoor het operationele BIO document ‘Baselinetoets BBN BIO’ van de IBD. 69 Zie hiervoor het operationele BIO document ‘Diepgaande Risicoanalysemethode gemeenten’ van de IBD. 70 Zie hiervoor het operationele BIO document ‘Handreiking dataclassificatie’ van de IBD.
23 Informatiebeveiligingsdienst
4.1. Beschrijf verwerkingsvoorstel
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Welke gegevensverwerking wordt overwogen?
• Toelichting: Presenteer een korte schets van de gegevensverwerking: de naam, inzet en afbakening.
Om een DPIA uit te voeren moet duidelijk zijn waarop deze DPIA betrekking heeft. Beschrijf daarom het
verwerkingsvoorstel waarop de DPIA van toepassing is en op hoofdlijnen de context waarbinnen deze plaatsvindt.
Hierdoor wordt voorkomen dat bij de overige onderwerpen uit deze DPIA hier verschillend over wordt gedacht. Als er
een projectvoorstel of een beschrijving van de architectuur beschikbaar is kan daarbij worden aangesloten,
bijvoorbeeld een Programma Start Architectuur (PSA). Ten behoeve van de duidelijkheid kan het nuttig zijn om expliciet
aan te geven waar de DPIA niet over gaat.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Beschrijf hoe de gegevensverwerking verloopt.
• Hoe en waar worden de gegevens verzameld?
• Wat is de verwachte omvang van de gegevensverwerking?
• Wat is het aantallen betrokkenen?
• Wordt binnen het proces om toestemming gevraagd? Zijn er latere uitschrijf/opt-out-mogelijkheden?
• Worden de gegevens bij de betrokkenen verkregen? Zo, nee bij wie dan wel?
• Sluit aan bij bestaande documentatie met betrekking tot de gegevensverwerking.
• Hou de beschrijving kort en bondig, beperk deze beschrijving tot maximaal een A4.
4.1.1. Beschrijf gegevensverwerkingen
Om de rechtmatigheid te kunnen beoordelen, is het noodzakelijk om alle gegevensverwerkingen in beeld te hebben
waarop deze DPIA van toepassing is. In deze paragraaf moeten alle voorgenomen gegevensverwerkingen worden
beschreven. Onder gegevensverwerking wordt verstaan:
• elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens.71 Denk hierbij aan: het
verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of
combineren, afschermen, wissen of vernietigen van gegevens. Met andere woorden, het begrip omvat het gehele
proces dat een persoonsgegeven doormaakt, vanaf het moment van verzamelen tot en met het moment van
vernietigen.
Het verdient aanbeveling om de gegevensverwerkingen zoveel mogelijk te visualiseren, bijvoorbeeld aan de hand van
een input--output (IPO) model72, flowchart73 of workflow. Deze documenten kunnen als bijlage worden toegevoegd aan
de DPIA.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Hoe worden de gegevens gebruikt?
• Worden alle gegevens, elk veld, die beschikbaar zijn gebruikt?
• Visualiseer zoveel mogelijk de gegevensverwerkingen.
71 AVG artikel 4, tweede onderdeel. 72 http://www.sixsigmadaily.com/input-output-model/ 73 http://www.sixsigmadaily.com/flowchart/
4.2. Beschrijf verwerkingsdoeleinden
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Wat zijn de doeleinden van de gegevensverwerkingen?
• Toelichting: Benoem de doeleinden van de gegevensverwerkingen. Geef de doelen een nummer zodat je er bij
de detailvragen over de persoonsgegevens en doelbinding naar kunt verwijzen.
De AVG gaat ervan uit dat persoonsgegevens enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
verwerkingsdoeleinden mogen worden verzameld. De verzamelede persoonsgegevens mogen vervolgens niet verder
op een met die verwerkingsdoeleinden onverenigbare wijze worden verwerkt. Wanneer de persoonsgegevens niet
rechtstreeks bij de betrokkene worden verkregen74 is het noodzakelijk om de verwerkingsdoeleinden waarvoor de
gegevens oorspronkelijk zijn verzameld te herleiden. Zie voor de beoordeling van de verenigbaarheid paragraaf 7.1
‘Beschrijf doelbinding’. Verdere gegevensverwerking wil zeggen dat persoonsgegevens worden verwerkt die al eerder
voor een bepaald doel zijn verzameld. Denk hierbij aan verstrekkingen van persoonsgegevens aan een andere
organisatie die niet oorspronkelijk, ten tijde van het verzamelen van de gegevens, was beoogd.
Bij gegevensverwerkingen ter uitvoering van regelgeving moet binnen het doel worden gebleven dat daarin is
vastgesteld. Het verdient de voorkeur de verwerkingsdoeleinden zoveel mogelijk op het niveau van werk- en
organisatieprocessen te richten.
De verdere gegevensverwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch
onderzoek of statistische verwerkingsdoeleinden wordt overeenkomstig AVG artikel 89, lid 1, niet als onverenigbaar
met de oorspronkelijke verwerkingsdoeleinden beschouwd (‘doelbinding’).75
In deze paragraaf moeten alle verwerkingsdoeleinden van de voorgenomen gegevensverwerkingen worden
beschreven. Geef het expliciete en legitieme doel van de gegevensverwerking aan. De vaststelling van de
verwerkingsdoeleinden is een noodzakelijk voorwaarde om te kunnen beoordelen of de voorgenomen
gegevensverwerkingen rechtmatig zijn (zie hoofdstuk 7 ‘Rechtmatigheid gegevensverwerkingen’) en om vast te stellen
welke maatregelen moeten worden getroffen om de risico’s (zie hoofdstuk 9 ‘Beschrijf risico’s’) te voorkomen of
verkleinen (zie hoofdstuk 10 ‘Beschrijf voorgenomen maatregelen ’). Omschrijf daarom per voorgenomen gegevensverwerking de verwerkingsdoeleinden zo specifiek mogelijk.
Bij verwerkingsdoeleinden kan gedacht worden aan: beveiligen van gebouwen en objecten, behandelen van
personeelszaken, opsporen van strafbare feiten, direct marketing, het innen van vorderingen, het doen van leveringen
en bestellingen, identificatie en authenticatie, het voorbereiden en nemen van Algemene wet bestuursrecht (Awb)76-
besluiten en het behandelen van geschillen. Denk ook aan eventuele nevendoeleinden van de gegevensverwerking,
zoals: wetenschappelijk, statistisch of historisch onderzoek, archiefbeheer, declaratiedoeleinden,
rapportagedoeleinden, verbetering van dienstverlening of (door)ontwikkeling van beleid.
74 De persoonsgegevens zijn afkomstig van een andere persoon, organisatie of uit een bestaand databestand. 75 AVG artikel 5, lid 1, onder b. 76 http://wetten.overheid.nl/BWBR0005537
25 Informatiebeveiligingsdienst
De verwerkingsdoeleinden moeten zoveel mogelijk worden toegespitst op de concrete gegevensverwerking, waarbij
het algemene overkoepelende doel kan worden gebruikt als kapstok waaraan verschillende subdoelen kunnen worden
gehangen, bijvoorbeeld:
• e-mailadres: noodzakelijk voor communicatie met betrokkene;
• IP-adres: noodzakelijk ter verificatie dat alleen vanuit een bepaalde locatie contact wordt gemaakt met het
systeem;
• adresgegevens: noodzakelijk om een beschikking naar de betrokkene te kunnen toezenden;
• financiële gegevens: noodzakelijk om vast te stellen of de betrokken partij in aanmerking komt voor een toeslag;
• strafrechtelijke gegevens: noodzakelijk om een screening te kunnen uitvoeren.
Als de persoonsgegevens kunnen worden gebruikt om het gedrag, de aanwezigheid of prestaties van mensen in kaart
te brengen en/of te beoordelen (ook al is dit niet het verwerkingsdoel) geldt dat het risico bestaat dat de betrokkenen
of de algemene opinie dit als een potentiële bedreiging voor hun privacy zien. Ook als de gegevens niet voor dit
verwerkingsdoel worden gebruikt bestaat het risico dat dit (in de toekomst) wel gebeurt. Denk hierbij bijvoorbeeld ook
aan geolocatie77, personeelsvolgsystemen, beslisondersteuning bij het als dan niet aanbieden van producten of
diensten. Voor de invoering van een personeelvolgsysteem is instemming van de Ondernemingsraad (OR) nodig.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Richt de verwerkingsdoeleinden zoveel mogelijk op het niveau van werk- en organisatieprocessen.
• Wat zijn de doelen van de gegevensverwerking?
• Kunnen deze doelen ook zonder de gegevens worden behaald?
• Worden de gegevens verzameld voor het huidige doel of zijn ze voorheen verzameld voor een ander doel?
• Kunnen de gegevens gebruikt worden om het gedrag, de aanwezigheid of prestaties van mensen in kaart te
brengen en/of te beoordelen (ook al is dit niet het doel)? Zo ja, wat betekent dat voor de betrokkenen?
4.3. Beschrijf verwerkingslocaties
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Waar vinden de gegevensverwerkingen plaats?
• Toelichting: Benoem de locaties (landen) waar de gegevensverwerkingen plaatsvinden.
De locaties waar de voorgenomen gegevensverwerkingen plaatsvinden kunnen aanvullende privacyrisico’s met zich
brengen en daarom onderworpen zijn aan strengere regels en aanvullende maatregelen vereisen. Ook heeft de
verwerkingslocatie mogelijk invloed wie de bevoegde (leidende) privacytoezichthouder is.78 In deze paragraaf dienen
de locaties (landen) benoemd te worden waar de voorgenomen gegevensverwerkingen plaatsvinden.
Om te borgen dat de regels voor de bescherming van persoonsgegevens niet omzeild worden door persoonsgegevens
in een ander land te verwerken, bepaalt de AVG dat gegevensverwerkingen buiten de Europese Unie (EU) alleen onder
bepaalde omstandigheden zijn toegestaan.79 Dit is bijvoorbeeld het geval als het derde land naar het oordeel van de
Europese Commissie (EC) een passend beschermingsniveau heeft (een adequaatheidsbesluit)80 of als gebruik wordt
gemaakt van passende waarborgen om de betrokkenen te beschermen.81 Daarnaast zijn een aantal specifieke situaties
77 https://nl.wikipedia.org/wiki/Geolocatie 78 AVG artikelen 55 en 56. 79 AVG artikel 44. 80 AVG Artikel 45. 81 AVG Artikel 46.
waarin gegevensverwerkingen in een derde land toch zijn toegestaan ondanks het ontbreken van een passend
beschermingsniveau en passende waarborgen, zoals uitdrukkelijke toestemming van de betrokkene.82
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Op welke locaties vindt de gegevensverwerking plaats?
• Waar wordt de persoonsgegevens opgeslagen? Wie kan hierbij?
• Is er sprake van internationale doorgifte?
• Worden gegevens in derde landen verwerkt? Om welke landen gaat het hier?
• Zijn er afspraken met deze derde landen gemaakt? Om welke afspraken gaat het hier, bijvoorbeeld
adequaatheidsbesluit, bindende bedrijfsvoorschriften, et cetera?
4.4. Beschrijf verantwoordelijkheden gegevensverwerking
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Welke verantwoordelijkheden zijn verbonden aan de gegevensverwerking?
• Toelichting: Beschrijf de verantwoordelijke(n), de mogelijke gegevensverwerkers, de betrokkenen, van wie de
persoonsgegevens worden betrokken en welke categorieën functionarissen bij de te verwerken
persoonsgegevens kunnen.
Benoem welke organisaties betrokken zijn bij welke gegevensverwerkingen. Deel deze organisaties per
gegevensverwerking in onder de rollen: verwerkingsverantwoordelijke, verwerker, verstrekker en ontvanger. Benoem
ook welke functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens. Dit is noodzakelijk om
de rechtmatigheid van de voorgenomen gegevensverwerkingen te kunnen beoordelen.
De organisaties die (functioneel) betrokken zijn bij de gegevensverwerkingen zelf en in onderling overleg moeten
bepalen wie in welke hoedanigheid de persoonsgegevens verwerkt. Voor gemeenten kan dat al wettelijk
voorgeschreven zijn. Ook zal moeten worden bepaald, voor zover eveneens niet wettelijk voorgeschreven, welke
functionarissen binnen deze organisaties toegang krijgen tot welke persoonsgegevens, in relatie tot de
verwerkingsdoeleinden van de gegevensverwerking. Bijvoorbeeld aan de hand van een autorisatiematrix83. Hierin moet
bepaald zijn in welke gevallen en onder welke voorwaarden deze functionarissen toegang krijgen tot de
persoonsgegevens. Zo is in de Basisregistratie personen84 vastgelegd wanneer het college van burgemeester en
wethouders (B&W) en wanneer de minister verantwoordelijk is voor het bijhouden van persoonsgegevens in de
basisregistratie85.
Als bij de gegevensverwerking veel maatschappelijke belanghebbenden zijn betrokken dan geldt dat de wijze waarop
maatschappelijke belanghebbenden reageren varieert waardoor het project met betrekking tot het
verwerkingsvoorstel kan vertragen. Er wordt dan ook geadviseerd een plan te maken waarin wordt aangegeven op
welke manier de verschillende belanghebbenden bij het verwerkingsvoorstel worden betrokken of over het
verwerkingsvoorstel worden geïnformeerd.
82 AVG artikel 49. 83 Zie hiervoor het operationele BIO document ‘Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 84 https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/basisregistratie-personen-brp 85 https://www.digitaleoverheid.nl/dossiers/basisregistraties/
27 Informatiebeveiligingsdienst
Als er veel partijen betrokken zijn bij de uitvoering van het projectvoorstel met betrekking tot de gegevensverwerking
dan bestaat het risico dat niet alle partijen zorgvuldig met persoonsgegevens omgaan die tijdens de
gegevensverwerking worden verzameld. Ook bestaat het risico dat de partijen de risico’s en de inspanning die nodig is
om deze te verminderen anders schatten. Er dient dan ook een verwerkersovereenkomst met deze partijen te worden
afgesloten?
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Zijn alle betrokken organisaties beschreven en welke rollen deze organisaties vervullen? Houd bij beantwoording
rekening met: Medewerkers, afnemers, leveranciers, belangengroeperingen, burgers, klanten, toezichthouders,
aannemers en dienstverleners, hard- en softwareleveranciers en ICT Serviceproviders.
• Welke beroepsgroepen86 zijn betrokken bij de gegevensverwerking?
• Wie zijn de maatschappelijke belanghebbenden?
4.4.1. Identificeer de verwerkingsverantwoordelijke(n)
Een verwerkingsverantwoordelijk is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die het doel
van en de middelen voor de gegevensverwerkingen vaststelt.87 Met andere woorden: degene die formeel bevoegd is te
beslissen of persoonsgegevens worden verwerkt, voor welke verwerkingsdoeleinden deze worden verwerkt en op
welke wijze deze worden verwerkt. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de
verwerkingsdoeleinden en middelen van de gegevensverwerking bepalen, zijn zij gezamenlijke
verwerkingsverantwoordelijke en moeten zij onderling vastleggen wie waarvoor verantwoordelijk en aansprakelijk is.88
Om te bepalen wie verantwoordelijk is voor een gegevensverwerking is het antwoord op de volgende vraag
doorslaggevend: Waarom vindt deze gegevensverwerking plaats en wie heeft het initiatief daartoe genomen? 89
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wie is/zijn de verwerkingsverantwoordelijke(n)? Geef een overzicht van de verwerkingsverantwoordelijke(n).
• Is er één of zijn er meerdere verwerkingsverantwoordelijke? Zijn er afspraken, transparant, gemaakt wie waarvoor
verantwoordelijke is?
• Is er een onderlinge regeling vastgesteld?
4.4.2. Identificeer de verwerker(s)
Een verwerker is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die/dat ten behoeve van de
verwerkingsverantwoordelijke persoonsgegevens verwerkt.90,91 De verwerker verwerkt persoonsgegevens voor de
verwerkingsverantwoordelijke, dat wil zeggen volgens zijn instructies en onder zijn verantwoordelijkheid. De verwerker
is (meestal) een buiten de organisatie van de verwerkingsverantwoordelijke staande persoon of organisatie.
De verwerkingsverantwoordelijke en verwerker moeten onderling schriftelijk vastleggen wie waarvoor
verantwoordelijk en aansprakelijk is.92 Om in een concreet geval te bepalen wie de verwerkingsverantwoordelijke is en
wie de verwerker is, moet naast de formele taakverdeling zoals partijen die onderling hebben afgesproken ook worden
gekeken naar de feitelijke omstandigheden. Bijvoorbeeld: waarom vindt de gegevensverwerking plaats en wie heeft
deze geïnitieerd? Dat betekent dat enkel het schriftelijk vastleggen van de taakverdeling niet voldoende is: ook in de
praktijk moet de verwerkingsverantwoordelijke zeggenschap hebben over het doel en de middelen van
gegevensverwerkingen.
86 https://www.nationaleberoepengids.nl/beroepen_per_beroepsgroep 87 AVG artikel 4, zevende onderdeel. 88 AVG artikel 26, eerste lid. 89 Zie ook paragraaf 3.5 ‘Ben ik de verwerkingsverantwoordelijke, of ben ik een verwerker?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 90 AVG artikel 4, achtste onderdeel. 91 Zie ook paragraaf 3.5.1 ‘Ben ik een verwerker?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 92 AVG artikel 28, derde lid.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Geef een overzicht van de verwerkers, zowel de interne als externe verwerkers.93
o Wie zijn als interne verwerker, bijvoorbeeld afdelingen, bij de gegevensverwerking betrokken.
o Wie zijn als externe verwerker, bijvoorbeeld leveranciers, bij de gegevensverwerking betrokken.
• Beschrijf de naam en locatie van de verwerker, de reden waarom het de persoonsgegevens vereist en wat het met
de persoonsgegevens zal doen.
• Neem een verwijzing op naar de verwerkingsovereenkomst.94,95
• Is de taakverdeling schriftelijk vastgelegd?
4.4.3. Identificeer de verstrekker(s)
Een verstrekker is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan die/dat de persoonsgegevens
ter beschikking stelt. Geef een overzicht met de verstrekkers van de persoonsgegevens en zorg ervoor dat de naam van
de derde partij en de locatie is beschreven.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wie zijn de verstrekker(s) van de persoonsgegevens?
• Is de verstrekker de bronhouder96 van de persoonsgegevens?
4.4.4. Identificeer de ontvanger(s)
Een ontvanger is een natuurlijke persoon, een rechtspersoon of een overheidsorgaan aan wie/waaraan de
persoonsgegevens worden verstrekt.97 Geef een overzicht met de ontvangers van de persoonsgegevens en zorg ervoor
dat de naam van de derde partij, de locatie, de reden waarom het de persoonsgegevens vereist en wat het met de
persoonsgegevens zal doen is beschreven.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wie zijn de ontvangers van de persoonsgegevens?
• Wat Is de naam van de derde partij, de locatie, de reden waarom het de persoonsgegevens vereist en wat het met
de persoonsgegevens zal doen?
4.4.5. Identificeer de betrokkenen
Benoem tot slot de categorieën van betrokkenen van wie de persoonsgegevens worden verwerkt. Denk hierbij aan:
medewerkers, consumenten, cliënten, zakelijke contacten, bezoekers of ingezetenen van een gemeente. Betrokkenen
hebben op grond van de AVG bepaalde rechten, zoals het inzage- en correctierecht.98
De omvang en categorie van betrokkenen kunnen invloed hebben op de effecten van het verwerkingsvoorstel. Als de
gegevensverwerking betrekking heeft op de gehele of grote delen van de bevolking geldt dat de kans op misbruik van
de persoonsgegevens groter wordt naarmate meer persoonsgegevens worden verwerkt. Er wordt dan ook geadviseerd
maatregelen te treffen op een hoger beveiligingsniveau.
93 AVG artikel 28. 94 Zie hiervoor het operationele BIO document ‘Handreiking Standaard Verwerkersovereenkomst Gemeenten (VWO)’ en het factsheet ‘Verwerkersovereenkomsten’ van de IBD. 95 Zie ook https://europadecentraal.nl/avg-deel-iii-verwerker-verwerkingsverantwoordelijke-en-verwerkersovereenkomst/. 96 Een bronhouder is verantwoordelijk voor het inwinnen en bijhouden van de authentieke en niet-authentieke gegevens. Bij een basisregistratie is de bronhouder verantwoordelijk voor het borgen van de kwaliteit van die gegevens (onder meer naar aanleiding van ontvangen terugmeldingen). (https://www.digitaleoverheid.nl/beleid/naar-een-gegevenslandschap/themas/rollen-stelsel-basisregistraties/) 97 AVG artikel 4, negende onderdeel. 98 AVG artikelen 15 tot en met 21.
29 Informatiebeveiligingsdienst
Bepaalde betrokkenen zijn kwetsbaarder dan anderen. Met kwetsbaar wordt bedoeld dat de negatieve effecten van
een (onrechtmatige) gegevensverwerking groter kunnen zijn voor bepaalde betrokkenen dan voor andere. Denk
bijvoorbeeld aan: minderjarigen, verstandelijk gehandicapten, mensen die te maken hebben met stalking of die in een
blijf-van-mijn-lijfhuis verblijven, medewerkers van inlichtingen- en veiligheidsdiensten, klokkenluiders of informanten
van politie of justitie. Als persoonsgegevens worden verwerkt van kwetsbare groepen of personen en deze
persoonsgegevens worden misbruikt heeft dit een negatieve beeldvorming tot gevolg in de publieke opinie over de
gemeente. Er wordt dan ook geadviseerd om maatregelen te treffen op een hoger beveiligingsniveau en betrokkenen
de mogelijkheid te bieden zich aan de gegevensverwerking te onttrekken.
De AVG biedt specifieke bescherming aan kinderen, omdat zij zich minder bewust zullen zijn van de effecten van de
gegevensverwerking en van hun rechten in dat kader.99 Die specifieke bescherming geldt met name voor het gebruik
van persoonsgegevens van kinderen voor marketingdoeleinden, het opstellen van persoonlijkheids- of
gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan
kinderen verstrekte diensten. Zo is wanneer het kind jonger is dan 16 jaar zo’n gegevensverwerking alleen rechtmatig
als de toestemming of machtiging tot toestemming wordt verleend door de ouder of voogd.100 Ook heeft de leeftijd van
betrokkenen gevolgen voor de wijze waarop hij geïnformeerd moet worden.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Welke categorieën van betrokkenen worden onderkend?
• Wat is het aantallen betrokkenen?
• Worden persoonsgegevens verwerkt van kwetsbare groepen of personen?
• Hebben de persoonsgegevens betrekking op de gehele of grote delen van de bevolking?
4.4.6. Belangen bij de gegevensverwerking
Beschrijf alle belangen die de verwerkingsverantwoordelijke en anderen hebben bij de voorgenomen
gegevensverwerkingen. Bij de beoordeling van de rechtmatigheid van de gegevensverwerkingen kunnen ook de
belangen (lees: de waarde of de voordelen) die met de gegevensverwerkingen gemoeid zijn een rol spelen. Het kan
hierbij zowel gaan om de private belangen van de verwerkingsverantwoordelijke, betrokkene en derden als het
algemeen belang. Het gaat hier dus niet om de (mogelijk) negatieve gevolgen voor de betrokkenen. Denk hierbij
bijvoorbeeld aan: bedrijfsbelangen, financiële belangen en commerciële belangen, het handhaven van juridische
vorderingen, toezicht op medewerkers ten behoeve van de veiligheid of managementdoeleinden, (nationale of
openbare) veiligheid, zoals de preventie van fraude, misbruik en netwerkbeveiliging, en gezondheid.
Het belang dat gemoeid is met de gegevensverwerkingen werkt door in de toets van de noodzaak (zie paragraaf 7.2 ‘
99 AVG overweging 38. 100 AVG artikel 8, eerste lid.
Beschrijf rechtsgrond’ en 7.3 ‘Beschrijf noodzaak en evenredigheid’).
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wat zijn de belangen bij de gegevensverwerking?
• Wie hebben hier belang bij?
31 Informatiebeveiligingsdienst
4.5. Beschrijf juridisch en beleidsmatig kader
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Welke wet- en regelgevingen hebben betrekking op de gegevensverwerkingen?
• Toelichting: Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke
gevolgen voor de voorgenomen gegevensverwerkingen.
Benoem de wet- en regelgeving, met uitzondering van de AVG, en het beleid met mogelijke gevolgen voor de
gegevensverwerkingen op dit verwerkingsvoorstel en welke specifieke eisen hieruit naar voren komen.101 Naast of in de
plaats van de AVG kan (sectorale) regelgeving de mogelijkheden voor gegevensverwerkingen creëren, conditioneren of
beperken. Voorbeelden van dergelijke wetten zijn: Wet algemene bepalingen burgerservicenummer102, Wet gebruik
burgerservicenummer in de zorg103, Wet basisregistratie personen104, Algemene wet inzake rijksbelastingen105,
Archiefwet 1995106, Telecommunicatiewet107, Kadasterwet108, Handelsregisterwet 2007109, Kieswet110, Wet bijzondere
maatregelen grootstedelijke problematiek111, Wet op de geneeskundige behandelingsovereenkomst112, Wet structuur
uitvoeringsorganisatie werk en inkomen (SUWIwet)113, Omgevingswet114, Jeugdwet115, Wet maatschappelijke
ondersteuning 2015116 en Participatiewet117. Waar nodig dient dit overzicht aangevuld te worden met relevante wet-
en regelgeving die op de gegevenswerking van toepassing is.
Als er (naast de AVG) veel wet- en regelgeving ten aanzien van persoonsgegevens van toepassing is geldt dat hoe meer
wet- en regelgeving hoe hoger het risico dat hieraan niet wordt voldaan. Een grote hoeveelheid wet- en regelgeving
duidt ook op het maatschappelijk belang dat wordt gehecht aan het onderwerp. Er wordt dan ook geadviseerd om de
wet- en regelgeving die van toepassing is in kaart te brengen en de (privacy) consequenties inzichtelijk te maken.
Er kan ook gemeentelijk beleid zijn dat de mogelijkheden voor de voorgenomen gegevensverwerkingen conditioneert
of beperkt. Bijvoorbeeld ten aanzien van de opslag en beveiliging van persoonsgegevens. Aan de hand van deze
inventarisatie kan bij hoofdstuk 7 ‘Rechtmatigheid gegevensverwerkingen’ beoordeeld worden of de voorgenomen
gegevensverwerkingen rechtmatig zijn en bij hoofdstuk 10 ‘Beschrijf voorgenomen maatregelen ’ of specifieke maatregelen voorgeschreven zijn.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Welke wet- en regelgeving, naast de AVG, is van toepassing? Houd bij de beantwoording rekening met: 1.
Sectorale wetgeving. 2. Gedragscodes. 3. Algemene maatregelen van bestuur (AMvB)118 4. Jurisprudentie. 5.
Internationale aspecten.
101 AVG artikel 6, lid 1 onder c en lid 3. 102 http://wetten.overheid.nl/BWBR0022428/ 103 http://wetten.overheid.nl/BWBR0023864/ 104 http://wetten.overheid.nl/BWBR0033715/ 105 http://wetten.overheid.nl/BWBR0002320/ 106 http://wetten.overheid.nl/BWBR0007376/ 107 http://wetten.overheid.nl/BWBR0009950/ 108 http://wetten.overheid.nl/BWBR0004541/ 109 http://wetten.overheid.nl/BWBR0021777/ 110 http://wetten.overheid.nl/BWBR0004627/ 111 http://wetten.overheid.nl/BWBR0019388/ 112 http://wetten.overheid.nl/BWBR0007021/ 113 http://wetten.overheid.nl/BWBR0013060/ 114 https://vng.nl/onderwerpenindex/ruimte-en-wonen/omgevingswet 115 http://wetten.overheid.nl/BWBR0034925/ 116 http://wetten.overheid.nl/BWBR0035362/ 117 http://wetten.overheid.nl/BWBR0015703/ 118 https://www.eerstekamer.nl/begrip/algemene_maatregel_van_bestuur
4.6. Beschrijf gedragscode(s)
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Overzicht: In dit deel kunt u het object van de DPIA identificeren en presenteren.
• Vraag DPIA-tool: Zijn er normen van toepassing op de gegevensverwerking?
• Toelichting: Maak een lijst van de relevante normen die van toepassing zijn op de gegevensverwerking, met
name goedgekeurde gedragscodes en certificeringen van gegevensbescherming.
Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte
gegevensverwerkingen moet de naleving van een goedgekeurde gedragscodes119 in aanmerking worden genomen.120
Als een gedragscode van toepassing is: geef hier dan aan om welke gedragscode het gaat. Er zijn op het moment van
schrijven van deze handreiking, voor zover bekend, (nog) geen branchecodes overeengekomen.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt gebruik gemaakt van, goedgekeurde, gedragscodes?
• Door wie is de gedragscode goedgekeurd, bijvoorbeeld de AP?
119 AVG artikel 40. 120 AVG artikel 35, lid 8.
33 Informatiebeveiligingsdienst
5. Beschrijf kenmerken gegevensverwerking
Context
In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende persoonsgegevens.
Gegevens, processen en de levenscyclus ondersteunende systemen
In dit deel kunt u de omvang van de gegevensverwerking in detail definiëren en beschrijven.
Vragen uit de DPIA-tool:
1 Welke gegevens worden verwerkt?
Maak per verwerkingsdoel een lijst van de verzamelde en verwerkte persoonsgegevens. Definieer voor elk de
bewaartermijn, de ontvangers en personen met toegang daartoe.
2 Welke bijzondere persoonsgegevens worden verwerkt?
Maak een lijst van de verzamelde en verwerkte bijzondere persoonsgegevens. Definieer voor elk de
bewaartermijn, de ontvangers en personen met toegang daartoe.
3 Hoe werkt de levenscyclus van gegevens en processen?
Presenteer en beschrijf hoe het product in het algemeen werkt (van de gegevensverzameling tot de vernietiging
van gegevens, de verschillende verwerkingsfasen, opslag, et cetera), met behulp van bijvoorbeeld een diagram van
gegevensstromen (voeg het toe als bijlage) en een gedetailleerde beschrijving van de processen uitgevoerd.
Beschrijf hier de context en het doel van de gegevensverwerking. De specifieke doelen kunnen in detail worden
vermeld in paragraaf 7.1 ‘Beschrijf doelbinding’.
5.1. Beschrijf persoonsgegevens
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de
gegevensverwerking in detail definiëren en beschrijven.
• Vraag DPIA-tool: Welke gegevens worden verwerkt?
• Toelichting: Maak per verwerkingsdoel een lijst van de verzamelde en verwerkte persoonsgegevens. Definieer
voor elk de bewaartermijn, de ontvangers en personen met toegang daartoe.
Som alle categorieën van persoonsgegevens op die worden verwerkt. Onder persoonsgegeven wordt verstaan: alle
informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.121 Natuurlijke personen wil zeggen
mensen. Informatie over overleden personen, rechtspersonen, dieren, zaken en objecten zijn normaal gesproken geen
persoonsgegeven.122 Deze informatie kwalificeert weer wel als persoonsgegeven, als die ook betrekking heeft op een
levende persoon. Geef per categorie van persoonsgegevens aan op wie die betrekking hebben. Deel deze
persoonsgegevens in onder de typen: gewoon, bijzonder, strafrechtelijk en wettelijk identificerend.
Om te bepalen of iemand identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan
redelijkerwijs valt te verwachten dat zij kunnen worden gebruikt om de persoon te identificeren.123
121 AVG artikel 4, eerste onderdeel. 122 AVG overweging 27. 123 AVG overweging 26.
Gepseudonimiseerde (ook wel: versleutelde) gegevens worden als persoonsgegevens beschouwd.124 Onder
pseudonimisering wordt verstaan: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens
niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens (sleutels)
worden gebruikt. Hieraan wordt wel de eis verbonden dat deze aanvullende gegevens apart worden bewaard en
maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een persoon worden
gekoppeld.125
Anonieme en geanonimiseerde gegevens zijn geen persoonsgegevens. Met anoniem en geanonimiseerd wordt bedoeld
dat de persoon op wie het gegeven betrekking heeft, niet (meer) identificeerbaar is.126 Het anonimiseren van
persoonsgegevens als zodanig is overigens weer wel een gegevensverwerking van persoonsgegevens.
Voorbeelden van persoonsgegevens zijn: naam, voorvoegsel, adres, telefoonnummer, e-mailadres, leeftijd,
geboortedatum en -plaats, geslacht, woonplaats, nationaliteit, IP-adres127, MAC-adres128, KvK-nummer129,
voertuigidentificatienummer, winst eenmanszaak, bankrekeningnummer en -saldo, IQ130, functie, opleiding, inkomens-
en vermogensgegevens, kredietwaardigheid, persoonlijke voorkeuren, loonschaal, verslag van een
functioneringsgesprek en (wan)gedrag. Ook metadata – informatie over informatie – zijn persoonsgegevens als hieruit
de identiteit van de betrokkene kan worden herleid. Voorbeelden van metadata zijn: welke browser of smartphone
iemand gebruikt, wanneer een document is opgesteld of voor het laatste bewerkt en de geschreven taal. Ook locatie-
informatie en geografische informatie zijn persoonsgegevens als deze informatie herleidbaar is tot een natuurlijke
persoon. Denk hierbij aan de koppeling van gegevens uit de Basisregistraties Adressen en Gebouwen (BAG)131 aan
andere gegevens en het monitoren van de locaties van voertuigen.
Typen
Stel vervolgens de aard van de te verwerken categorieën van persoonsgegeven vast. De AVG onderscheidt drie typen
van persoonsgegevens – gewone, bijzondere132 en strafrechtelijke133 persoonsgegevens – en stelt verschillende eisen
aan een rechtmatige gegevensverwerking daarvan. De gedachte hierachter is dat hoe gevoeliger de aard van de
persoonsgegevens, hoe groter de effecten voor de betrokkenen zijn.
Bijzondere persoonsgegevens
Hieronder een limitatieve opsomming van categorieën van bijzondere persoonsgegevens (zie ook paragraaf 5.2
‘Beschrijf bijzondere persoonsgegevens’):134
• ras of etnische afkomst;
• politieke opvattingen;
• religieuze of levensbeschouwelijke overtuigingen;
• het lidmaatschap van een vakbond;
• genetische gegevens;
• biometrische gegevens met het oog op de unieke identificatie van een persoon;
• gegevens over gezondheid;
• gegevens over seksueel gedrag of seksuele gerichtheid.
124 AVG overweging 26. 125 AVG artikel 4, onder vijf. 126 AVG overweging 26. 127 IP = Internet Protocol. 128 MAC = Media Access Control. 129 KvK = Kamer van Koophandel. 130 IQ = intelligence quotiënt. 131 https://www.digitaleoverheid.nl/voorzieningen/gegevens/inhoud-basisregistraties/bag/ 132 AVG artikel 9. 133 AVG artikel 10. 134 AVG artikel 9, eerste lid
35 Informatiebeveiligingsdienst
Voorbeelden van bijzondere persoonsgegevens zijn: het adressenbestand van een kerkblad, gegevens die via een
apothekers-app worden verwerkt, ziekte- en verzuimgegevens van werknemers, ledenlijst van een politieke partij,
relatiestatus op sociale media. Let op: uit beeldmateriaal zoals foto’s en camerabeelden kunnen soms ook bijzondere
persoonsgegevens, zoals etnische afkomst of medische gesteldheid, worden afgeleid.
Als bijzondere persoonsgegevens, gevoelige persoonsgegevens, unieke identificerende kenmerken, BSN-nummers of
andere gegevens verwerkt worden waarvoor geldt dat sprake is van een verhoogde gevoeligheid betekent dat een
verhoogd risico op misbruik. Dat heeft een (potentieel grote) impact op de betrokkene en vraagt daarmee om betere
beveiliging. Het verwerken van deze persoonsgegevens is alleen toegestaan onder bepaalde wettelijke voorwaarden.
Ook geldt dat het risico bestaat dat betrokkenen minder snel willen meewerken, of het vertrouwen in de gemeente
vermindert. Er wordt dan ook geadviseerd om andere minder ingrijpende persoonsgegevens te gebruiken. Bovendien
loopt de gemeente compliance risico’s als dit het geval is.
Strafrechtelijke persoonsgegevens
Persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende
veiligheidsmaatregelen (hierna: strafrechtelijke persoonsgegevens) zijn een apart type persoonsgegeven.135 Het gaat
hier zowel om veroordelingen als om verdenkingen van strafbare feiten. Voorbeelden hiervan zijn: proces-verbaal,
sepotbeslissing, strafblad, relaas verhoor en aanvraag voor een toevoeging in een strafzaak.
Wettelijke identificatienummers
Nummers ter identificatie van een persoon die bij wet zijn voorgeschreven, mogen slechts worden verwerkt voor
verwerkingsdoeleinden die bij wet zijn bepaald.136,137 De gedachte hierachter is dat persoonsnummers de koppeling van
verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke
levenssfeer vormen. Denk hierbij aan: een Burgerservicenummer (BSN)138, 139, BIG-nummer (Beroepen in de Individuele
Gezondheidszorg) 140, A-nummer (administratienummer basisregistratie personen141), onderwijsnummer,
strafrechtketennummer (SKN)142 en kenteken. Het gaat hierbij enkel om in de wet voorgeschreven
persoonsidentificerende nummers.
Overige persoonsgegevens
Alle overige persoonsgegevens die geen bijzondere of strafrechtelijke persoonsgegevens zijn worden aangemerkt als
gewone persoonsgegevens. Gewone persoonsgegevens wil overigens niet zeggen dat geen sprake is van een hoog
privacyrisico. Bepaalde persoonsgegevens kunnen door de context waarin zij worden gebruikt gevoelig zijn en daardoor
een hoog privacyrisico met zich brengen. Hierbij kan gedacht worden aan:
• gegevens over de financiële of economische situatie van de betrokkene;
• gegevens over overtredingen van wettelijke voorschriften, bestuurlijke en/of tuchtrechtelijke maatregelen of
sancties;
• (andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene;
• gegevens die betrekking hebben op kwetsbare groepen;
• gebruikersnamen, wachtwoorden en andere inloggegevens;
• gegevens die kunnen worden misbruikt voor (identiteits)fraude;
• communicatie- en locatiegegevens.143
135 AVG artikel 10. 136 AVG artikel 87. 137 Uitvoeringswet Algemene verordening gegevensbescherming artikel 44 (https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming). 138 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/burgerservicenummer-bsn 139 Onder de AVG is het Burgerservicenummer geen bijzonder persoonsgegeven, zie: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/blijft-het-bsn-straks-een-bijzonder-persoonsgegeven 140 http://wetten.overheid.nl/BWBR0006251/ 141 http://data.stelselvanbasisregistraties.nl/gba/doc/gegevenselement/A-nummer_persoon-Natuurlijk_persoon 142 https://www.rijksoverheid.nl/documenten/rapporten/2015/07/08/tk-bijlage-identiteitsvastelling-in-de-strafrechtsketen 143 Staatscourant 2013, nr. 5174, p. 14 (https://zoek.officielebekendmakingen.nl/stcrt-2013-5174.pdf).
Een belangrijke vraag die steeds gesteld moet worden is of het doel met minder ingrijpende (andere)
persoonsgegevens kan worden bereikt. Als dit niet mogelijk moet gekeken worden of de persoonsgegevens kunnen
worden geanonimiseerd of pseudo-anoniem kunnen worden gemaakt. Hierdoor kan het nemen van verdere
maatregelen ter bescherming van de privacy van de betrokkenen worden geminimaliseerd. Er wordt wel geadviseerd
om periodiek na te gaan of de persoonsgegevens niet indirect herleidbaar zijn.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Maak categorieën van de betrokkenen (personen) van wie de persoonsgegevens kunnen worden verwerkt
(bijvoorbeeld werknemers, burgers of medewerkers van leveranciers).
• Geef de soorten persoonsgegevens die kunnen worden verwerkt (bijvoorbeeld namen, adressen,
telefoonnummers en/ of bankrekeninggegevens).
• Worden bijzondere persoonsgegevens, gevoelige persoonsgegevens, unieke identificerende kenmerken, BSN-
nummers of andere gegevens verwerkt waarvoor geldt dat sprake is van een verhoogde gevoeligheid? Zo ja, welke
persoonsgegevens zijn dat?
• Worden persoonsgegevens van kinderen verwerkt, jonger dan 16 jaar. Zo ja, is toestemming of machtiging tot
toestemming in dit verband verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind
draagt?
• Markeer eventuele vertrouwelijke gegevens of gevoelige persoonsgegevens.
• Kan het doel met minder ingrijpende (andere) persoonsgegevens worden bereikt? Bijvoorbeeld geanonimiseerde
of gepseudonimiseerde persoonsgegevens (terwijl daar op dit moment geen gebruik van wordt gemaakt).
5.2. Beschrijf bijzondere persoonsgegevens
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de
gegevensverwerking in detail definiëren en beschrijven.
• Vraag DPIA-tool: Welke bijzondere persoonsgegevens worden verwerkt?
• Toelichting: Maak een lijst van de verzamelde en verwerkte bijzondere persoonsgegevens. Definieer voor elk de bewaartermijn, de ontvangers en personen met toegang daartoe.
Bij het verwerken van bijzondere of strafrechtelijke persoonsgegevens moeten gemeenten, beoordelen of één van de
wettelijke uitzonderingen op het verwerkingsverbod van toepassing is. Bij gegevensverwerking van een wettelijk
identificatienummer144 beoordeel of dat is toegestaan.145 Voor de overheid is het gebruik van een uniek
persoonsnummer, het BSN, geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb)146.
Gemeenten kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak
gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep
kunnen doen op Wabb artikel 10 dient het gebruik te zijn voorgeschreven in sectorale wetgeving.
144 Identificatienummers worden in de AVG en de Uitvoeringswet niet aangemerkt als bijzondere categorieën van persoonsgegeven. Artikel 46 van de Uitvoeringswet regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de gegevensverwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor verwerkingsdoeleinden bij de wet bepaald (https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming). 145 AVG artikel 87. 146 http://wetten.overheid.nl/BWBR0022428/
37 Informatiebeveiligingsdienst
De AVG verbiedt de gegevensverwerking van bijzondere persoonsgegevens. Op dit verwerkingsverbod gelden de
volgende uitzonderingen:
a. de betrokkene heeft uitdrukkelijke toestemming gegeven;
b. de gegevensverwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van
specifieke rechten op het gebied van arbeids- en sociaalzekerheidsrecht;
c. de gegevensverwerking is noodzakelijk ter bescherming van vitale belangen van de betrokkenen of een ander;
d. de gegevensverwerking wordt verricht door een instantie die op politiek, levensbeschouwelijk, godsdienstig of
vakbondsgebied werkzaam is;
e. de gegevensverwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn
gemaakt;
f. de gegevensverwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
g. de gegevensverwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
h. de gegevensverwerking noodzakelijk is voor preventieve en arbeidsgeneeskunde, voor de beoordeling van de
arbeidsgeschiktheid, medische diagnosen, het verstrekken van gezondheidzorg of sociale diensten of
behandelingen dan wel het beheren van gezondheidszorgstelsels en –diensten of sociale stelsel en diensten;
i. de gegevensverwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid;
j. de gegevensverwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk of
historisch onderzoek of statistische verwerkingsdoeleinden.147
Verdere uitzonderingen zijn te vinden in nationale regelgeving. De AVG bepaalt daarnaast dat gegevensverwerking van
strafrechtelijke gegevens alleen is toegestaan door of onder toezicht van de overheid of als dit bij wet geregeld is (zie
voor de definitie van strafrechtelijke gegevens de toelichting in paragraaf 5.1 ‘Beschrijf persoonsgegevens’).148
De gegevensverwerking van nationale identificatienummers is alleen toegestaan ter uitvoering van de wet of voor
verwerkingsdoeleinden die bij wet zijn bepaald. Overheidsorganen kunnen bij de uitvoering van hun publieke taak
gebruik maken van het BSN, zonder dat daarvoor nadere regelgeving vereist is.149
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Worden bijzondere of strafrechtelijke persoonsgegevens verwerkt? Zo ja, is een van de wettelijke uitzonderingen
op het verwerkingsverbod van toepassing en welke is dat dan?
• Wordt een wettelijk identificatienummer verwerkt? Zo ja, is dit toegestaan en op basis waarvan is dat toegestaan?
• Worden strafrechtelijke gegevens verwerkt? Zo ja, is dit toegestaan en op basis waarvan is dat toegestaan?
• Welke waarborgen voor de rechten en vrijheden van de betrokkene worden geboden?
5.3. Bewaartermijn gegevens.
Geef aan waarom de opslag-/bewaartermijn adequaat en zo kort mogelijk is.150 Geef een korte uitleg van de wettelijke
basis voor het bewaren van de persoonsgegevens als de persoonsgegevens langer op het systeem worden bewaard dan
nodig is voor deze gegevensverwerking. Bepaal en motiveer de bewaartermijnen van de persoonsgegevens aan de
hand van de verwerkingsdoeleinden.
De AVG heeft als uitganspunt dat persoonsgegevens niet langer in een vorm die het mogelijk maakt de betrokkenen te
identificeren, mogen worden bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is
(beperkte bewaartermijn).151 Met andere woorden: als het voor de verwezenlijking van de verwerkingsdoeleinden niet
meer noodzakelijk is de persoonsgegevens te bewaren, moeten deze worden vernietigd of geanonimiseerd. Hierop
maakt de AVG een uitzondering als de persoonsgegevens uitsluitend worden verwerkt ten behoeve van archivering in
147 AVG artikel 9, tweede lid. 148 AVG artikel 10. 149 Artikel 10 Wet algemene bepalingen burgerservicenummer (http://wetten.overheid.nl/BWBR0022428/). 150 https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/bewaren-van-persoonsgegevens 151 AVG artikel 5, lid 1, onder e.
het algemeen belang, wetenschappelijk of historisch onderzoek of statistische verwerkingsdoeleinden. Hieraan wordt
wel de eis verbonden dat passende maatregelen worden getroffen om de betrokkenen te beschermen.152
Bij gegevensverwerkingen moet worden nagegaan of regelgeving een bewaartermijn voorschrijft. Als dat het geval is,
moet de verwerkingsverantwoordelijke zich aan die termijn houden. Als geen wettelijke bewaartermijn is
voorgeschreven, moet de verwerkingsverantwoordelijke zelf bewaartermijnen vaststellen of de persoonsgegevens
periodiek toetsen aan het uitganspunt van opslagbeperking.153 Hierbij moet rekening worden gehouden met andere
regelgeving over bewaartermijnen, zoals de Archiefwet 1995154.
Gemeenten zijn wettelijk gehouden aan de bewaartermijnen van de Selectielijst gemeentelijke en intergemeentelijke
organen 2017. 155 In deze selectielijst wordt onder andere aangegeven dat gemeenten persoonsgegevens langer mogen
bewaren dan de vastgestelde bewaartermijn als dat noodzakelijk is voor een zorgvuldige uitvoering van hun taken op
grond van de wet waarop dit van toepassing is.156 Het betreft met name resultaten waarbij zorg voor meerdere jaren
wordt verleend aan jeugdigen van 0 tot 19 jaar. Dit houdt in dat zaken die betrekking hebben op de betrokken
resultaten altijd aan de proceseigenaren of behandelde ambtenaren zal moeten voorgelegd voordat tot vernietiging
van de archiefbescheiden van deze zaken wordt overgegaan. Op basis van de genoemde zinsnede mogen zaken, als dit
noodzakelijk is voor het bedrijfsbelang, volgens de wetgeving langer bewaard worden. Het is dan wel van belang om de
redenen voor het langer bewaren vast te leggen. In het kader van de AVG dient een gemeente gegronde redenen
(onder andere een ‘vitaal belang’) te hebben om persoonsgegevens te mogen bewaren. Er dient een gedegen afweging
te worden gemaakt of een gemeente een gegrond belang heeft om de persoonsgegevens langer te bewaren, waarbij
moet worden voldaan aan de eisen die de AVG stelt. Persoonsgegevens over een minderjarige langer bewaren omdat
een behandelend ambtenaar deze persoonsgegevens nog nodig heeft voor zaken die betrekking hebben op gezinsleden
van die minderjarige, kan een reden zijn die valt onder ‘vitaal belang’. De rechten van de minderjarige dienen dan
onder de AVG te worden afgezet tegen de belangen van de gemeente. Persoonsgegevens langer bewaren omdat de
behandelende ambtenaar dat wenst, is niet mogelijk.157
Specificeer per categorie persoonsgegevens de volgende persoonsgegevens per bewaartermijn:
• Ingang bewaartermijn;
• Bewaringstermijn;
• Argumentatie voor bewaring;
• Verantwoordelijke voor verwijdering.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wat is de bewaartermijn van de gegevens?
• Hoe is de verwijdering van de persoonsgegevens geregeld?
• Heeft de gemeente een retentiebeleid? Zo ja, welke is dat? Denk hierbij ook de Selectielijst gemeentelijke en
intergemeentelijke organen 2017.
• Waar wordt de data gearchiveerd? Is dit papier of digitaal?
• Welke maximale bewaarperiode(s) zijn vereist om deze gegevensverwerking te ondersteunen en waarom?
Voldoet dit aan het retentiebeleid van de gemeente?
152 AVG artikel 89. 153 AVG overweging 39. 154 http://wetten.overheid.nl/BWBR0007376/ 155 Zie: https://vng.nl/selectielijst 156 Dit wordt aangegeven met de zinsnede “of zoveel langer als redelijkerwijs in verband met een zorgvuldige uitvoering van hun taken op grond van deze wet noodzakelijk is”. In de selectielijst is op basis van diverse wetsartikelen deze zinsnede opgenomen 157 Zie Handreiking gebruik Selectielijst gemeenten en intergemeentelijke organen 2017 (https://vng.nl/files/vng/publicaties/2017/20170906-handreiking-gebruik.pdf).
39 Informatiebeveiligingsdienst
• Beschrijf de noodzakelijke gegevens, bijvoorbeeld Ingang bewaartermijn, bewaringstermijn, reden en wie
verantwoordelijk is voor het verwijderen, per categorie persoonsgegevens per bewaartermijn.
• Worden persoonsgegevens langer op het systeem bewaard dan nodig is voor deze gegevensverwerking? Zo ja, wat
is de wettelijke basis hiervoor? Denk hierbij ook de logbestanden, audit trails of audit logs, waarin
persoonsgegevens worden bewaard.158
5.4. Beschrijf Informatiestromen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Gegevens, processen en de levenscyclus ondersteunende systemen: In dit deel kunt u de omvang van de
gegevensverwerking in detail definiëren en beschrijven.
• Vraag DPIA-tool: Hoe werkt de levenscyclus van gegevens en processen?
• Toelichting: Presenteer en beschrijf hoe het product in het algemeen werkt (van de gegevensverzameling tot
de vernietiging van gegevens, de verschillende verwerkingsfasen, opslag, et cetera), met behulp van
bijvoorbeeld een diagram van gegevensstromen (voeg het toe als bijlage) en een gedetailleerde beschrijving
van de processen uitgevoerd.
5.4.1. Informatiestromen
Hier wordt de werking van alle interne en externe informatiestromen beschreven. Als het ‘
158 Zie hiervoor het operationele BIO document ‘Handreiking Aanwijzing Logging BIO’ van de IBD.
ICT-gegevensstroomdiagram’ gebruik wordt gemaakt van een ICT-gegevensstroomdiagram, gebruik deze dan
als referentie om de systemen en informatiestromen te identificeren. Alle ontvangers en verwerkers van de
persoonsgegevens dienen te worden geïdentificeerd, deze worden respectievelijk in paragraaf 4.4.4 ‘Identificeer de
ontvanger(s)’ en paragraaf 4.4.2 ‘Identificeer de verwerker(s)’ uitgebreider beschreven.
Overdrachtsmethode(n)
Beschrijf de methode waarmee persoonsgegevens worden overgedragen/ ontvangen van/ naar organisaties.
Bijvoorbeeld: Worden gegevens versleuteld met behulp van een filesharing159 applicatie?
Internationale doorgiften
Identificeer internationale doorgiften van gegevens, in het bijzonder aan verwerkers die buiten de EU zijn gevestigd.
Beschrijf ook de voorzorgsmaatregelen die op deze overdrachten van toepassing zijn. De verschillende
verwerkingslocaties worden in paragraaf 4.3 ‘Beschrijf verwerkingslocaties’ beschreven.
Maak een lijst met alle persoonsgegevens en de bijbehorende kenmerken die worden overgedragen en opgeslagen in
elke fase van de gegevensstroom. Gegevens die geen persoonsgegevens zijn, hoeven niet te worden opgenomen, tenzij
dit voor de duidelijkheid nodig is.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Op welke wijze, mechanismen voor gegevensoverdracht, worden de persoonsgegevens overgedragen?
• Zijn alle methode waarmee persoonsgegevens worden overgedragen of ontvangen beschreven?
• Welke (persoons)gegevens en bijbehorende kenmerken worden overgedragen en opgeslagen?
159 Filesharing is de benaming voor het delen van bestanden en dit wordt vaak gebruikt in combinatie met het delen van bestanden via internet.
41 Informatiebeveiligingsdienst
5.4.2. ICT-gegevensstroomdiagram
Dit gedeelte is vereist als de persoonsgegevens worden overgedragen buiten de bestaande systemen. Deze paragraaf
moet worden ingevuld als de persoonsgegevens buiten de gemeente worden overgedragen aan een derde partij.
Eventueel kunnen ICT-architecten hierbij helpen om dit onderdeel in te vullen.
1. Voeg een diagram toe met de belangrijkste gegevensopslagplaatsen en de koppelingen ertussen als een blok- en
lijndiagram.
2. Voeg details toe van de overdrachtsmethoden tussen gegevensopslagplaatsen. Identificeer duidelijk de begin- en
eindpunten voor de gegevensstromen.
3. Laat duidelijk zien welke delen bestaan en wat nieuw is voor het project.
4. Toon de grens tussen interne en externe gegevensopslagplaatsen van derden.
5. Markeer de punt(en) als noodzakelijk, waar de toestemming van de betrokkene voor gegevensverwerking wordt
verzameld en opgeslagen.
6. Geef ten slotte aan welke teams toegang hebben tot elke gegevensopslagplaats en elke gegevensoverdracht
(database administrator (DBA)-team, rapportageteam(s), et cetera).
6. Beschrijf systemen gegevensverwerking
Context
In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende persoonsgegevens.
Beschrijf de systemen, technieken en methoden voor gegevensverwerking
In dit deel kunt u de benodigde hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.
Vragen uit de DPIA-tool:
1 Wat zijn de persoonsgegevens ondersteunende systemen?
Maak een lijst van de ondersteunende systemen (besturingssystemen, bedrijfstoepassingen,
databasebeheersystemen, kantoorsuites, protocollen, configuraties, et cetera)
2 Welke technieken en methoden worden gebruikt voor de gegevensverwerking?
Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de
persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming,
profilering of big dataverwerkingen en, zo ja, beschrijf waaruit een en ander bestaat.
Beschrijf waar de persoonsgegevens worden bewaard en registreer de bewaartermijnen voor elk systeem.
Let op dat in het kader van best practice, persoonsgegevens voor lange termijn alleen in het registratiesysteem dienen
te worden bewaard. Als nodig dienen de persoonsgegevens naar andere systemen gekopieerd te worden en daar
alleen worden bewaard zolang ze nodig zijn voor de gegevensverwerking en vervolgens weer worden verwijderd.
6.1. Beschrijf de systemen, technieken en methoden voor gegevensverwerking Som de hardware, software, netwerken, mensen, papier of papiertransmissiekanalen op en beschrijf op welke wijze en
met gebruikmaking van welke (technische) middelen en methoden de persoonsgegevens worden verwerkt. Benoem of
sprake is van (semi-)geautomatiseerde besluitvorming, profilering of big dataverwerkingen160 en, zo ja, beschrijf
waaruit dit dan bestaat.
Het gebruik van bepaalde technieken en methoden van gegevensverwerking kunnen aanvullende privacyrisico’s met
zich meebrengen en daarom onderworpen zijn aan strengere regels en aanvullende maatregelen vereisen. Dit is onder
meer het geval bij (semi-)geautomatiseerde besluitvorming, profilering en big dataverwerkingen.
160 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling
43 Informatiebeveiligingsdienst
6.2. Beschrijf systemen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Beschrijf de systemen, technieken en methoden voor gegevensverwerking: In dit deel kunt u de benodigde
hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.
• Vraag DPIA-tool: Wat zijn de persoonsgegevens ondersteunende systemen?
• Toelichting: Maak een lijst van de ondersteunende systemen (besturingssystemen, bedrijfstoepassingen,
databasebeheersystemen, kantoorsuites, protocollen, configuraties, et cetera)
Inzicht in de informatievoorziening is nodig om de mogelijke risico’s goed in kaart te kunnen brengen. Hiervoor kan
gebruik worden gemaakt van het MAPGOOD-model om de componenten van de informatievoorziening in kaart te
brengen.161 MAPGOOD staat voor: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten.
Hierbij kan onderdeel gegevens worden overgeslagen, aangezien dat al is ingevuld in paragraaf 5.1 ‘Beschrijf
persoonsgegevens’ is beschreven.
Mens: Welke mensen gebruiken het systeem?
Apparatuur: Welke apparatuur kent het systeem?
Programmatuur: Welke programmatuur kent het systeem?
Organisatie: Welke organisatieonderdelen hebben met het systeem te maken?
Omgeving: Welke fysieke omgevingen zijn er voor het systeem?
Diensten: Welke diensten horen bij het systeem?
Dit model dient te worden ingevuld door de systeemeigenaar, eventueel met hulp van de functioneel beheerder en/of
een technisch beheerder. De systeemeigenaar kan ook de proceseigenaar betrekken in dit proces.
Belangrijk is dat iedere MAPGOOD-component volledig in kaart wordt gebracht zodat alle onderdelen van de
informatievoorziening bekend zijn die relevant zijn voor deze DPIA. De componenten hoeven daarbij niet in alle details
te worden beschreven, zoals schijfgrootte, hoeveelheid geheugen of beeldschermresolutie. De volledigheid op
hoofdcomponent niveau is belangrijk om later risico’s en maatregelen goed te kunnen toewijzen. Daarnaast is
belangrijk goed onderscheid te maken tussen de zaken waar de systeemeigenaar direct voor verantwoordelijk is en de
zaken die hij/zij heeft uitbesteed aan een externe partij en daarom onder de component ‘Dienst’ vallen.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Welke hardware, software, netwerken, mensen, papier of papiertransmissiekanalen worden gebruikt bij de
gegevensverwerking?
• Met welke (technische) middelen en methoden worden de persoonsgegevens verwerkt?
• Is er sprake is van (semi-)geautomatiseerde besluitvorming, profilering of big dataverwerkingen? Zo ja, waaruit
bestaat deze?
161 Zie voor meer achtergrondinformatie m.b.t. MAPGOOD het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD.
6.3. Beschrijf technieken en methoden voor gegevensverwerkingen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Context: In dit gedeelte geeft u een duidelijk beeld van de gegevensverwerking(en) van de betreffende
persoonsgegevens.
• Beschrijf de systemen, technieken en methoden voor gegevensverwerking: In dit deel kunt u de benodigde
hulpmiddelen beschrijven die nodig zijn voor gegevensverwerking.
• Vraag DPIA-tool: Welke technieken en methoden worden gebruikt voor de gegevensverwerking?
• Toelichting: Beschrijf op welke wijze en met gebruikmaking van welke (technische) middelen en methoden de
persoonsgegevens worden verwerkt. Benoem of sprake is van (semi-) geautomatiseerde besluitvorming,
profilering of big dataverwerkingen en, zo ja, beschrijf waaruit een en ander bestaat.
6.3.1. Geautomatiseerde besluitvorming
Uitsluitend op geautomatiseerde gegevensverwerking gebaseerde besluiten die voor de betrokkenen rechtsgevolgen
hebben of hem anderszins in aanmerkelijke mate treffen, zijn verboden.162 Voor gegevensverwerkingen die onder de
werkingssfeer van de AVG vallen, geldt dat dit verbod niet van toepassing is als het besluit:
a. noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een
verwerkingsverantwoordelijke;
b. is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van
toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en
gerechtvaardigde belangen van de betrokkene; of
c. berust op de uitdrukkelijke toestemming van de betrokkene.163
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt gebruik gemaakt van besluiten gebaseerd op geautomatiseerde gegevensverwerking? Zo ja, welke zijn dat?
• Op basis van welke gronden is dit niet verboden?
6.3.2. Profilering
Onder profilering wordt verstaan: elke vorm van geautomatiseerde gegevensverwerking van persoonsgegevens waarbij
aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd,
met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren,
interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.164 Bepaalde gegevens,
zoals de resultaten van een zoekopdracht met een zoekmachine, kunnen in combinatie met elkaar een risicoprofiel
doen ontstaan. De kans hierop bestaat vooral wanneer meerdere registers met elkaar worden gecombineerd. Er kan
sprake zijn van profilering wanneer:
• op basis van een combinatie van persoonsgegevens, zoals het automerk in combinatie met de leeftijd van de
betrokkene wordt besloten iemand extra te controleren;
• gebruik wordt gemaakt van de persoonsgegevens die websitebezoekers achterlaten om de doelgroep van de
website mee vast te stellen.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt gebruik gemaakt van profilering? Zo ja, welke zijn dat?
• Wat zijn de gevolgen van deze profilering voor de betrokkenen?
162 AVG artikel 22, eerste lid. 163 AVG Artikel 22, tweede lid. 164 AVG artikel 4, vierde onderdeel.
45 Informatiebeveiligingsdienst
6.3.3. Big data
Big data is als zodanig niet gedefinieerd in de AVG, maar hangt als verschijnsel nauw samen met geautomatiseerde
besluitvorming en profilering.165 Big data staat voor het verschijnsel dat grote hoeveelheden gestructureerde en
ongestructureerde data uit verschillende bronnen worden geanalyseerd waarbij geautomatiseerd naar correlaties
wordt gezocht die kennis kunnen opleveren om te kunnen toepassen voor beslissingen op groeps- of individueel
niveau.166 In de kern komt het bij big data-analyses neer op het zoeken naar onderlinge samenhang tussen twee
reeksen van waarnemingen (correlatie). Toepassing van big data brengt specifieke risico’s mee en vergt daarom ook
specifieke maatregelen (zie paragraaf 10.2 ‘
165 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/big-data-en-profiling 166 Wetenschappelijk Raad voor het Regeringsbeleid (WRR), Big data in een vrije en veilige samenleving, rapport nr. 95, p. 21. De WRR geeft geen scherpomlijnde definitie van big data, maar richt zich op de hoofdkenmerken 1) Data: het gaat om grote hoeveelheden gestructureerde en ongestructureerde data uit verschillende bronnen, 2) Analyse: de analyse is data gedreven en zoekt geautomatiseerd naar correlaties en 3) gebruik: de analyses moeten leiden tot ‘actionable knowledge’ (ingrepen in de realiteit op basis van bestandsanalyses).
6.4. Maatregelen die bijdragen aan veilig gebruik Big DataMaatregelen die bijdragen aan de rechten van de betrokkenen
Beschrijf specifiek hoe de rechten van de betrokkene worden beschermd. Noteer of verwijs naar de toestemmings- en
de privacyverklaring als gebruikt (bestaand of nieuw). Registreer en accepteer tot slot alle resterende risico's die niet
zijn gemitigeerd.
Bepaal voor elk risico de mogelijke oorsprong, de aard, het specifieke karakter en de ernst van het risico, vanuit het
perspectief van de betrokkene. Identificeer de mogelijke gevolgen voor de rechten en vrijheden van de betrokkene.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt verwezen naar toestemmings- en de privacyverklaring? Zo ja, welke zijn dat?
• Worden alle resterende risico's die niet zijn gemitigeerd beschreven?
47 Informatiebeveiligingsdienst
Maatregelen die bijdragen aan veilig gebruik Big Data’).
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt gebruik gemaakt van big data? Zo ja, welke zijn dat?
• Wat zijn de gevolgen van deze big dataverwerking voor de betrokkenen?
6.4.1. Nieuwe technologieën
Ook grote verschuivingen in de werkwijze, de manier waarop persoonsgegevens worden verwerkt en de technologie
die daarbij gebruikt wordt, kunnen gevolgen hebben voor betrokkenen. Denk aan: intelligente transportsystemen,
locatie of volgsystemen op basis van Global Positioning System (GPS), mobiele technologieën, biometrie en nieuwe
vormen van identificatie zoals gezichtsherkenning in samenhang met cameratoezicht en IoT technologieën en smart
city167,168 oplossingen waarbij persoonsgegevens kunnen worden verwerkt. Deze technologieën hebben vaak ook een
Cloud component die zich buiten de Europese Economische Ruimte (EER)169 kan bevinden.
Als gebruik wordt gemaakt van nieuwe technologieën geldt voor de betrokkenen dat er een verhoogd risico’s wordt
gelopen, de impact van het verwerkingsvoorstel op de betrokkenen en de wijze waarop de betrokkenen gaan reageren
is moeilijk in te schatten. Dit kan leiden tot verhoogde kans op imagoschade, verstoring van de bedrijfscontinuïteit, en
acties door handhavers en toezichthouders.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt gebruik gemaakt van nieuwe technologieën? Zo ja, welke zijn dat en wat betekent dit voor de betrokkenen?
• Wordt gebruik gemaakt van technologie die bij het publiek vragen of weerstand op kan roepen? Bijvoorbeeld
biometrie, Radio-frequency identification (RFID), online behavioural advertising/targeting (profilering).
• Wordt bestaande technologie in een nieuwe context ingevoerd? Zoals cameratoezicht of drugscontrole op de
werkvloer.
• Zijn er (andere) grote verschuivingen in de werkwijze van de gemeente, de manier waarop persoonsgegevens
worden verwerkt en/of de technologie die daarbij gebruikt wordt? Bijvoorbeeld het samenvoegen koppelen van
verschillende overheidsregistraties, invoering van nieuwe vormen van identificatie of vervanging van systeem
waarin persoonsgegevens worden opgeslagen.
167 Zie voor meer informatie https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid/smart-cities. 168 Zie ook de ‘Handreiking IoT beveiliging’ van de IBD. 169 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal-gegevensverkeer/doorgifte-binnen-en-buiten-de-eu
7. Rechtmatigheid gegevensverwerkingen
Fundamentele principes
In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
Evenredigheid en noodzaak
In dit deel kunt u de legitimiteit van uw gegevensverwerking van persoonsgegevens aantonen.
Vragen uit de DPIA-tool:
1 Zijn de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem?
Leg uit waarom de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem zijn.
2 Wat is de wettelijke basis om de gegevensverwerking rechtmatig te maken?
Leg uit welke wettelijke grondslag aan de gegevensverwerking ten grondslag ligt en waarom dit zo is.
3 Zijn de gegevens adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor ze
worden verwerkt ('gegevensminimalisatie')?
Leg uit waarom elk van de verzamelde gegevens noodzakelijk is voor uw doeleinden.
4 Zijn de gegevens juist en worden ze up-to-date gehouden?
Beschrijf welke stappen worden ondernomen om de kwaliteit van de gegevens te waarborgen.
5 Wat is de bewaartermijn van de gegevens?
Leg uit waarom de bewaartermijn wordt gerechtvaardigd door wettelijke vereisten en/ of verwerkingsbehoeften.
Beoordeel aan de hand van de feiten zoals vastgesteld in hoofdstukken 4 ‘Beschrijf beoogde gegevensverwerking’, 5
‘Beschrijf kenmerken gegevensverwerking’ en 6 ‘Beschrijf systemen gegevensverwerking’ of de voorgenomen
gegevensverwerkingen rechtmatig zijn.170 Het gaat hier om de beoordeling van de juridische rechtsgrond, noodzaak en
doelbinding van de gegevensverwerkingen. Beoordeel ook de wijze waarop invulling wordt gegeven aan de rechten van
de betrokkenen. Voor dit onderdeel van de DPIA is in het bijzonder juridische expertise nodig.
7.1. Beschrijf doelbinding
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van
persoonsgegevens aantonen.
• Vraag DPIA-tool: Zijn de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem?
• Toelichting: Leg uit waarom de verwerkingsdoeleinden gespecificeerd, expliciet en legitiem zijn.
Als de persoonsgegevens voor een ander doel worden verwerkt dan oorspronkelijk verzameld, moeten gemeenten
beoordelen of deze verdere gegevensverwerking verenigbaar is met het doel waarvoor de persoonsgegevens
oorspronkelijk zijn verzameld.171
De AVG heeft als uitganspunt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
verwerkingsdoeleinden moeten worden verzameld en vervolgens niet verder mogen worden verwerkt op een met die
verwerkingsdoeleinden onverenigbare wijze.172
170 Met rechtmatigheid wordt gedoeld op rechtmatigheid van de gegevensverwerking in de zin van AVG artikel 6. Met rechtmatigheid wordt niet bedoeld volledige compliance met de AVG. 171 Zie ook paragraaf 4.2 ‘Mag ik de gegevens ook gebruiken voor andere doelen dan waarvoor ik ze oorspronkelijk verzameld heb?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 172 AVG artikel 5, eerste lid, onder b.
49 Informatiebeveiligingsdienst
De AVG regelt dat de verdere gegevensverwerking voor een ander doel toegestaan is als de verdere
gegevensverwerking berust op toestemming van de betrokkene of op een specifiek wettelijk voorschrift. Bijvoorbeeld
de nationale veiligheid, de openbare veiligheid, monetaire, budgettaire of fiscale aangelegenheden.173 Daarnaast wordt
de verdere gegevensverwerking ten behoeve van archivering in het algemeen belang, wetenschappelijk of historisch
onderzoek of statistische verwerkingsdoeleinden als verenigbaar geacht met de oorspronkelijke
verwerkingsdoeleinden. Hieraan wordt wel de eis verbonden dat passende maatregelen worden getroffen om de
betrokkene te beschermen.174
Een verwerkingsverantwoordelijke die beslissingen neemt over een verdere gegevensverwerking moet voldoen aan alle
eisen voor rechtmatige gegevensverwerking. Een dergelijke gegevensverwerking dient op een eigen rechtsgrond te
berusten. De verwerkingsverantwoordelijke kan beoordelen of de verdere gegevensverwerking voor een ander doel
toegestaan en verenigbaar is aan de hand van:
1 het verband tussen de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn verzameld en de
verwerkingsdoeleinden van de voorgenomen verdere gegevensverwerking;
2 de context waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkene en de
verwerkingsverantwoordelijke betreft;
3 de aard van de persoonsgegevens, met name bijzondere of strafrechtelijke persoonsgegevens;
4 de mogelijke gevolgen van de voorgenomen verdere gegevensverwerking voor de betrokkene;
5 het bestaan van passende waarborgen.175
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Is er sprake van een duidelijk gespecificeerd doel? Wat is dit doel, en waarom is dit legitiem?
• Kan dit doel ook zonder deze persoonsgegevens worden behaald? Waarom niet, of waarom wordt het niet anders
geregeld?
• Worden de persoonsgegevens gebruikt voor het doel waarvoor deze zijn verzameld of worden deze voor een
nieuw doel gebruikt?
• Is de verdere gegevensverwerking voor een ander doel toegestaan en verenigbaar.
• Maak een lijst van de specifieke verwerkingsdoeleinden waarvoor de gegevens in detail zullen worden gebruikt;
generieke verklaringen zijn niet voldoende. Geef ook aan waarom elk onderdeel van de persoonsgegevens nodig is
voor het doel.
• Welke waarborgen voor de rechten en vrijheden van de betrokkene worden geboden?
173 AVG artikel 6, vierde lid, AVG jo. AVG artikel 23, eerste lid. 174 AVG artikel 89. 175 AVG artikel 6, vierde lid.
7.2. Beschrijf rechtsgrond
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van
persoonsgegevens aantonen.
• Vraag DPIA-tool: Wat is de wettelijke basis om de gegevensverwerking rechtmatig te maken?
• Toelichting: Leg uit welke wettelijke grondslag aan de gegevensverwerking ten grondslag ligt en waarom dit zo
is.
De AVG gaat ervan uit dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene
rechtmatig, behoorlijk en transparant is.176 Een gegevensverwerking is rechtmatig als deze gebaseerd kan worden op
ten minste één van de volgende zes rechtsgronden:
1 de betrokkene heeft toestemming gegeven voor de gegevensverwerking van zijn persoonsgegevens voor een of
meer specifieke verwerkingsdoeleinden;
2 de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is,
of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
3 de gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de
verwerkingsverantwoordelijke rust;
4 de gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke
persoon te beschermen;
5 de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het
kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
6 de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de
verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de
fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen
dan die belangen, met name wanneer de betrokkene een kind is.177
Of de gegevensverwerkingen noodzakelijk zijn, wordt beoordeeld in paragraaf 7.3 ‘Beschrijf noodzaak en
evenredigheid’. Ten aanzien van de rechtsgronden 3 (wettelijke plicht) en 5 (taak van algemeen belang) geldt dat deze
moet worden vastgesteld bij of volgens de wet.178 De wettelijke verplichting (rechtsgrond 3) hoeft niet
noodzakelijkerwijs te bestaan uit een expliciete verplichting om persoonsgegevens te verwerken. Ook is mogelijk dat de
gegevensverwerking van persoonsgegevens een basis vindt in een ruimer geformuleerde zorgplicht of wettelijke
verplichting. Zonder gegevensverwerking van de persoonsgegevens moet het uitvoeren van een wettelijke verplichting
redelijkerwijs niet goed mogelijk zijn. Met betrekking tot rechtsgrond 5 (de taak van algemeen belang) geldt dat deze
taak zal moeten blijken uit regelgeving die op de verwerkingsverantwoordelijke van toepassing is. Niet noodzakelijk is
dat in de regelgeving ook expliciet is opgenomen dat ten behoeve van de vervulling van de wettelijke taak
persoonsgegevens verwerkt mogen worden. Als het noodzakelijk is om voor de uitvoering van de publieke taak
persoonsgegevens te verwerken, kan de wettelijke grondslag voor de publieke taak ook worden beschouwd als
grondslag voor de gegevensverwerking van persoonsgegevens.
176 AVG artikel 5, eerste lid, onder a. 177 AVG artikel 6, eerste lid. 178 AVG artikel 6, derde lid.
51 Informatiebeveiligingsdienst
Bij gegevensverwerkingen zal de gemeente de voorgenomen gegevensverwerkingen moeten baseren op één van de zes
rechtsgronden. De rechtsgrond genoemd onder 6 geldt niet voor gegevensverwerkingen in het kader van de
uitoefening van publieke taken. Wel kan deze rechtsgrond gebruikt worden voor gegevensverwerkingen in de
bedrijfsvoering, zoals cameratoezicht, bezoekersregistratie en toegangscontrole. In veel situaties zal de rechtsgrond
genoemd onder 1 (toestemming) evenmin kunnen dienen als rechtsgrond voor gegevensverwerkingen door
overheidsorganen, omdat de betrokkene in de gegeven situatie niet vrijelijk toestemming kan geven.179 Vrij betekent
dat de betrokkene de keus moet hebben om zijn toestemming te weigeren, zonder dat hier mogelijk negatieve
gevolgen aan verbonden zijn. In situaties waarin een gemeente aan een burger om toestemming vraagt, is sprake van
een afhankelijkheidsrelatie. Dit is een situatie waarin de burger niet altijd vrijelijk kan kiezen. Daarom kan in dergelijke
situaties de gegevensverwerking niet op de grondslag van toestemming worden gebaseerd.
Als de gegevensverwerkingen gebaseerd worden op de rechtsgrond genoemd onder 6 (het gerechtvaardigd belang van
de verwerkingsverantwoordelijke of een derde), dan stelt de AVG als eis dat de belangen of de grondrechten en de
fundamentele vrijheden van de betrokkene niet zwaarder mogen wegen dan de gerechtvaardigde belangen van de
verwerkingsverantwoordelijke of de derde.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Bepaal welke van de 6 wettige grondslagen (rechtmatigheid) voor gegevensverwerking voor deze
verwerkingsactiviteit worden gebruikt.180
1. Toestemming: Geef aan of het om een nieuwe of bestaande gegevensverwerking gaat.
2. Overeenkomst: Waarom-is dit noodzakelijk?
3. Wettelijke plicht: Specificeer de noodzaak.
Denk hierbij ook aan het (bestaande) verwerkingsregister waarin de (wettelijke) doelen waarvoor de
persoonsgegevens worden verwerkt dient te staan.181
4. Vitaal belang: Specificeer het vitaal belang.
5. Publieke taak: Wat is de publieke taak?
6. Rechtvaardigbelang: Waarom-is dit noodzakelijk?
7.3. Beschrijf noodzaak en evenredigheid
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van
persoonsgegevens aantonen.
• Vraag DPIA-tool: Zijn de gegevens adequaat, relevant en beperkt tot wat nodig is met betrekking tot de
doeleinden waarvoor ze worden verwerkt ('gegevensminimalisatie')?
• Toelichting: Leg uit waarom elk van de verzamelde gegevens noodzakelijk is voor uw doeleinden.
Er dient een beoordeling van de noodzaak en de evenredigheid (proportionaliteit) van de gegevensverwerkingen met
betrekking tot de verwerkingsdoeleinden worden verstrekt.182 Beoordeel of de voorgenomen gegevensverwerkingen
noodzakelijk zijn voor het verwezenlijken van de verwerkingsdoeleinden. Ga hierbij in ieder geval in op proportionaliteit
en subsidiariteit.
a. Proportionaliteit: staat de inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens
van de betrokkenen in evenredige verhouding tot de verwerkingsdoeleinden?
b. Subsidiariteit: kunnen de verwerkingsdoeleinden in redelijkheid niet op een andere, voor de betrokkene minder
nadelige wijze, worden verwezenlijkt?
179 AVG artikel 4, elfde onderdeel en AVG overweging 43. 180 AVG artikel 6. 181 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#wat-moet-er-in-het-register-van-verwerkingsactiviteiten-staan-6137 182 AVG artikel 35, lid 7, onder b.
De AVG heeft als uitgangspunt dat de gegevensverwerking wordt beperkt tot wat noodzakelijk is voor de
verwerkingsdoeleinden. Dit uitganspunt van minimale gegevensverwerking/dataminimalisatie komt verder tot
uitdrukking door het gebruik van het woord ‘noodzakelijk’ in AVG artikel 6. De AVG eist hiermee dat de
gegevensverwerking noodzakelijk is voor het verwezenlijken van de verwerkingsdoeleinden. De gegevensverwerking
moet daarbij de toets van proportionaliteit en subsidiariteit kunnen doorstaan.
Bij proportionaliteit moet steeds worden afgevraagd of het doel van de gegevensverwerking in verhouding staat tot de
mogelijke inbreuk van die gegevensverwerking op de privacy van betrokkenen Daarbij zal onder meer moeten worden
gekeken of de voorgenomen gegevensverwerking effectief is om het beoogde doel te bereiken en of de aangevoerde
redenen relevant en toereikend zijn om het beoogde doel te bereiken. Daarbij kunnen empirische
onderzoeksresultaten helpen.183 Gezien het iteratieve karakter van de DPIA zou de proportionaliteit ook na een periode
geëvalueerd moeten worden, om te kijken of de gemaakte inschatting juist is. Het kan lastig zijn om de proportionaliteit
vooraf in te schatten. Empirische resultaten zijn over het algemeen dus pas beschikbaar als de gegevensverwerking al
een tijd plaatsvindt, tenzij een soortgelijke gegevensverwerking al ergens anders is uitgevoerd. In dat geval is er
misschien ook al wel een DPIA beschikbaar, die als input kan worden gebruikt.
Een voorbeeld waar de proportionaliteit niet in verhouding stond met het beoogde doel was het verstekken van
persoonsgegevens van kinderen bij een aanbestedingen voor leerlingenvervoer door gemeenten.184
Bij subsidiariteit wordt bekeken of de verwerkingsdoeleinden met minder ingrijpende middelen kunnen worden
bereikt. Bijvoorbeeld:
• kan bij het gebruik van bijzondere of strafrechtelijke persoonsgegevens hetzelfde resultaat behaald worden met
gebruikmaking van een combinatie van gewone persoonsgegevens?
• kan het verwerken van de persoonsgegevens in een beperktere vorm of met minder gegevensverwerkingen?
Zo kan in bepaalde gevallen met foto’s hetzelfde doel worden bereikt (bijvoorbeeld: identificatie) als met het
verwerken van filmbeelden. Subsidiariteit houdt bijvoorbeeld ook in dat als persoonsgegevens openbaar gemaakt gaan
worden, niet automatisch alle persoonsgegevens openbaar worden gemaakt, maar een selectie wordt gemaakt op
grond van gerechtvaardigde criteria. Bij deze afwegingen worden de doelen, belangen en feiten zoals in beeld gebracht
in hoofdstukken Error! Reference source not found. ‘Beschrijf beoogde gegevensverwerking’ en 6 ‘Beschrijf systemen
gegevensverwerking’ betrokken.
Persoonsgegevens moeten toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de
verwerkingsdoeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”).185
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Doorstaat de gegevensverwerking de toets van proportionaliteit en subsidiariteit? Zo ja, waarom of waarom niet?
• Leg uit waarom de vereiste gegevens toereikend en noodzakelijk zijn voor deze verwerkingsactiviteit (adequaat,
relevant en beperkt tot wat nodig is.
183 Empirische onderzoeksresultaten zijn gebaseerd op ervaring en/of proefondervindelijke uitkomsten. 184 https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-vraagt-aandacht-voor-privacy-bij-aanbesteding-leerlingenvervoer 185 AVG artikel 5, lid 1, onder c.
53 Informatiebeveiligingsdienst
7.4. Beschrijf stappen om de gegevenskwaliteit te waarborgen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van
persoonsgegevens aantonen.
• Vraag DPIA-tool: Zijn de gegevens juist en worden ze up-to-date gehouden?
• Toelichting: Beschrijf welke stappen worden ondernomen om de kwaliteit van de gegevens te waarborgen.
7.5. Beschrijf rechtvaardiging bewaartermijn
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Evenredigheid en noodzaak: In dit deel kunt u de legitimiteit van uw gegevensverwerking van
persoonsgegevens aantonen.
• Vraag DPIA-tool: Wat is de bewaartermijn van de gegevens?
• Toelichting: Leg uit waarom de bewaartermijn wordt gerechtvaardigd door wettelijke vereisten en/ of
verwerkingsbehoeften.
8. Rechten van betrokkenen
Fundamentele principes
In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen
In dit deel kunt u aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten
uit te oefenen.
Vragen uit de DPIA-tool:
1 Hoe worden de betrokkenen geïnformeerd over de gegevensverwerking?
Beschrijf wat de informatie is die aan de betrokkenen wordt gegeven en wat de middelen zijn om dit te doen.
2 Hoe wordt de toestemming van betrokkenen verkregen?
Beschrijf, indien toestemming de grondslag is voor de gegevensverwerking, hoe ervoor gezorgd wordt dat
gebruikers toestemming hebben gegeven.
3 Hoe kunnen betrokkenen hun recht op toegang en overdraagbaarheid van gegevens uitoefenen?
Beschrijf de manier waarop betrokkenen toegang wordt verleend tot hun gegevens en hoe ze overgedragen kunnen
worden.
4 Hoe kunnen betrokkenen hun recht op rectificatie en verwijdering uitoefenen?
Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen naar het beleid
en de procedure voor het wissen van gegevens.
5 Hoe kunnen betrokkenen hun recht op beperking uitoefenen en bezwaar maken?
Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de gemeente kan
verwijzen naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de gegevensverwerking
berust op toestemming als wettige basis.
6 Zijn de verplichtingen van de verwerkers duidelijk geïdentificeerd en geregeld in een (verwerkers)overeenkomst?
Beschrijf voor elke verwerker zijn verantwoordelijkheden (duur, reikwijdte, doel, gedocumenteerde
verwerkingsinstructies, voorafgaande toestemming) en verstrek de hoofdovereenkomsten, inkoopvoorwaarden,
verwerkersovereenkomsten, gedragscodes en certificeringen die zijn taken en verplichtingen bepalen.
7 Zijn de gegevens in het geval van gegevensoverdracht buiten de Europese Unie voldoende beschermd?
Voor elk land buiten de Europese Unie waar gegevens worden opgeslagen of verwerkt, geeft u dit op en geeft u
aan of wordt erkend dat dit een adequaat niveau van gegevensbescherming biedt of beschrijft u de bepalingen
met betrekking tot de overdracht.
Geef aan hoe invulling wordt gegeven aan de rechten van betrokkenen.186,187,188 Als de rechten van de betrokkene
worden beperkt, bepaal op grond van welke wettelijke uitzonderingen of dat is toegestaan.189 Uitzonderingen moeten
altijd op een nationale wet berusten of direct zijn toegestaan op grond van de bepalingen in de AVG.
186 AVG hoofdstuk III (artikelen 12-22). 187 Zie ook https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen 188 Zie ook hoofdstuk 7 ‘Hoe ga ik om met de rechten van de betrokkene?’ uit de ‘Handleiding Algemene verordening gegevensbescherming’ van het ministerie van Justitie en Veiligheid. 189 AVG artikel 23.
55 Informatiebeveiligingsdienst
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Geef bij gegevensverwerkingen aan hoe invulling wordt gegeven aan de rechten van betrokkenen, bijvoorbeeld op
welke wijze de betrokkenen worden geïnformeerd en hoe wordt omgegaan met een aanvraag voor correctie en
wissing van gegevens. Als de verwerkingsverantwoordelijke uitzonderingen wil maken op de uitoefening van
bepaalde rechten van betrokkenen, geef aan waarom dat noodzakelijk is en op welke grond dat is toegestaan.
o Wordt er voldoende informatie verstrekt aan betrokkene? Is het voor betrokkenen duidelijk welke rechten ze
hebben en hoe ze deze kunnen uitoefenen?
o Hoe is het recht op inzage gewaarborgd?
o Hoe is het recht op rectificatie gewaarborgd?
o Hoe is het recht op wissing gewaarborgd?
o Hoe is het recht op overdraagbaarheid (dataportabiliteit)190van gegevens gewaarborgd?
• Is er sprake van een duidelijke maximale (wettelijke) bewaartermijn?
8.1. Informeren betrokken
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Hoe worden de betrokkenen geïnformeerd over de gegevensverwerking?
• Toelichting: Beschrijf wat de informatie is die aan de betrokkenen wordt gegeven en wat de middelen zijn om
dit te doen.
Vermeld welke informatie wordt verstrekt aan de betrokkene en in welk formaat.191
8.2. Toestemming betrokkenen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Hoe wordt de toestemming van betrokkenen verkregen?
• Toelichting: Beschrijf, indien toestemming de grondslag is voor de gegevensverwerking, hoe ervoor gezorgd
wordt dat gebruikers toestemming hebben gegeven.
190 Zie ook de ‘Richtlijnen voor het recht op dataportabiliteit’ (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtlijnen_dataportabiliteit.pdf) 191 AVG artikelen 12, 13 en 14.
8.3. Inzage en overdraagbaarheid van gegevens
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op toegang en overdraagbaarheid van gegevens
uitoefenen?
• Toelichting: Beschrijf de manier waarop betrokkenen toegang wordt verleend tot hun gegevens en hoe ze
overgedragen kunnen worden.
Geef aan hoe de betrokkene toegang heeft tot de persoonsgegevens, de gemeente kan hierbij verwijzen naar het
beleid en procedure voor een toegangsverzoek van betrokkenen en hoe de overdraagbaarheid zal worden bereikt. De
overdraagbaarheid is mogelijk minder belangrijk als de persoonsgegevens tijdelijk worden bewaard, of beschikbaar zijn
in een permanent bronsysteem onafhankelijk van de gegevensverwerking die onder deze DPIA vallen.192
8.4. Gegevens corrigeren of wissen
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op rectificatie en verwijdering uitoefenen?
• Toelichting: Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen
naar het beleid en de procedure voor het wissen van gegevens.
Geef aan hoe het recht om te rectificeren, te wissen, wordt bereikt – de gemeente kan verwijzen naar het beleid en de
procedure voor het wissen van gegevens.193
8.5. Beperking van gegevensverwerking
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Hoe kunnen betrokkenen hun recht op beperking uitoefenen en bezwaar maken?
• Toelichting: Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de
gemeente kan verwijzen naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de
gegevensverwerking berust op toestemming als wettige basis.
192 AVG artikelen 15 en 20. 193 AVG artikelen 16, 17 en 19.
57 Informatiebeveiligingsdienst
Geef aan hoe bezwaar te maken of de gegevensverwerking te beperken, wordt bereikt - de gemeente kan verwijzen
naar het beleid en de procedure hoe toestemming kan worden ingetrokken als de gegevensverwerking berust op
toestemming als wettige basis.194
8.6. Verplichtingen verwerkers
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Zijn de verplichtingen van de verwerkers duidelijk geïdentificeerd en geregeld in een
(verwerkers)overeenkomst?
• Toelichting: Beschrijf voor elke verwerker zijn verantwoordelijkheden (duur, reikwijdte, doel,
gedocumenteerde verwerkingsinstructies, voorafgaande toestemming) en verstrek de hoofdovereenkomsten,
inkoopvoorwaarden, verwerkersovereenkomsten, gedragscodes en certificeringen die zijn taken en
verplichtingen bepalen.
8.7. Internationale doorgifte
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Fundamentele principes: In dit gedeelte kunt u het nalevingskader voor privacyprincipes opstellen.
• Hoe geregeld wordt dat betrokkenen hun persoonlijke rechten kunnen uitoefenen: In dit deel kunt u
aantonen dat u de nodige middelen inzet om de betrokken personen in staat te stellen hun rechten uit te
oefenen.
• Vraag DPIA-tool: Zijn de gegevens in het geval van gegevensoverdracht buiten de Europese Unie voldoende
beschermd?
• Toelichting: Voor elk land buiten de Europese Unie waar gegevens worden opgeslagen of verwerkt, geeft u dit
op en geeft u aan of wordt erkend dat dit een adequaat niveau van gegevensbescherming biedt of beschrijft u
de bepalingen met betrekking tot de overdracht.
Worden de gegevens internationaal overgebracht en zo ja, welke voorzorgsmaatregelen zijn aanwezig. Waarborgen
rondom internationale overschrijving(en).195 Dit kan worden beantwoord door een kruisverwijzing te maken met
paragraaf 5.4.1 ‘Informatiestromen’.
194 AVG artikelen 18, 19 en 21. 195 AVG hoofdstuk V.
9. Beschrijf risico’s
Risico's
In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin
altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen die op de
gegevensverwerking betrekking hebben.
Geplande of bestaande maatregelen
In deze sectie kunt u maatregelen (bestaande of geplande) identificeren en toelichten die bijdragen aan
gegevensbeveiliging.
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande
maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen
die op de gegevensverwerking betrekking hebben.
• Geplande of bestaande maatregelen: In deze sectie kunt u maatregelen (bestaande of geplande) identificeren
en toelichten die bijdragen aan gegevensbeveiliging.
• Vraag DPIA-tool:
• Toelichting:
De DPIA-tool biedt standaard onderstaande maatregelen aan waaruit geselecteerd kan worden, maar uiteraard
kunnen ook eigen maatregelen worden toegevoegd:
Beveiligingsmaatregelen uit de BIO:
6.1.2 Scheiding van taken
6.2.2 Telewerkbeleid
7.1.1 Screening personeel
7.1.2 Beveiliging in arbeidsvoorwaarden
8.2.1 Classificatie van informatie
8.2.2 Informatie labelen
8.2.3 Procedures voor behandelen van bedrijfsmiddelen
8.3.1 Beheer van verwijderbare media
8.3.2 Procedures voor verwijderen van media
8.3.3 Bescherming media bij fysiek overdragen
9.1.1 Beleid voor toegangsbeveiliging
9.1.2 Alleen bevoegde toegang tot netwerken en netwerkdiensten
9.2.1 Registratie en afmelden van gebruikers
9.2.2 Procedure voor toegang verlenen gebruikers
9.2.6 Toegangsrechten intrekken of aanpassen bij beëindigen werkzaamheden
9.3.1 Geheime authenticatie-informatie gebruiken
9.4.1 Beperking toegang tot informatie
9.4.2 Beveiligde inlogprocedures
9.4.3 Systeem voor wachtwoordbeheer
9.4.4 Maatregelen gebruik speciale systeemhulpmiddelen
9.4.5 Toegangsbeveiliging op programmabroncode
10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
10.1.2 Sleutelbeheer
11.1.1 Gebruik fysieke beveiligingszones
11.1.5 Werken in beveiligde gebieden
11.1.6 Beheersing Laad- en loslocaties
11.1.6 Beheersing Laad- en loslocaties
59 Informatiebeveiligingsdienst
11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
11.2.7 Veilig verwijderen of hergebruiken van apparatuur
11.2.8 Bescherming onbeheerde gebruikersapparatuur
11.2.9 ‘Clear desk’- en ‘clear screen’-beleid
12.4.2 Beschermen van informatie in logbestanden
12.4.2 Beschermen van informatie in logbestanden
13.2.1 Beleid en procedures voor informatietransport
13.2.2 Overeenkomsten over informatietransport
13.2.3 Bescherming elektronische berichten
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst
14.1.2 Toepassingen op openbare netwerken beveiligen
14.1.3 Transacties van toepassingen beschermen
18.1.4 Borging van privacy en bescherming van persoonsgegevens
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
Logische beveiligingsmaatregelen:
• Anonimisering
• Pseudonimisering
• Archiveren
• Minimaliseren van de hoeveelheid persoonsgegevens
Fysieke beveiligingsmaatregelen:
• Onderhoud
Organisatorische maatregelen:
• <geen>
De risico's voor de rechten en vrijheden van betrokkenen moeten beheerd worden.196 Er dient hierbij rekening
gehouden te worden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's.197 Dit betekent dat
elk risico, zoals onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens, gezien moet worden vanuit
het oogpunt van de betrokkenen.
Beschrijf en beoordeel de risico’s van de voorgenomen gegevensverwerkingen voor de rechten en vrijheden van de
betrokkenen. Houd hierbij rekening met de aard, omvang, context en doelen van de gegevensverwerking zoals in
hoofdstukken 4 ‘Beschrijf beoogde gegevensverwerking’, 5 ‘Beschrijf kenmerken gegevensverwerking’, 6 ‘Beschrijf
systemen gegevensverwerking’ en 7 ‘Rechtmatigheid gegevensverwerkingen’ zijn beschreven en beoordeeld.
Maatregelen moeten vastgesteld worden om deze risico’s aan te pakken.198 Het gaat hierbij overigens niet om de
risico’s van de verwerkingsverantwoordelijke zelf.
Maak gebruik van risicoanalyses die eerder zijn uitgevoerd en betrekking hebben op deze gegevensverwerking. Bepaal
dan welke van de geïdentificeerde risico's en veiligheidsmaatregelen van toepassing zijn en vermeld de mitigerende
maatregelen die zijn geïmplementeerd voor risico's die niet worden beheerd door de bestaande beveiligingen.
• Overzicht van de relevante risico's.
• Noteer het restrisico dat overblijft nadat alle mitigerende maatregelen zijn geïmplementeerd.
196 AVG artikel 35, lid 7, onder c. 197 AVG overweging 84. 198 AVG artikel 35, lid 7, onder d en overweging 90.
9.1. Risico’s beoordelen
Risico's
In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin
altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen die op de
gegevensverwerking betrekking hebben.
Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige toegang tot
persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
Vragen uit de DPIA-tool:
1 Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?
Voer de potentiële gevolgen in
2 Wat zijn de belangrijkste dreigingen die tot het risico kunnen leiden?
Voer de bedreigingen in
3 Wat zijn de risicobronnen?
Voer de risicobronnen in
4 Welke van de geïdentificeerde maatregelen dragen bij aan het mitigeren van het risico?
Klik hier om de in de sectie ‘Geplande of bestaande maatregelen’ te selecteren die het risico mitigeren.
5 Hoe schat u de ernst van het risico, rekening houdend met de potentiële effecten en geplande maatregelen?
Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal
Rechtvaardig hier de geschatte ernst van het risico.
6 Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot dreigingen, risicobronnen en geplande
maatregelen?
Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal
Rechtvaardig hier de geschatte waarschijnlijkheid.
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande
maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen
die op de gegevensverwerking betrekking hebben.
• De drie onderkende bedreigingen:
o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige
toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in
persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de
ernst en waarschijnlijkheid ervan in.
• Vraag DPIA-tool: Wat kunnen de belangrijkste gevolgen voor de betrokkenen zijn als het risico zou optreden?
• Toelichting: Voer de potentiële gevolgen in
Beschrijf en beoordeel de risico’s van de gegevensverwerkingen voor de rechten en vrijheden van betrokkenen.
Ga hierbij in ieder geval in op:
a. welke negatieve gevolgen de gegevensverwerkingen kunnen hebben voor de rechten en vrijheden van de
betrokkenen;
b. de oorsprong van deze gevolgen;
c. de waarschijnlijkheid (kans) dat deze gevolgen zullen intreden;
d. de ernst (impact) van deze gevolgen voor de betrokkenen wanneer deze intreden.
61 Informatiebeveiligingsdienst
Volgens de AVG dient een DPIA een beoordeling van risico’s voor de rechten en vrijheden van de betrokkenen te
bevatten.199 Aan de hand van de aard, het toepassingsgebied, de context en de verwerkingsdoeleinden van de
gegevensverwerking dient de waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de
betrokkenen te worden bepaald. Op basis van een objectieve beoordeling kan vastgesteld worden of de
gegevensverwerking gepaard gaat met een (hoog) risico.200 Hiervoor is het nodig om de oorsprong, de aard, het
specifieke karakter en de ernst van dat risico te evalueren.201
Het gaat hier om een risicogerichte benadering die kan bestaan uit de volgende stappen:
1. risico’s identificeren;
2. risico’s inschatten/analyseren;
3. risico’s beoordelen/evalueren.
Deze benadering zal in grote lijnen vergelijkbaar zijn met een risicoafweging in het kader van informatiebeveiliging.202
Daarom kan ook gebruik gemaakt worden van informatie die daaruit naar voren is gekomen. Anders dan bij deze
risicoafweging die gericht is op de betrouwbaarheidseisen voor informatiesystemen, en daarmee de risico’s voor de
verantwoordelijke (zoals aanpassing, vertrouwen, publiciteit, toezicht en handhaving, dienstverlening, betrouwbare
informatie), ziet de risicoafweging van de DPIA op de risico’s voor de betrokkenen.
De AVG schrijft niet voor op welke wijze de risicoanalyse moet worden uitgevoerd. Het verdient aanbeveling om aan te
sluiten bij internationale standaarden, bijvoorbeeld van de International Organization of Standardization (ISO)203,
Eenduidige Normatiek Single Information Audit (ENSIA)204 en Organisation for Economic Co-operation and
Development (OECD)205.
9.2. Risico’s identificeren
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande
maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen
die op de gegevensverwerking betrekking hebben.
• De drie onderkende bedreigingen:
o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige
toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in
persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de
ernst en waarschijnlijkheid ervan in.
• Vraag DPIA-tool: Wat zijn de belangrijkste dreigingen die tot het risico kunnen leiden?
• Toelichting: Voer de bedreigingen in
• Vraag DPIA-tool: Wat zijn de risicobronnen?
• Toelichting: Voer de risicobronnen in
199 AVG artikel 35, zevende lid, aanhef en onder c. 200 AVG overweging 76. 201 AVG overweging 84. 202 Zie Deel 2 ‘Kader BIO’ van de Baseline Informatiebeveiliging Overheid (BIO) en het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD. 203 https://www.iso.org/home.html 204 https://www.ensia.nl/wat-is-ensia/#!/ 205 http://www.oecd.org/
De eerste stap is om potentiële privacyrisico’s vast te stellen. Een privacyrisico is een kans op het optreden van een
negatief gevolg voor de rechten en vrijheden van de betrokkenen als gevolg van de gegevensverwerking van
persoonsgegevens.
Bij rechten en vrijheden van de betrokkenen moet in eerste instantie aan het recht op privacy worden gedacht, maar
ook aan andere fundamentele rechten en vrijheden, zoals de vrijheid van meningsuiting, de vrijheid van godsdienst en
het verbod van discriminatie. Het voordoen van de (hypothetische) situatie kan leiden tot lichamelijke, materiële of
immateriële schade voor de betrokkene. Hierbij kan gedacht worden aan de volgende situaties:
• waar de gegevensverwerking kan leiden tot:
o discriminatie, stigmatisering en uitsluiting;
o (blootstelling aan) identiteitsdiefstal of -fraude;
o financiële verliezen;
o reputatie- of anderszins relationele schade;
o verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens;
o ongeoorloofde ongedaanmaking van pseudonimisering;
o of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie;
• wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd om controle
over hun persoonsgegevens uit te oefenen;
• wanneer bijzondere of strafrechtelijke persoonsgegevens worden verwerkt;
• wanneer persoonlijke aspecten worden geëvalueerd, om bijvoorbeeld beroepsprestaties, economische situatie,
gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te
analyseren of te voorspellen, om persoonlijke profielen op te stellen of te gebruiken;
• wanneer persoonsgegevens van kwetsbare personen, zoals kinderen, worden verwerkt; of
• wanneer de gegevensverwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een
groot aantal betrokkenen.206
9.3. Risico’s inschatten
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande
maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen
die op de gegevensverwerking betrekking hebben.
• De drie onderkende bedreigingen:
o Onrechtmatige toegang tot persoonsgegevens: Analyseer de oorzaken en gevolgen van onwettige
toegang tot persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Ongewenste wijzigingen van persoonsgegevens: Analyseer de gevolgen van een ongewenste wijziging in
persoonsgegevens en schat de ernst en waarschijnlijkheid ervan in.
o Verdwijnen van persoonsgegevens: Analyseer de oorzaken en gevolgen van gegevensverlies en schat de
ernst en waarschijnlijkheid ervan in.
• Vraag DPIA-tool: Hoe schat u de ernst van het risico, met name op basis van de potentiële effecten en
geplande maatregelen?
• Toelichting: Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal.
Rechtvaardig hier de geschatte ernst van het risico.
• Vraag DPIA-tool: Hoe schat u de waarschijnlijkheid van het risico, vooral met betrekking tot dreigingen,
risicobronnen en geplande maatregelen?
• Toelichting: Keuzemogelijkheden: (Onbepaald), Verwaarloosbaar, Beperkt, Belangrijk en Maximaal.
Rechtvaardig hier de geschatte waarschijnlijkheid.
206 AVG overwegingen 75 en 85.
63 Informatiebeveiligingsdienst
Vervolgens moeten de benoemde risico’s worden gekwalificeerd door het inschatten van de kans dat een dreiging zich
voordoet en de mogelijke gevolgen daarvan voor de betrokkenen. Met andere woorden: wat zijn de gevreesde
gevolgen en hoe groot is de impact daarvan op de betrokkenen? En hoe treden deze in werking en hoe waarschijnlijk is
dat? Deze vragen zijn niet gericht op zwart-wit antwoorden, maar op een afweging. Aan de hand hiervan moet een
risiconiveau worden bepaald.
De impact/ernst van de risico’s hangt af van de context van de gegevensverwerkingen: de aard van de
persoonsgegevens, de aard van de gegevensverwerkingen en de verwerkingsdoeleinden waarvoor de
persoonsgegevens worden verwerkt.
De kans dat de risico’s zich voltrekken is onder andere afhankelijk van de middelen die de
verwerkingsverantwoordelijke gebruikt bij de gegevensverwerking en de aard van de persoonsgegevens.
Persoonsgegevens die de sleutel vormen voor toegang tot geldelijke middelen of waarmee een betrokkene te
chanteren is zijn aantrekkelijk voor hackers. Denk hierbij aan de inloggegevens voor DigiD of een datingwebsite.
De kans dat zich gevolgen voordoen voor de rechten en vrijheden van de betrokkenen kan ook verband houden met de
(mate van) beveiliging van de persoonsgegevens. De al dan niet opzettelijke:
• vernietiging en verlies (beschikbaarheid);
• wijziging (integriteit);
• ongeoorloofde toegang en verstrekking (vertrouwelijkheid);
van persoonsgegevens, kan leiden tot schade voor de betrokkene.207
Voor het inschatten van de risico’s kan het behulpzaam zijn om de betrokkenen of hun vertegenwoordigers te
raadplegen.
Big dataverwerkingen kunnen specifieke risico’s voor de betrokkene met zich brengen. Zo kan een algoritme een
correlatie ontdekken die weliswaar in statistische zin logisch is, maar die kan leiden tot vooroordelen en stereotypering,
discriminatie en sociale uitsluiting of anderszins impact heeft op de betrokkenen, bijvoorbeeld bij sollicitaties, het
aangaan van leningen en afsluiten van verzekeringen. Ook bestaat het risico dat de betrokkene onderworpen is aan big
data-besluitvorming die hij niet begrijpt en waar hij geen invloed op heeft.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Hoe wordt de schade, kans en impact van de risico’s ingeschat (zie Tabel 1)?
207 AVG overweging 83.
Invulinstructies Tabel 1
Samen met de bijvoorbeeld de proces- of systeemeigenaar worden de relevante bedreigingen in kaart gebracht. Het
betreft bedreigingen waardoor onrechtmatige toegang, ongewenste modificatie, verdwijning of zoekraken van
persoonsgegevens kan ontstaan. De bedreigingen kunnen in de vorm van incidenten worden verwoord.208 Voorbeelden
van incidenten zijn:
• Ongeautoriseerde toegang door onbevoegden (hackers/hosters).
• Ongeautoriseerde wijziging of verwijdering van gegevens (hacking).
• Onvoldoende toegangsbeperking tot apparatuur.
• Fouten in interne geheugens.
• Aftappen van gegevens.
• Onzorgvuldige vernietiging.
• Niet toepassen clear screen/clear desk.
• Oneigenlijk gebruik van autorisaties.
• Onvoldoende interne controle.
• Onvoldoende toetsing op richtlijnen.
• Et cetera.
Per incident wordt op een 3-puntenschaal (Laag, Midden, Hoog) aangegeven hoe groot de invloed ervan is op werking
van het informatiesysteem (de schade), en wat de kans is op het optreden van de betreffende bedreiging. Op basis van
Tabel 2 wordt bepaald wat het totale effect is (kans x schade). Er kunnen binnen de gemeente al risicoanalyses zijn
uitgevoerd, eventuele bedreigingen die hier zijn vastgesteld kunnen worden meegenomen.
9.3.1. Impact betrokkenen vaststellen
Definieer aanvaardbare risicowaarden en beoordeel of de risico’s aanvaardbaar zijn. Hiervoor dient de impact voor de
betrokkenen in Tabel 1 te worden ingevuld. Op basis van de berekening van de kans x schade en de impact voor de
betrokkenen wordt bepaald welke dreigingen het meest relevant worden geacht.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wat is de exacte impact van uitlekken van gegevens op betrokkenen?
o Heeft dit nadelige gevolgen voor de persoon?
o Is er kans op financiële schade?
o Is er kans op identiteitsdiefstal of -fraude?
208 Zie voor meer achtergrondinformatie m.b.t. incidenten en de koppeling met MAPGOOD, Bijlage B ‘Model om dreigingen in kaart te brengen’ uit het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD.
Risico Bedreiging209 (beschrijf het specifieke risico210)
Schade (L, M, H)
Kans (L, M, H)
Impact Impact voor de betrokkene (Detail)
Mitigerende maatregelen
Onrechtmatige toegang – interne medewerkers
Onrechtmatige toegang - externe medewerkers
Ongewenste modificatie - interne medewerkers
Ongewenste modificatie - externe medewerkers
Verdwijning of zoekraken van persoonsgegevens
Tabel 1 Risico-inschatting gegevensverwerking.
Tabel 2 wordt gebruikt om de impact van de bedreigingen vast te stellen. Deze wordt ingevuld in de kolom ‘impact’ van Tabel 1. Wanneer een bedreiging bijvoorbeeld een kans ‘midden’ heeft en de
potentiele schade ‘hoog’ is, dan wordt uit Tabel 2 afgeleid dat de totale uitkomst op ‘hoog’ uitkomt voor die specifieke bedreiging.
SCHADE
H M L
KA
NS
H HH H M
M H M L
L M L LL
Tabel 2 Bepalen impact bedreigingen
209 Zie voor mogelijke bedreigingen ook Bijlage B ‘Model om dreigingen in kaart te brengen’ uit het operationele BIO document ‘Diepgaande risicoanalyse methode gemeenten’ van de IBD. 210 Hoe kan dit risico zich voordoen?
66
10. Beschrijf voorgenomen maatregelen
Risico's
In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande maatregelen. Begin
altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen maatregelen die op de
gegevensverwerking betrekking hebben.
Geplande of bestaande maatregelen
In deze sectie kunt u maatregelen (bestaande of geplande) identificeren en toelichten die bijdragen aan
gegevensbeveiliging.
Onderdeel uit de DPIA-tool waarop deze paragraaf betrekking heeft:
• Risico's: In dit gedeelte kunt u de privacyrisico's beoordelen, rekening houdend met bestaande of geplande
maatregelen. Begin altijd met het selecteren en beschrijven van genomen privacy- en beveiligingsmaatregelen
maatregelen die op de gegevensverwerking betrekking hebben.
• Geplande of bestaande maatregelen: In deze sectie kunt u maatregelen (bestaande of geplande) identificeren
en toelichten die bijdragen aan gegevensbeveiliging.
• Vraag DPIA-tool: Welke van de geïdentificeerde maatregelen dragen bij aan het mitigeren van het risico?
• Toelichting: Klik hier om de in de sectie ‘Geplande of bestaande maatregelen’ te selecteren die het risico
mitigeren.
De DPIA-tool biedt standaard onderstaande maatregelen aan waaruit geselecteerd kan worden, maar uiteraard
kunnen ook eigen maatregelen worden toegevoegd:
Beveiligingsmaatregelen uit de BIO:
6.1.2 Scheiding van taken
6.2.2 Telewerkbeleid
7.1.1 Screening personeel
7.1.2 Beveiliging in arbeidsvoorwaarden
8.2.1 Classificatie van informatie
8.2.2 Informatie labelen
8.2.3 Procedures voor behandelen van bedrijfsmiddelen
8.3.1 Beheer van verwijderbare media
8.3.2 Procedures voor verwijderen van media
8.3.3 Bescherming media bij fysiek overdragen
9.1.1 Beleid voor toegangsbeveiliging
9.1.2 Alleen bevoegde toegang tot netwerken en netwerkdiensten
9.2.1 Registratie en afmelden van gebruikers
9.2.2 Procedure voor toegang verlenen gebruikers
9.2.6 Toegangsrechten intrekken of aanpassen bij beëindigen werkzaamheden
9.3.1 Geheime authenticatie-informatie gebruiken
9.4.1 Beperking toegang tot informatie
9.4.2 Beveiligde inlogprocedures
9.4.3 Systeem voor wachtwoordbeheer
9.4.4 Maatregelen gebruik speciale systeemhulpmiddelen
9.4.5 Toegangsbeveiliging op programmabroncode
10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
10.1.2 Sleutelbeheer
11.1.1 Gebruik fysieke beveiligingszones
11.1.5 Werken in beveiligde gebieden
11.1.6 Beheersing Laad- en loslocaties
11.1.6 Beheersing Laad- en loslocaties
67
11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
11.2.7 Veilig verwijderen of hergebruiken van apparatuur
11.2.8 Bescherming onbeheerde gebruikersapparatuur
11.2.9 ‘Clear desk’- en ‘clear screen’-beleid
12.4.2 Beschermen van informatie in logbestanden
12.4.2 Beschermen van informatie in logbestanden
13.2.1 Beleid en procedures voor informatietransport
13.2.2 Overeenkomsten over informatietransport
13.2.3 Bescherming elektronische berichten
13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst
14.1.2 Toepassingen op openbare netwerken beveiligen
14.1.3 Transacties van toepassingen beschermen
18.1.4 Borging van privacy en bescherming van persoonsgegevens
18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
Logische beveiligingsmaatregelen:
• Anonimisering
• Pseudonimisering
• Archiveren
• Minimaliseren van de hoeveelheid persoonsgegevens
Fysieke beveiligingsmaatregelen:
• Onderhoud
Organisatorische maatregelen:
• <geen>
Voor de verwerkingsactiviteiten die onder deze DPIA vallen, moeten de maatregelen om de geïdentificeerde risico's te
mitigeren worden bepaald. Deze maatregelen moeten waarborgen bieden dat de bescherming van persoonsgegevens
worden gegarandeerd en aantonen dat aan de AVG wordt voldaan.211 Hierbij dienen de rechten en gerechtvaardigde
belangen van de betrokkenen en andere personen in kwestie in acht worden genomen.
In dit hoofdstuk wordt bekeken welke maatregelen kunnen worden getroffen om de in hoofdstuk 9 ‘Beschrijf risico’s’
erkende risico’s te voorkomen of te verminderen. In de huidige versie van de DPIA-tool zijn de algemene
beveiligingsmaatregelen vervangen door makkelijk te selecteren BIO-maatregelen. Welke maatregelen in redelijkheid
worden getroffen is een belangenafweging van de verwerkingsverantwoordelijke en mogelijk ook de wetgever. Voor dit
onderdeel van de DPIA is expertise over informatiebeveiliging belangrijk en met name als het gaat om
beveiligingsmaatregelen.
Beoordeel welke technische, organisatorische en juridische maatregelen in redelijkheid kunnen worden genomen om
de risico’s die Tabel 1 zijn beschreven te voorkomen of te verminderen. Als een (diepgaande) risicoanalyse door het
informatiebeveiligingsteam is uitgevoerd, dan kan worden gekeken welke veiligheidsmaatregelen hieruit naar voren zijn
gekomen om de onderkende risico’s te mitigeren. Beschrijf welke maatregel welk risico aanpakt en wat het restrisico is
na het implementeren van de maatregel. Als de maatregel het risico niet volledig afdekt, motiveer waarom het
restrisico acceptabel is.
Denk bij maatregelen bijvoorbeeld aan: het extra informeren van de betrokkenen, een extra keuze-, inspraak- of
bezwaarmogelijkheid voor de betrokkenen, periodieke controles, toezicht verstevigen, verhogen bewustwording en
dataminimalisatie.
211 AVG artikel 35, lid 7, onder d en AVG overweging 90.
68
Daarnaast kunnen de maatregelen ook beveiligingsmaatregelen omvatten. De AVG gaat uit van het feit dat
persoonsgegevens door het nemen van passende technische en organisatorische maatregelen op een dusdanige
manier wordt verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen
ongeoorloofde of onrechtmatige gegevensverwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.212
De verwerkingsverantwoordelijk moet passende technische en organisatorische maatregelen treffen om een op het
risico afgestemd beveiligingsniveau te waarborgen.213 In het begrip passend ligt besloten dat de beveiliging in
overeenstemming is met de stand van de techniek. Het begrip passend duidt onder andere op een proportionaliteit
tussen de maatregelen en erkende privacyrisico’s. Naarmate de risico’s groter zijn, worden zwaardere eisen gesteld aan
de beveiliging van de persoonsgegevens. Er is geen verplichting om altijd de zwaarste beveiliging te nemen. Enkel is
vereist dat de maatregelen met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn.214 Deze
maatregelen moeten het risico tot een aanvaardbaar niveau brengen. Beveiligingsrisico’s volledig reduceren is niet
mogelijk. Dit betekent dat er altijd een restrisico zal overblijven. De verwerkingsverantwoordelijke dient te beschrijven
hoe hij tot dit restrisico is gekomen en waarom dit aanvaardbaar wordt geacht.
Een passend beveiligingsniveau veronderstelt dat gewerkt wordt met een planning- en controlcyclus (plan-do-check-
act) aan de hand waarvan kan worden beoordeeld of de beveiliging steeds adequaat is voor de huidige stand van de
techniek en de organisatie.
Voor te treffen maatregelen kan worden aangehaakt bij beveiligingskaders en -standaarden, best practices en
goedgekeurde gedragscodes en certificeringsmechanismen. Ter illustratie noemt de AVG de volgende maatregelen:
a. pseudonimiseren en versleutelen van persoonsgegevens;
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de
verwerkingssystemen en diensten te garanderen;
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de
persoonsgegevens tijdig te herstellen;
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de
technische en organisatorische maatregelen ter beveiliging van de gegevensverwerking.215
Daarnaast kan worden gedacht aan de volgende maatregelen, onder andere bedoeld om ervoor te zorgen dat
persoonsgegevens, gelet op de verwerkingsdoeleinden waarvoor ze worden verwerkt, juist en nauwkeurig zijn216:
• fysieke maatregelen voor toegangsbeveiliging217 en logische toegangscontrole218;
• opslag van gegevens in een kluis;
• project-, risico-219 en incidentenmanagement220;
• data opsplitsen;
• dataminimalisatie;
• back-ups; 221
• integriteitscontroles;
• multifactor-authenticatie;
• monitoring en logging; 222
• controle van toegekende bevoegdheden; 223
• privacybewustzijn-224 en beveiligingstrainingen;
212 AVG artikel 5, eerste lid, aanhef en onder f. 213 AVG artikel 32. 214 AVG overwegingen 83 en 94. 215 AVG artikel 32, eerste lid. 216 AVG artikel 5, eerste lid, onder d. 217 Zie hiervoor het operationele BIO document ‘Handreiking Toegangsbeleid BIO’ van de IBD. 218 Zie hiervoor het operationele BIO document ’Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 219 Zie hiervoor het operationele BIO document ‘Handreiking Diepgaande Risicoanalyse Methode Gemeenten’ van de IBD. 220 Zie hiervoor het operationele BIO document ’Voorbeeld Incidentmanagement en response beleid BIO’ van de IBD. 221 Zie hiervoor het operationele BIO document ’Handreiking Back-up en recovery gemeente BIO’ van de IBD. 222 Zie hiervoor het operationele BIO document ’Handreiking Aanwijzing Logging BIO’ van de IBD. 223 Zie hiervoor het operationele BIO document ’Handreiking Beleid logische toegangsbeveiliging BIO’ van de IBD. 224 Zie hiervoor het operationele BIO document ’Presentatie Bewustwording Informatieveiligheid bij gemeenten’ van de IBD.
69
• managementrapportages over risicobeheer;
• beperken inzageniveau;
• periodiek een audit of hack- of penetratietest225 uitvoeren;
• richtlijnen inzake gebruik ICT-hulpmiddelen, zoals versleutelde USB-sticks en beveiligde opslagplekken; 226
• responsible-disclosurebeleid; 227
• geheimhoudingsverklaringen; 228
• service level agreements (met boeteclausules); 229
• verwerkersovereenkomsten; 230
• screening personeel en VOG-verklaring.231
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Per risico dient te worden aangeven welke maatregelen worden genomen om de gegevens te beschermen (zie
Tabel 1).
• Bij het bepalen van de maatregelen dient ook rekening gehouden te worden met maatregelen die voortvloeien uit
de Baseline Informatiebeveiliging Overheid (BIO)232.
• Zijn er nog aanvullende organisatorische maatregelen die worden genomen?
• Zijn er nog aanvullende technische maatregelen die worden genomen?
• Wordt gemotiveerd als de maatregel het risico niet volledig afdekt, waarom het restrisico acceptabel is?
• Wordt voor de getroffen maatregelen aangehaakt bij beveiligingskaders en -standaarden, best practices en
goedgekeurde gedragscodes en certificeringsmechanismen? Zo ja, welke zijn dit?
• Wordt gewerkt met een planning & controlcyclus (plan-do-check-act) om een passend beveiligingsniveau te
realiseren?
• Is het duidelijk wie na afloop van het project verantwoordelijk is voor het in stand houden en evalueren van de
getroffen maatregelen? Zo ja, wie is dit?
10.1. Maatregelen die bijdragen aan de rechten van de betrokkenen Beschrijf specifiek hoe de rechten van de betrokkene worden beschermd. Noteer of verwijs naar de toestemmings- en
de privacyverklaring als gebruikt (bestaand of nieuw). Registreer en accepteer tot slot alle resterende risico's die niet
zijn gemitigeerd.
Bepaal voor elk risico de mogelijke oorsprong, de aard, het specifieke karakter en de ernst van het risico, vanuit het
perspectief van de betrokkene. Identificeer de mogelijke gevolgen voor de rechten en vrijheden van de betrokkene.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Wordt verwezen naar toestemmings- en de privacyverklaring? Zo ja, welke zijn dat?
• Worden alle resterende risico's die niet zijn gemitigeerd beschreven?
225 Zie hiervoor het operationele BIO document ’Handreiking penetratietesten BIO’ van de IBD. 226 Zie hiervoor het operationele BIO document ’Handreiking Mobiele gegevensdragers BIO’ van de IBD. 227 Zie hiervoor het operationele BIO document ’Handreiking Responsible disclosure BIO’ van de IBD. 228 Zie hiervoor het operationele BIO document ’Handreiking Geheimhoudingsverklaringen BIO’ van de IBD. 229 Zie hiervoor het operationele BIO documenten ’Handreiking Service Level Agreement (SLA) BIO’ en ‘Voorbeeld Service Level Agreement (SLA) met aandacht voor informatiebeveiliging’ van de IBD. 230 Zie hiervoor het operationele BIO document ‘Handreiking Standaard Verwerkersovereenkomst Gemeenten (VWO)’ en het factsheet ‘Verwerkersovereenkomsten’ van de IBD. 231 Zie hiervoor het operationele BIO document ’Handreiking Personeelsbeleid gemeente BIO’ van de IBD. 232 Zie https://zoek.officielebekendmakingen.nl/stcrt-2019-26526.html
70
10.2. Maatregelen die bijdragen aan veilig gebruik Big Data Bij Big data-analyses (paragraaf 6.3.3. ‘
71
Big data’) waarbij persoonsgegevens worden verwerkt, dient, gelet op de daarmee gepaard gaande risico’s, in het
bijzonder aandacht te worden besteed aan het treffen van de volgende maatregelen.
• Zorg ervoor dat naarmate de mogelijkheden van patroonherkenning bij de toepassing van big data minder zijn, een
goede validatie door experts op het desbetreffende vakgebied plaatsvindt om het risico van foutieve uitkomsten
zoveel mogelijk te reduceren.
• Zorg ervoor dat de data zoveel als met een redelijke inspanning mogelijk is, up-to-date zijn, de te gebruiken
datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te gebruiken algoritmen en analysemethoden
deugdelijk zijn.
• Bepaal, rekening houdend met de potentiële impact van de toepassing, de foutmarge die bij de toepassing mag
optreden.
• Zorg ervoor dat nuttige informatie aan betrokkenen wordt verschaft over de gebruikte logica achter de analyse en
dat voor toezicht en rechterlijke toetsing voldoende inzicht kan worden gegeven in gebruikte algoritmen en
analysemethoden.233
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Bij de toepassing van de uitkomsten van big data-analyses dient aandacht te worden besteed aan het treffen van
de volgende maatregelen.
o Zorg voor menselijke tussenkomst in het proces van geautomatiseerde besluitvorming.234
o Naarmate de potentiële negatieve impact voor de betrokkene groter wordt, neemt de noodzaak voor een
goede validatie en een weging van de uitkomsten navenant toe.
10.3. Maatregelen die bijdragen aan evenredigheid en noodzaak gegevensverwerking Zie hiervoor paragraaf 7.3 ‘Beschrijf noodzaak en evenredigheid’.
233 Kamerstukken II 2016/17, 26 643, nr. 426, p. 7-10 (https://zoek.officielebekendmakingen.nl/kst-26643-426.pdf). 234 AVG artikel 22.
72
11. Belanghebbenden
Validatie
In dit gedeelte kunt u de PIA-validatie voorbereiden en formaliseren.
Meningen van FG en betrokkenen
Presenteer het advies van de persoon die verantwoordelijk is voor gegevensbescherming en privacy (functionaris
gegevensbescherming indien aanwezig). Presenteer de standpunten van de betrokkenen of hun vertegenwoordigers.
Mening FG:
• De gegevensverwerking zou kunnen worden geïmplementeerd.
Geef de redenen voor uw keuze
• De gegevensverwerking mag niet worden geïmplementeerd.
Geef de redenen voor uw keuze
• Mening van betrokkenen werd gevraagd.
o De behandeling zou kunnen worden geïmplementeerd.
o De behandeling mag niet worden gebruikt.
Geef de redenen voor uw keuze.
• Mening van betrokkenen werd niet gevraagd.
Mening betrokkenen:
• Mening van betrokkenen werd gevraagd.
o De gegevensverwerking zou kunnen worden geïmplementeerd.
o De gegevensverwerking mag niet worden geïmplementeerd.
Beschrijf hoe de meningen zijn verzameld en wat de analyse is. Als de meningen niet zijn opgevraagd, vermeld
dan de redenen.
• Mening van betrokkenen werd niet gevraagd.
Geef de reden waarom de mening van de betrokkenen niet is gevraagd.
In dit hoofdstuk dient informatie te worden verstrekt over hoe rekening is gehouden met de opvattingen van de
belanghebbenden. Bijvoorbeeld door een opsomming te geven van onderzoeken of raadplegingen die hebben
plaatsgevonden die verband houden met het gegevensverwerkingsvoorstel.
11.1. Advies van de functionaris voor gegevensbescherming De verwerkingsverantwoordelijke wint bij het uitvoeren van een DPIA het advies in van de FG als deze door de
gemeente is aangewezen.235 Werd de FG geraadpleegd tijdens het opstellen van het gegevensverwerkingsvoorstel en
welke richtlijnen werden door hem versterkt. Geef hier een opsomming van alle belangrijke punten.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Als een FG is benoemd, is het verplicht om deze FG om advies te vragen. Leg het advies van de FG vast. Beschrijf
minimaal, de volgende gegevens:
o Naam FG.
o Datum advies.
o De FG dient onderstaande vragen zo compleet mogelijk te beantwoorden:
▪ Zijn de gegevensverwerking en verwerkingsdoeleinden duidelijk omschreven?
▪ Is de gegevensverwerking van de persoonsgegevens noodzakelijk of proportioneel voor de
verwerkingsdoeleinden?
▪ Zijn de privacyrisico’s voldoende in kaart gebracht? Welke risico’s ontbreken nog?
235 AVG artikel 35, lid 2.
73
11.2. De mening van betrokkenen of hun vertegenwoordigers De verwerkingsverantwoordelijke vraagt de betrokkenen of hun vertegenwoordigers naar hun mening over de
voorgenomen gegevensverwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging
van gegevensverwerkingen.236 Denk hierbij aan:
• Enig onderzoek uitgevoerd door een organisatie om de standpunten van de betrokkenen of hun
vertegenwoordigers vast te leggen. Heeft er bijvoorbeeld een onderzoek plaatsgevonden dat inzicht geeft in het
gegevensverwerkingsvoorstel?
• Onderzoek of raadplegingen door derden om de standpunten van de betrokkenen of hun vertegenwoordigers vast
te leggen
• Alle discussiedocumenten die zijn gepubliceerd of die zullen worden gepubliceerd, bijvoorbeeld door sectorale
regelgevers.
Beschrijf de uitkomsten/bevindingen van een van bovenstaande en vermeld een link naar de informatie. Leg de
redenen vast als tegen de mening van de betrokkenen of hun vertegenwoordigers in wordt gegaan.
Aandachtspunten die hierbij ondersteuningen kunnen verlenen zijn:
• Is voor deze DPIA gesproken met betrokkenen of vertegenwoordigers? Zo ja, welke reactie hebben zij gegeven en
hoe is deze reactie verwerkt?
• Leg de redenen vast als tegen de mening van de betrokkenen of hun vertegenwoordigers in wordt gegaan.
11.3. Voorafgaande raadpleging Wanneer uit een DPIA volgens de AVG237 blijkt dat de gegevensverwerking een hoog risico zou opleveren als de
verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de
verwerkingsverantwoordelijke voorafgaand aan de gegevensverwerking de AP.238
11.4. Redenen voor het niet uitvoeren van onderzoek Geef aan waarom in dit geval besloten is om geen onderzoek te doen of te verwijzen naar bestaand onderzoek. Dat wil
zeggen waarom het niet passend werd geacht.
236 AVG artikel 35, lid 9. 237 Zie hiervoor AVG artikel 35. 238 AVG artikel 36.
74
Bijlage 1: Naslag: tekst uit AVG, UAVG en MVT bij UAVG
Algemene verordening gegevensbescherming (AVG)239
Afdeling 3 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Artikel 35 Gegevensbeschermingseffectbeoordeling
1 Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt,
gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de
rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een
beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.
2 Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij
het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.
3 Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is
gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd
waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op
vergelijkbare wijze wezenlijk treffen;
b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of
van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10;
of
c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
4 De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een
gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De
toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.
5 De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor
geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan
het Comité.
6 Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het
aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende
lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen
beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in
artikel 63 bedoelde coherentiemechanisme toe.
7 De beoordeling bevat ten minste:
a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in
voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden
behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de
doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en
d) de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en
mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze
verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen
en andere personen in kwestie.
8 Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte
verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de
in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
239 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf
75
9 De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar
hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of
algemene belangen of de beveiliging van verwerkingen.
10 Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het
recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel
van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene
effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een
gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de
lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
11 Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking
overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is
van een verandering van het risico dat de verwerkingen inhouden.
Overwegingen 84 en 89 - 93
(84) Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met
hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke
of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met
name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de
beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden
genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd. Wanneer
een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de
verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en
de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats
te vinden.
(89) Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de
toezichthoudende autoriteiten te melden. Die verplichting leidt tot administratieve en financiële lasten, maar heeft niet
in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Die ongedifferentieerde algemene
kennisgevingsverplichtingen moeten derhalve worden afgeschaft en worden vervangen door doeltreffende procedures
en mechanismen die gericht zijn op de soorten verwerkingen die naar hun aard, reikwijdte, context en doeleinden
waarschijnlijk grote risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengen. Dergelijke
verwerkingen kunnen die zijn waarbij met name wordt gebruikgemaakt van nieuwe technologieën, of die welke van
een nieuw type zijn en waarbij er vooraf geen gegevensbeschermingseffectbeoordeling is verricht door de
verwerkingsverantwoordelijke, of wanneer zij noodzakelijk worden gelet op de tijd die sinds de aanvankelijke
verwerking is verstreken.
(90) In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een
gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de grote
risico’s te beoordelen, rekening houdend met de aard, omvang, context en doelen van de verwerking en de bronnen
van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen
en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze
verordening is voldaan.
(91) Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een
aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal
betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met
zich kunnen brengen, wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op
grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en vrijheden van
de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker
kunnen uitoefenen.
76
Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden
verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een
systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de
profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische
gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende
veiligheidsmaatregelen. Een gegevensbeschermingseffectbeoordeling is tevens nodig voor de grootschalige bewaking
van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur wordt gebruikt, of voor alle
andere verwerkingen wanneer de bevoegde toezichthoudende autoriteit oordeelt dat zij waarschijnlijk een groot risico
inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze
verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, of
omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens mag
niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van
patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag
een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld.
(92) Onder bepaalde omstandigheden kan het redelijk en nuttig zijn dat de gegevensbeschermingseffectbeoordeling
zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -organen een gemeenschappelijk
applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere verwerkingsverantwoordelijken van plan zijn
een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment
daarvan, of voor een gangbare horizontale activiteit.
(93) In het kader van de vaststelling van het lidstatelijke recht waarop de vervulling van de taken van de
overheidsinstantie of het overheidsorgaan is gebaseerd, en waarin de specifieke verwerking of reeks verwerkingen
wordt geregeld, kunnen de lidstaten het noodzakelijk achten een dergelijke beoordeling uit te voeren voordat met de
verwerking wordt begonnen.
Memorie van toelichting Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)240
5.2.6 Gegevensbeschermingseffectbeoordeling
Afdeling 3 van hoofdstuk IV van de verordening gaat over de gegevensbeschermingseffectbeoordeling (ook bekend
onder de Engelse term privacy impact assessment, afgekort PIA, of data protection impact assessment, afgekort DPIA)
en voorafgaande raadpleging van de toezichthoudende autoriteit. Deze bepalingen zijn nieuw ten opzichte van de
bestaande regelgeving, maar niet geheel onbekend: sinds 1 september 2013 is het uitvoeren van een PIA bij
ontwikkeling van nieuwe wetgeving en systemen die zien op de verwerking van persoonsgegevens verplicht voor de
rijksoverheid.241 Recent heeft het kabinet een aangepast model PIA Rijksdienst vastgesteld, dat rekening houdt met de
AVG.242
De PIA zal onder de verordening echter gelden als een verplichting die geldt voor zowel de rijksoverheid, de decentrale
overheden als voor het bedrijfsleven.
Artikel 35, eerste lid, van de verordening bepaalt wanneer een PIA noodzakelijk is, namelijk wanneer een verwerking, in
het bijzonder als nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden
daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Het derde lid
geeft een nadere specificatie van deze norm door een drietal situaties te benoemen waarin een PIA in elk geval is
voorgeschreven:
a) bij systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen met het oog op
het nemen van besluiten gebaseerd op geautomatiseerde verwerkingen, waaronder profilering;
b) bij grootschalige verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende
strafrechtelijke veroordelingen of strafrechtelijke feiten;
c) bij stelselmatige en grootschalige bewaking van openbaar toegankelijke ruimten.
240 https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/memorie-van-toelichting-uitvoeringswet-algemene-verordening-gegevensbescherming 241 Kamerstukken II 2012/13, 26 643, nr. 282 en bijlage. 242 Kamerstukken II 2017/18, 26 643, nr. 490 (brief van 29 september 2017).
77
Het blijft evenwel een abstracte normstelling, die in belangrijke mate door de verwerkingsverantwoordelijke zelf
geïnterpreteerd zal moeten worden. De toezichthoudende autoriteit zal, op grond van het vierde lid, in ieder geval een
lijst openbaar maken van het soort verwerkingen waarvoor een PIA noodzakelijk is. Op grond van het vijfde lid kan de
toezichthoudende autoriteit ook een lijst opstellen van het soort verwerkingen waarvoor geen PIA vereist is. Voor de
rijksoverheid is aandacht besteed aan de vraag wanneer een PIA is vereist in het aangepaste model PIA Rijksdienst.
Daarvoor geldt dat niet alleen voor voorgenomen verwerkingen die waarschijnlijk een hoog risico inhouden voor de
rechten en vrijheden van betrokkenen een PIA vereist is (conform de eis in de verordening), maar dat ook een PIA moet
worden uitgevoerd bij de ontwikkeling van beleid en regelgeving die betrekking hebben op verwerkingen van
persoonsgegevens of waaruit verwerkingen van persoonsgegevens voortvloeien. Het opstellen van een PIA is dus een
standaard onderdeel bij de voorbereiding van dergelijke wet- en regelgeving, waaronder ook algemene maatregelen
van bestuur.
Het zevende lid benoemt de inhoudelijke aspecten die in een PIA aan de orde moeten komen. Het gaat hier om zaken
als een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, een inschatting van de
risico’s en beoogde maatregelen om het risico te reduceren. Op grond van het negende lid mogen ook betrokkenen of
hun vertegenwoordigers worden gevraagd naar hun mening.
78
Bijlage 2: Criteria DPIA
De WP29 stelt de volgende criteria voor die verwerkingsverantwoordelijken kunnen gebruiken om te beoordelen of een
DPIA, of een methode voor het uitvoeren van een DPIA, volledig genoeg is om aan de AVG te voldoen:243
• er wordt een systematische beschrijving van de verwerking verstrekt (artikel 35, lid 7, onder a)):
o er wordt rekening gehouden met de aard, omvang, context en doelen van de verwerking (overweging 90);
o de persoonsgegevens, de ontvangers en de periode gedurende welke de persoonsgegevens worden bewaard
worden geregistreerd;
o er wordt een functionele beschrijving van de verwerking verstrekt;
o de activa waarop persoonsgegevens steunen (hardware, software, netwerken, mensen, papier of
papiertransmissiekanalen) worden geïdentificeerd;
o er wordt rekening gehouden met de naleving van de goedgekeurde gedragscodes (artikel 35, lid 8);
• de noodzaak en evenredigheid worden beoordeeld (artikel 35, lid 7, onder b)):
o de beoogde maatregelen om aan de verordening te voldoen worden bepaald (artikel 35, lid 7, onder d), en
overweging 90), waarbij rekening wordt gehouden met:
▪ maatregelen die bijdragen aan de evenredigheid en noodzaak van de verwerking op basis van:
- een of meer gespecificeerde, expliciete en legitieme verwerkingsdoeleinden (artikel 5, lid 1, onder
b));
- rechtmatigheid van de verwerking (artikel 6);
- toereikend, ter zake dienend en beperkt tot wat noodzakelijke gegevens zijn (artikel 5, lid 1, onder
c));
- beperkte bewaartermijn (artikel 5, lid 1, onder e));
▪ maatregelen die bijdragen aan de rechten van de betrokkenen:
- informatie verstrekt aan de betrokkene (artikelen 12, 13 en 14);
- recht van inzage en recht op overdraagbaarheid van gegevens (artikelen 15 en 20);
- recht op rectificatie en recht op gegevenswissing (artikelen 16, 17 en 19);
- recht van bezwaar en recht op beperking van de verwerking (artikelen 18, 19 en 21);
- relaties met verwerkers (artikel 28);
- waarborgen omtrent internationale doorgifte(n) (hoofdstuk V);
- voorafgaande raadpleging (artikel 36).
• de risico's voor de rechten en vrijheden van betrokkenen worden beheerd (artikel 35, lid 7, onder c)):
o er wordt rekening gehouden met de oorsprong, de aard, het specifieke karakter en de ernst van de risico's
(zie overweging 84) of, meer specifiek, voor elk risico (onrechtmatige toegang, ongewenste wijziging en
verdwijning van gegevens) vanuit het perspectief van de betrokkenen:
▪ er wordt rekening gehouden met de bronnen van de risico's (overweging 90);
▪ de mogelijke gevolgen voor de rechten en vrijheden van de betrokkenen worden geïdentificeerd in geval
van gebeurtenissen zoals onrechtmatige toegang, ongewenste wijziging en verdwijning van gegevens;
▪ bedreigingen die kunnen leiden tot onrechtmatige toegang, ongewenste wijziging en de verdwijning van
gegevens worden geïdentificeerd;
▪ de waarschijnlijkheid en ernst worden ingeschat (overweging 90);
o de beoogde maatregelen om de risico's aan te pakken worden bepaald (artikel 35, lid 7, onder d), en
overweging 90);
• de belanghebbenden worden betrokken:
o het advies van de functionaris voor gegevensbescherming wordt ingewonnen (artikel 35, lid 2);
o indien nodig wordt de betrokkenen of hun vertegenwoordigers naar hun mening gevraagd (artikel 35, lid 9).
243 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf
79
Bijlage 3: Bronnen
De gebruikte bronnen zijn:
1. Website van de Autoriteit Persoonsgegevens244
2. Website van de Informatiebeveiligingsdienst voor gemeenten (IBD)245
3. De (oude) PIA-vragenlijst van de IBD die uitgevoerd diende te worden onder de Wet bescherming
persoonsgegevens (Wbp)246.
4. Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)247
Versie: 1.0 September 2017
5. Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een
hoog risico inhoudt" in de zin van Verordening 2016/679248
Vastgesteld op 4 oktober 201
6. Handleiding Algemene verordening gegevensbescherming249
Publicatiedatum januari 2018 (versie 108130)
7. Documentatie van de DPIA-tool250
Opgesteld door de Commission Nationale de l'Informatique et des Libertés (CLIN) de Franse
privacytoezichthouder.
244 https://autoriteitpersoonsgegevens.nl/nl 245 https://www.informatiebeveiligingsdienst.nl/ 246 http://wetten.overheid.nl/BWBR0011468/ 247 https://www.rijksoverheid.nl/documenten/rapporten/2017/09/29/model-gegevensbeschermingseffectbeoordeling-rijksdienst-pia 248 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf 249 https://www.rijksoverheid.nl/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming 250 https://www.cnil.fr/en/privacy-impact-assessment-pia
80
Kijk voor meer informatie op:
www.informatiebeveiligingsdienst.nl
Nassaulaan 12
2514 JS Den Haag
CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)
CERT 24x7: Piketnummer (instructies via voicemail)