Moet je ook een DPIA uitvoeren op interne systemen?

Een lezer vroeg me:

Volgens de AVG zijn er een aantal criteria wanneer je een DPIA moet uitvoeren. Maar vallen interne systemen, zoals o.a. een DMS, e-mail, backups ed. ook onder deze ‘plicht’ ? Ik vraag dit omdat onze FG ook die systemen als “hoog risico” aanmerkt, wat enorme vertraging geeft.
Een DPIA of data protection impact assessment is een verplicht nummer voor verwerkingen van persoonsgegevens met waarschijnlijk een hoog risico voor de betrokken personen (artikel 35 AVG). Meestal gaat het dan om nieuwe technologieën, maar dat hoeft niet.

Om te bepalen of het risico hoog is, moet je volgens de AVG kijken naar “de aard, de omvang, de context en de doeleinden” van de verwerking. Er is geen expliciete uitzondering voor intern versus extern, wat dat ook zou mogen betekenen in de context van verwerken van persoonsgegevens.

De AP heeft een lijst gepubliceerd van verwerkingen die in ieder geval eerst aan een DPIA onderworpen moeten worden. Hieronder valt onder meer heimelijk onderzoek van personeel door werkgevers, grootschalige fraudebestrijding (concreet: AI-analyse van je klantenbestand), grootschalig monitoren van personeel of klanten, stelselmatig monitoren van dataverkeer anders dan voor security, uitgebreid profileren en ga zo maar door.

Ik zie wel hoe een “intern” gebruik van persoonsgegevens onder deze kopjes kan vallen. De kern is voor mij wel dat het vrijwel altijd gaat om “grootschalig” gebruik. Dus één werknemer tijdelijk volgen vanwege een vermoeden van lekken van bedrijfsgeheimen zou geen DPIA vereisen.

Het uitrollen van een nieuw e-mailsysteem zou voor mij ook geen DPIA nodig hebben, maar wél als je er productiviteitsdingen in gaat toevoegen en daarmee werknemers monitort op hun effectiviteit. Een nieuwe procedure voor backups van bedrijfsdata lijkt me op zich ook niet hogo risico, met backups ging je sowieso al om alsof het goud was.

Arnoud

6 reacties

  1. Ik zou daar nog aan willen toevoegen dat in organisaties met meer dan 50 werknemers ook de Wet op de Ondernemingsraden nog relevant is. Die eist namelijk bij grootschalige automatiseringsprojecten en bij ‘regelingen omtrent de bescherming van persoonsgegevens’ in ieder geval raadpleging, soms instemming van de OR. Personeelsvolgsystemen (zoals monitoring) vallen daar zeker onder. Het is daarbij niet belangrijk of het systeem er ook voor gebruikt wordt, het feit dat het kán (b.v. door het aanzetten van een optie) is al voldoende. Je laat kansen liggen als je dat niet in de vorm van een dpia meeneemt, je hebt dan immers al met de betrokkenen (of een afvaardiging ervan) overlegt, zoals vanuit degedachtegang van de AVG wordt gevraagd.

  2. Beste Arnoud, Je geeft in je laatste zin aan dat een (nieuwe) procedure voor back-ups niet direct een hoog risico met zich meebrengt. Ik vraag me af: mogen we dat na gewiste/versleutelde back-ups van Universiteit Maastricht en Gemeente Hof van Twente nog steeds zeggen? Blijkbaar gaat niet iedereen met back-ups om alsof het goud is helaas…

    1. Het niet hebben van een goede backup is inderdaad een hoog risico, dus je kunt het backuppen zien als een verwerking met hoog risico. Vanuit dat standpunt moet er dus een DPIA op je backupprocedure, maar vanuit het perspectief “wat als de backup niet blijkt te werken” zou ik denken.

  3. Ik heb hier eind vorig jaar contact over gehad met de AP . Mijn vraag was: wat als je je IT hardware / je back-up systemen vervangt? Hoe denken jullie dan over het uitvoeren van een DPIA, aangezien er heel veel gegevens in zitten, maar het gaat niet om een op zichzelf staande verwerking.

    De AP gaf vervolgens aan dat een DPIA verplicht is zodra er wezenlijk iets verandert aan de bestaande verwerkingen. Bijvoorbeeld dat de back-ups opeens van on premise naar de cloud gaan, als ze opeens in het buitenland worden opgeslagen, als de bewaartermijnen veranderen, of dat de informatiebeveiliging echt op een andere manier plaatsvindt en je weet niet zeker of je hierdoor risico loopt en of je bepaalde rechten van betrokkenen niet meer goed kan uitoefenen. De DPIA’s zou je dan overigens voor alle onderliggende processen moeten uitvoeren, aldus de AP. Dat is nogal wat. Mochten we ooit in die situatie komen, gaan wij eerst maar eens bekijken wat praktisch is.

    1. Eerlijk gezegd vind ik dat wel een logische insteek, hoewel voor mij wel de voorvraag is of de verandering het risico van betrokkenen werkelijk naar “hoog” tilt. Dat zie ik bij een migratie van on-premise naar de Amerikaanse cloud nog wel, maar bij het vervangen van een tapeserver naar een RAID harddisk opstelling lijkt me dat niet verdedigbaar. Idem voor je bewaartermijn 3 maanden langer maken omdat je in de praktijk dat nodig hebt. Maar in zoverre klopt het dat een sterk veranderde verwerking hetzelfde is als een nieuwe. En bij elke nieuwe verwerking moet je je afvragen hoe hoog het risico gaat zijn, omdat “hoog risico” het criterium voor een DPIA is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.