Route: Je maakt een nieuw proces

Voor iedere route heb je capaciteit en middelen nodig. Beslis dus op tijd over de aard en omvang hiervan.

Als manager ben je altijd verantwoordelijk voor de naleving van de AVG- en andere privacywet en -regelgeving in processen, en de manier waarop je organisatie dat doet (zie basisvoorwaarde 3). Toon daarom met documentatie en registratie aan dat de vereiste tussenstops zijn uitgevoerd en hoe.

De AVG verplicht ook dat je regelmatig de actualiteit van registraties, afgesloten overeenkomsten, risico's, maatregelen en de gemaakte afwegingen controleert. Je voert beheer over deze activiteiten volgens de Plan, Do, Check en Act (PDCA-)cyclus.

Stel eerst het nut en noodzaak van de verwerking vast. Er zijn duidelijke grenzen bij gegevensverwerking. Zo mag je niet meer gegevens vast leggen dan voor het doel strikt noodzakelijk is; de persoonsgegevens die je hebt, mag je alleen gebruiken voor het doel waarvoor je ze hebt verzameld; sla persoonsgegevens ten slotte ook niet langer op dan noodzakelijk is voor het doel of vanuit het wettelijk kader. Onderzoek daarna de rechtmatigheid, de doelmatigheid en de proportionaliteit. Zonder een geldige grondslag mag je persoonsgegevens niet verwerken (vastleggen, gebruiken, opslaan en delen). Het kan zelfs de legitimiteit van je hele proces aantasten. Verzeker je ervan dat de grondslag voor het uitvoeren van de verwerking, ook ‘houdbaar’ is volgens de privacywetgeving. Als je aan doelmatigheid en proportionaliteit denkt, houd er dan rekening mee dat je alleen die persoonsgegevens verwerkt die nodig zijn bij het te bereiken doel en dat je niet meer gegevens vastlegt dan strikt noodzakelijk.

Daarvoor zijn zes uitgangspunten:

1. De uitvoering van een overeenkomst waarbij degene van wie je de persoonsgegevens verwerkt een van de partijen is;
2. Het voldoen aan een wettelijke verplichting;
3. De bescherming van de vitale belangen van degene wiens persoonsgegevens je verwerkt;
4. De vervulling van een taak in het algemene belang, of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
5. De behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Een uitzondering geldt wanneer de belangen of de grondrechten van de fundamentele vrijheden van de betrokkene zwaarder wegen, vooral als de betrokkene een kind is.
6. Degene van wie je de persoonsgegevens verwerkt, moet toestemming geven om persoonsgegevens voor een specifiek doel te verwerken. Wees voorzichtig met het gebruik van deze grondslag. Toestemming moet vrijelijk gegeven worden en de positie van burgers ten opzichte van de overheid is niet gelijkwaardig.

Er zijn duidelijke grenzen bij gegevensverwerking. Zo mag je niet meer gegevens vast leggen dan voor het doel strikt noodzakelijk is; de persoonsgegevens die je hebt, mag je alleen gebruiken voor het doel waarvoor je ze hebt verzameld; sla persoonsgegevens ten slotte ook niet langer op dan noodzakelijk is voor het doel of vanuit het wettelijk kader.

Transparantie over de verwerkingen bevordert het vertrouwen van burgers in de overheid, maar ook van medewerkers in hun werkgever. Leg het doel en de aard van de verwerking dus transparant en duidelijk uit. Bijvoorbeeld: als je burgers vraagt om ergens op te reageren, leg dan uit dat je hiervoor persoonsgegevens vastlegt. Maak duidelijk hoe de overheid met die gegevens omgaat. Gebruik daarbij een gemakkelijk toegankelijke vorm en eenvoudige taal. Het uitleggen van de verwerking kan onder andere via de privacyverklaring of door verwerkingen te publiceren.

Informatie over een gegevensverwerking leg je vast in het verwerkingsregister en, indien van toepassing, in het algoritmeregister. Het gaat dan bijvoorbeeld over welke gegevens je in het proces verwerkt, met welk doel en met wie je gegevens deelt. Controleer de actualiteit van de informatie in het verwerkingsregister regelmatig.

Afspraken over gegevensdeling met een derde partij moet stelselmatig zijn vastgelegd in een overeenkomst. Dat kan intern zijn, maar ook met een leverancier. Check op vaste momenten, bijvoorbeeld aan de hand van je PDCA-cyclus, of de bestaande afspraken nog up-to-date zijn. Pas ze zo nodig aan, eventueel met ondersteuning van een hulplijn.

Door afspraken vast te leggen kan je aan het publiek of de Toezichthouder aantonen dat je voldoet aan de AVG of juist waarom niet (comply or explain). Daarnaast heb je inzicht in en overzicht van de afspraken waar je verantwoordelijk voor bent en waar je dus op moet sturen.

Ja. Er kunnen onder andere afspraken worden gemaakt, bijvoorbeeld over de beveiligingsmaatregelen, bewaartermijnen en hoe te handelen bij datalekken. Er zijn verschillende typen overeenkomsten, afhankelijk van de relatie tussen de partijen en wie verantwoordelijk is. Rijksbreed zijn hier formats voor.

Overleg met een specialist binnen je organisatie, zoals de privacy officer of juridisch adviseur. De functietitels kunnen soms verschillen per organisatie. Wat betreft de inhoud van overeenkomsten kan het bijvoorbeeld gaan om een security officer, inkoopadviseur of contractmanager. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.

Het eventuele risico van de verwerking kun je in kaart brengen door een Data Protection Impact Assessment (DPIA) uit te voeren. Doe dit in ieder geval als uit de pre-scan DPIA blijkt dat dit nodig is.

Bij het uitvoeren van een DPIA vindt er een systematische, uitgebreide beoordeling plaats om te bepalen of de beoogde verwerking effect heeft op de bescherming van persoonsgegevens en mensenrechten. Daarnaast worden in de DPIA de maatregelen in kaart gebracht die je als manager moet nemen om de (kans op) risico’s te verkleinen die uit de verwerking van de persoonsgegevens voortvloeien. Een DPIA kan het beste vanuit een multidisciplinair team opgesteld worden.

Verhoogde risico’s en regels kunnen van toepassing zijn wanneer je bijzondere persoonsgegevens wilt verwerken (zoals medische gegevens, etniciteit of politieke opvattingen), algoritmen wilt inzetten of persoonsgegevens van kinderen wilt verwerken. Ook bij cameratoezicht is er bijvoorbeeld sprake van een verhoogd risico.

De risico's bij het verwerken van persoonsgegevens variëren. Voor de persoon in kwestie kan het negatieve gevolgen hebben zoals uitsluiting, discriminatie, imagoschade of identiteitsfraude. Voor de overheid kunnen de gevolgen van een datalek reiken van imagoafbreuk tot financiële schade en onbruikbare systemen.

Maak een integrale afweging tussen de (publieke) waarden en doelen die je met dit proces wilt bereiken. Kijk of die in lijn zijn met maatschappelijke en morele verwachtingen ten aanzien van de overheid. Zijn er doelen en waarden die met elkaar conflicteren? Weeg dan de waarden en risico’s met elkaar af vanuit de verschillende perspectieven en onderbouw dit. Documenteer de uitkomsten van dit proces.

Vraag hiervoor advies bij een (chief) privacy-, security- of data officer, een ethicus en/of een privacy-technoloog. De functietitels kunnen soms verschillen per organisatie. Wat betreft de inhoud kan het bijvoorbeeld gaan om een security officer, inkoopadviseur of contractmanager. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.

Mitigerende maatregelen zijn technische en organisatorische maatregelen die de kans op of impact van een risico verkleinen. Breng deze maatregelen in kaart om de veiligheid te waarborgen en risico’s voor de betrokkene te beperken (mitigeren). Zo verklein je de kans op, of de impact van de geconstateerde risico’s. Ook vergroot je de kansen op het realiseren van je doelen bij het maken van een integrale afweging.

De manager is altijd verantwoordelijk voor de naleving van de AVG in processen en kan die ook aantonen, zowel intern als extern. Idealiter is dit in de PDCA-cyclus opgenomen, zodat de inbedding van privacy in de organisatie optimaal en blijvend aantoonbaar is. Als manager moet je de naleving van AVG in processen altijd via documentatie en registratie kunnen aantonen.

Intern is de Functionaris Gegevensbescherming de toezichthouder voor de bescherming van persoonsgegevens in processen. Extern is de Autoriteit Persoonsgegevens (AP) de toezichthouder.

Overleg in dit geval met de privacy officer of juridisch adviseur. Let op: de functietitels kunnen soms verschillen per organisatie. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.