Kast met ordners, foto Viktor Talashuk

Zorgvuldig omgaan met persoonsgegevens

Hoe legt Tilburg University verantwoording af voor haar gegevensverwerking?

De AVG legt meer verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de privacyregels voldoen. Door te voldoen aan die verantwoordingsplicht (accountability) leveren ze een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op hun privacy.

Dergelijke interne, soms externe, verstrekkingen kunnen worden aangevraagd middels het formulier ‘incidentele verstrekkingen'.

Data Protection Impact Assessment

In bepaalde situaties kan de universiteit verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is een hulpmiddel om bijvoorbeeld bij de bouw van ICT-systemen en bij aanleg van databestanden, privacy risico’s van de daarbij behorene gegevensverwerking(en) op gestructureerde en heldere wijze in kaart te brengen en passende maatregelen te treffen om de  kans op de risico’s en de impact daarvan te verkleinen.

Niet voor elke gegevensverwerking hoeft een DPIA te worden uitgevoerd. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de personen waarvan gegevens worden verwerkt).

Hier is in ieder geval sprake van wanneer: 

  • Systematisch en uitvoerig persoonlijke aspecten worden geëvalueerd, waaronder profiling.
  • Op grote schaal bijzondere persoonsgegevens worden verwerkt.
  • Op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico.

De Europese privacy toezichthouders hebben 9 criteria opgesteld. Als vuistregel kunt je hanteren dat je een DPIA moet uitvoeren als jouw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet, tenzij al een soortgelijke DPIA eerder is uitgevoerd in onze organisatie.

  1. Beoordelen van mensen op basis van persoonskenmerken.
  2. Geautomatiseerde beslissingen.
  3. Stelselmatige en grootschalige monitoring.
  4. Gevoelige gegevens.
  5. Grootschalige gegevensverwerkingen.
  6. Gekoppelde databases.
  7. Gegevens over kwetsbare personen.
  8. Gebruik van nieuwe technologieën.
  9. Blokkering van een recht, dienst of contract.

Daarnaast heeft de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen waarvoor een DPIA verplicht is.

De uitvoering van een DPIA is opgedragen aan de verwerkingsverantwoordelijke. In de praktijk betekent dat dat degene die de verwerking uit gaat voeren ook de DPIA uitvoert. Om tot een goede DPIA te komen, is het in veel gevallen wenselijk om de DPIA uit te voeren met een multidisciplinair team. Daarnaast moet bij de FG advies worden ingewonnen. 

DPIA uitvoeren

Om te bepalen of een DPIA nodig is, zal eerst een pre-DPIA moeten worden uitgevoerd. Kort gezegd komt dat neer op het beschrijven van het proces dat wordt uitgevoerd en een check op de hierboven beschreven criteria. Om zo'n check uit te voeren, kan je contact opnemen met je Data Representative. Deze kan vervolgens een pre-DPIA laten klaarzetten in het Information Security Management Systeem (ISMS) van Tilburg University (Base27). Ook voor de DPIA geldt dat we deze uitvoeren via het ISMS.

Meer informatie