Risico-inschatting van de verwerking
Om een goede inschatting te kunnen maken van de risico's van een bepaalde verwerking van persoonsgegevens, onderzoek je wat de verwerking precies inhoudt. Als je de risico's kent, kun je ook de benodigde (beveiligings)maatregelen bepalen. Maar waar moet je nu precies op letten?
De onderstaande tabel maakt de belangrijkste aspecten concreet die je moet meewegen, specifiek voor gegevensbescherming. De afweging helpt ook met de keuze of je een volledige DPIA nodig is.
Vrijwillige DPIA
Als organisatie kun je ervoor kiezen een DPIA uit te voeren, ook als dat niet verplicht is. De tabel voor je risico-inschatting hieronder helpt met de afweging of een volledige DPIA nodig is.
Het is niet per definitie zo dat een DPIA vereist is zodra je op één onderdeel hoog scoort. Maar, een combinatie van verschillende onderwerpen die bovengemiddeld scoren, vergroten het risico van een verwerking van persoonsgegevens. Vertaal de tabel naar de wensen/eisen van je eigen organisatie.
Soms is een DPIA verplicht
In de tabel hieronder maken we de risico's van belangrijke aspecten concreet. Los daarvan kan het zijn dat een DPIA verplicht is. Dat kun je beoordelen met de DPIA-scan (pre-DPIA). Met die DPIA-scan kijk je of een DPIA verplicht is volgens de AP. De onderdelen die daarvoor van belang zijn (zoals 'Is er sprake van geautomatiseerde individuele besluitvorming/profileren?), zijn in de onderstaande tabel verder niet meegenomen.
Het is aan te raden altijd een DPIA-scan uit te voeren, in aanvulling op de risico-inschatting die je maakt met de tabel hieronder. Dit helpt je namelijk met je verantwoording in situaties waarin je ervoor kiest geen DPIA uit te voeren.
Tabel voor risicoinschatting
Je kunt het Excel-template met deze tabel downloaden voor je proces.
| Onderwerp van de verwerking | Uitleg | Voorbeeld risico-inschatting |
|---|---|---|
| Aantal betrokkenen | Als het aantal personen van wie je gegevens verwerkt groot, is dat van invloed op het risico dat de verwerking met zich meebrengt. Het risico van de verwerking hangt samen met zowel het aantal betrokkenen, het aantal gegevens dat wordt verwerkt, als de gevoeligheid van die gegevens. | Hoog - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van meer dan 1.000 personen worden verwerkt. Midden - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van tussen 100 en 1.000 personen worden verwerkt. Laag - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van ongeveer 100 personen worden verwerkt. |
| Volume van soorten persoonsgegevens | De hoeveelheid persoonsgegevens die je in een (deel-) proces verwerkt, is van invloed op het risico van de verwerking. Dit gaat zowel over veel personen/enkele gegevens als enkele personen/veel gegevens Bij de definitie 'gegeven' gaan we hier uit van de gegevenssoort. Bijvoorbeeld het gegevenssoort tentamencijfer telt als één gegevenssoort, ook al zijn er twintig tentamencijfers vastgelegd. | Hoog - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens meer dan 25 verschillende gegevens worden verwerkt. Midden - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens meer dan 10 maar minder dan 25 verschillende gegevens worden verwerkt. Laag - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens minder dan 10 verschillende gegevens worden verwerkt. |
| Gevoeligheid van de gegevens | De gevoeligheid van persoonsgegevens die je in een (deel-) verwerkt, is van invloed op het risico van de verwerking. Sommige persoonsgegevens zijn gevoeliger dan andere (denk aan het verschil tussen iemands e-mailadres en iemands BSN) Kijk specifiek naar de meest gevoelige verwerkte gegevensoort. Dat is doorslaggevend. Let op, ook de context van het gegeven kan met zich meebrengen dat het persoonsgegevens gevoeliger is (denk aan een regulier adres versus het adres van een beroemdheid). | Het vertrouwelijkheidslabel van de gegevens helpt mee in de juiste weging: Hoog - geheim/strikt vertrouwelijk (zeer gevoelig) Midden - vertrouwelijk (gevoelig) Laag - publiek/intern (beperkt gevoelig) Onder geheim/strikt vertrouwelijk vallen ook gegevens uit de categorieën van bijzondere persoonsgegevens (zoals etnische afkomst, politieke opvattingen, etc.). |
| Aantal subverwerkers | De mate van inzet van subverwerkers door verwerkers en het belang van de rol die de subverwerkers vervullen voor de instelling, heeft potentieel impact op het beschermingsniveau van persoonsgegevens. Een groter aantal subverwerkers duidt vaak ook op een complex proces (zie verderop). | Groter aantal subverwerkers - Er zijn meer dan twee subverwerkers. Beperkt aantal subverwerkers , maar belangrijke rol - Er zijn maximaal twee subverwerkers, maar minimaal één ervan vervult een belangrijke rol (bijvoorbeeld een belangrijk deel of alle persoonsgegevens worden bij de subverwerker - al dan niet tijdelijk - opgeslagen). Weinig subverwerkers / ondergeschikte rol - Er zijn één of twee subverwerkers. De subverwerker(s) hebben geen belangrijke rol. Geen subverwerkers - Er worden geen subverwerkers ingezet. |
| Aard en impact voor de betrokkene | De aard van de verwerking van persoonsgegevens kan van impact zijn op de betrokkene; dit is van invloed op het risico van de verwerking. Het gaat hierbij niet om de gemiddelde, maar om de maximale impact die het gevolg van de verwerking kan zijn. Bijvoorbeeld een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten. | Hoog - De verwerking kan rechtsgevolgen hebben voor de betrokkene, of kan de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen. Bijvoorbeeld het verkrijgen van diploma’s, leningen, gezondheidsbehandeling Midden - De verwerking is van belang voor de betrokkenen, maar heeft geen rechtsgevolgen voor de betrokkene of treft de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treffen. Bijvoorbeeld het verkrijgen van toegang tot studiemateriaal. Laag - De verwerking is van minder belang voor de betrokkene. Bijvoorbeeld het krijgen van de mogelijkheid om software tegen gunstige prijzen aan te schaffen. |
| Risico van blootstelling | Het risico dat de verwerkte persoonsgegevens onbedoeld openbaar worden gemaakt of worden blootgesteld aan onbevoegden. | Hoog - De verwerking omvat een combinatie van veel betrokkenen, veel soorten gegevens en hoge mate van gevoeligheid van de gegevens. Midden - De verwerking omvat een combinatie van veel betrokkenen of veel soorten gegevens, maar de gevoeligheid is beperkt. Laag - De verwerking is beperkt tot weinig betrokkenen of weinig soorten gegevens en de gevoeligheid is te verwaarlozen. |
| Gebruik van AI/algoritmes | In beginsel is dit niet toegestaan. Als hier (toch) sprake van is, is inzicht in de gebruikte algoritmen cruciaal. | Hoog - Het gebruik van AI/algoritmes is een van de kernonderdelen van de verwerking. Midden - Bij de verwerking worden AI/algoritmes toegepast, maar dit is geen kernonderdeel Laag - Er worden geen AI/algoritmes gebruikt |
| Complexiteit van de verwerkingsprocessen en/of gekoppelde databases* | Ingewikkelde processen met meerdere stappen of interacties tussen systemen brengen meer risico's met zich mee. | Hoog - Het proces is ingewikkeld, verloopt in meerdere stappen via een keten van systemen en er zijn drie of meer verwerkers nodig. Midden - Het proces is eenduidig, maar verloopt wel in meerdere stappen via verschillende systemen. Er zijn drie of minder verwerkers nodig. Laag - De verwerking is vrij straight-forward, gebruikt een of twee systemen en er zijn maximaal twee verwerkers nodig. |
| Aantal mensen dat (intern) toegang heeft | Hoe meer mensen toegang hebben, hoe groter het risico op b.v. werkfouten/datalekken. Maak altijd duidelijke afspraken over hoe men op de juiste manier omgaat met de toegekende rechten/toegang. Let op dat er een procedure is voor toegang in geval van ziekte. | Hoog - De gegevens zijn gevoelig en/of er zijn meer dan vijf medewerkers met toegang tot de gegevens en datamaskering en beperking van export is niet overal mogelijk. De gegevens zijn gevoelig. Midden - De gegevens zijn beperkt gevoelig en/of er zijn drie tot vijf medewerkers met toegang tot de gegevens en datamaskering en beperking van export is niet overal mogelijk. Laag - Er zijn maximaal twee medewerkers met toegang tot de gegevens. |
| Externe toegang | Hebben externe partijen toegang tot de gegevens (bijvoorbeeld, cloudproviders, externe consultants, of partners), dan kan dat extra risico's met zich meebrengen. | Hoog - Externe partijen hebben langdurig of permanent toegang tot (gevoelige) gegevens. Midden - Externe partijen hebben regelmatig toegang tot gegevens voor beheertaken en die toegang vindt gecontroleerd plaats of het gaat om gegevens die niet gevoelig zijn. Laag - Externe partijen hebben uitsluitend tijdelijk toegang voor korte beheertaken tot gegevens. |
* Gekoppelde databases - Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit 2 of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.
De tabel is gebaseerd op de eerdere versies van audithandreikingen van SURF (waaronder het Juridisch Normenkader, het JNK, van mei 2018).
