Risico-inschatting van de verwerking
Om een goede inschatting te kunnen maken van de risico's van een bepaalde verwerking van persoonsgegevens, onderzoek je wat de verwerking precies inhoudt. Als je de risico's kent, kun je ook de benodigde (beveiligings)maatregelen bepalen. Maar waar moet je nu precies op letten?
De onderstaande tabel maakt de belangrijkste aspecten concreet die je moet meewegen, specifiek voor gegevensbescherming. De afweging helpt ook met de keuze of je een volledige DPIA nodig is.
Tabel voor risicoinschatting
Vrijwillige DPIA
Als organisatie kun je ervoor kiezen een DPIA uit te voeren, ook als dat niet verplicht is. De tabel voor je risico-inschatting hieronder helpt met de afweging of een volledige DPIA nodig is.
Het is niet per definitie zo dat een DPIA vereist is zodra je op één onderdeel hoog scoort. Maar, een combinatie van verschillende onderwerpen die bovengemiddeld scoren, vergroten het risico van een verwerking van persoonsgegevens. Vertaal de tabel naar de wensen/eisen van je eigen organisatie.
Soms is een DPIA verplicht
In de tabel hieronder maken we de risico's van belangrijke aspecten concreet. Los daarvan kan het zijn dat een DPIA verplicht is. Dat kun je beoordelen met de DPIA-scan (pre-DPIA). Met die DPIA-scan kijk je of een DPIA verplicht is volgens de AP. De onderdelen die daarvoor van belang zijn (zoals 'Is er sprake van geautomatiseerde individuele besluitvorming/profileren?), zijn in de onderstaande tabel verder niet meegenomen.
Het is aan te raden áltijd een DPIA-scan uit te voeren, in aanvulling op de risico-inschatting die je maakt met de tabel hieronder. Dit helpt je namelijk met je verantwoording in situaties waarin je ervoor kiest geen DPIA uit te voeren.
De systematiek hieronder kun je als tool gebruiken via het Excel-template met tabel als privacyclassificatie voor je proces. Vergelijk dit met de BIV-score, maar dan met de privacyonderdelen GGC: Grootte, Gevoeligheid, Complexiteit, en de risico's voor de betrokkene
| Onderwerp | Uitleg | Voorbeeld risico-inschatting |
|---|---|---|
| GROOTTE | ||
| Aantal betrokkenen | Als het aantal personen van wie je gegevens verwerkt groot, is dat van invloed op het risico dat de verwerking met zich meebrengt. Het risico van de verwerking hangt samen met zowel het aantal betrokkenen, het aantal gegevens dat wordt verwerkt, als de gevoeligheid van die gegevens. | Laag - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van ongeveer 500 tot 1.000 personen worden verwerkt. Midden - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van tussen 1.000 en 5.000 personen worden verwerkt. Hoog - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens van meer dan 5.000 personen worden verwerkt. |
| Volume van soorten persoonsgegevens | De hoeveelheid persoonsgegevens die je in een (deel-) proces verwerkt, is van invloed op het risico van de verwerking. Dit gaat zowel over veel personen/enkele gegevens als enkele personen/veel gegevens Bij de definitie 'gegeven' gaan we hier uit van de gegevenssoort. Bijvoorbeeld het gegevenssoort tentamencijfer telt als één gegevenssoort, ook al zijn er twintig tentamencijfers vastgelegd. | Laag - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens minder dan 10 verschillende gegevens worden verwerkt. Midden - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens meer dan 10 maar minder dan 25 verschillende gegevens worden verwerkt. Hoog - De verwachting is dat er ongeveer een jaar na de start van de verwerking gegevens meer dan 25 verschillende gegevens worden verwerkt. |
| Aantal mensen dat (intern) toegang heeft | Hoe meer mensen toegang hebben, hoe groter het risico op b.v. werkfouten/datalekken. Maak altijd duidelijke afspraken over hoe men op de juiste manier omgaat met de toegekende rechten/toegang. Let op dat er een procedure is voor toegang in geval van ziekte. | Laag - Er zijn maximaal twee medewerkers met toegang tot de gegevens. Midden - De gegevens zijn beperkt gevoelig en/of er zijn drie tot vijf medewerkers met toegang tot de gegevens en datamaskering en beperking van export is niet overal mogelijk. Hoog - De gegevens zijn gevoelig en/of er zijn meer dan vijf medewerkers met toegang tot de gegevens en datamaskering en beperking van export is niet overal mogelijk. De gegevens zijn gevoelig. |
| Externe toegang | Hebben externe partijen toegang tot de gegevens (bijvoorbeeld, cloudproviders, externe consultants, of partners), dan kan dat extra risico's met zich meebrengen. | Laag - Externe partijen hebben uitsluitend tijdelijk toegang voor korte beheertaken Midden - Externe partijen hebben regelmatig toegang tot gegevens voor beheertaken en die toegang vindt gecontroleerd plaats of het gaat om gegevens die niet gevoelig zijn. Hoog - Externe partijen hebben langdurig of permanent toegang tot (gevoelige) gegevens. tot gegevens. |
| Technische beveiligingsmaatregelen | Als technische maatregelen niet zijn genomen, maakt dit de verwerking kwetsbaar voor ongeoorloofde toegang of fouten. | Laag - Er zijn voldoende maatregelen in place. Er is sprake van datamaskering en beperking van export. Midden - Datamaskering en/of beperking van export is nog niet overal mogelijk, maar dit is voor de verwerking qua grootte en gevoeligheid niet zo relevant. . Hoog - De gegevens zijn gevoelig en/of en datamaskering en beperking van export is niet overal mogelijk. Voor de verwerking is dit wel relevant. |
| GEVOELIGHEID | ||
| Vertrouwelijkheidslabel (gevoeligheid) | De gevoeligheid van persoonsgegevens die je in een (deel-) verwerkt, is van invloed op het risico van de verwerking. Sommige persoonsgegevens zijn gevoeliger dan andere (denk aan het verschil tussen iemands e-mailadres en iemands BSN) Kijk specifiek naar de meest gevoelige verwerkte gegevensoort. Dat is doorslaggevend. Let op, ook de context van het gegeven kan met zich meebrengen dat het persoonsgegevens gevoeliger is (denk aan een regulier adres versus het adres van een beroemdheid). | Het vertrouwelijkheidslabel van de gegevens helpt mee in de juiste weging (of neem de eindscore op vertrouwelijkheid van de BIV-classificatie over): Laag - publiek/intern (beperkt gevoelig) Midden - vertrouwelijk (gevoelig) Hoog - geheim/strikt vertrouwelijk (zeer gevoelig) Onder geheim/strikt vertrouwelijk vallen ook gegevens uit de categorieën van bijzondere persoonsgegevens (zoals etnische afkomst, politieke opvattingen, etc.). |
| Aard en impact op rechtsgevolgen betrokkene | De aard van de verwerking van persoonsgegevens kan van impact zijn op de betrokkene; dit is van invloed op het risico van de verwerking. Het gaat hierbij niet om de gemiddelde, maar om de maximale impact die het gevolg van de verwerking kan zijn. Bijvoorbeeld een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten. | Laag - De verwerking is van minder belang voor de betrokkene. Bijvoorbeeld het krijgen van de mogelijkheid om software tegen gunstige prijzen aan te schaffen. Midden - De verwerking is van belang voor de betrokkenen, maar heeft geen rechtsgevolgen voor de betrokkene of treft de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treffen. Bijvoorbeeld het verkrijgen van toegang tot studiemateriaal. Hoog - De verwerking kan rechtsgevolgen hebben voor de betrokkene, of kan de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen. Bijvoorbeeld het verkrijgen van diploma’s, leningen, gezondheidsbehandeling, etc. |
| Risico van blootstelling (combinatievraag) | Het risico dat de verwerkte persoonsgegevens onbedoeld openbaar worden gemaakt of worden blootgesteld aan onbevoegden. | Laag - De verwerking is beperkt tot weinig betrokkenen of weinig soorten gegevens en de gevoeligheid is te verwaarlozen. Midden - De verwerking omvat een combinatie van veel betrokkenen of veel soorten gegevens, maar de gevoeligheid is beperkt. Hoog - De verwerking omvat een combinatie van veel betrokkenen, veel soorten gegevens en hoge mate van gevoeligheid van de gegevens. |
| COMPLEXITEIT | ||
| Gebruik van AI/algoritmes | In beginsel is dit niet toegestaan. Als hier (toch) sprake van is, is inzicht in de gebruikte algoritmen cruciaal. | Laag - Er worden geen AI/algoritmes gebruikt Midden - Bij de verwerking worden AI/algoritmes toegepast, maar dit is geen kernonderdeel Hoog - Het gebruik van AI/algoritmes is een van de kernonderdelen van de verwerking. |
| Complexiteit van de verwerkingsprocessen en/of gekoppelde databases* | Ingewikkelde processen met meerdere stappen of interacties tussen systemen brengen meer risico's met zich mee. Ook de locatie (jurisdictie) van de verwerking kan van invloed zijn op het risico. | Laag - De verwerking is vrij straight-forward, gebruikt een of twee systemen en er zijn maximaal twee verwerkers nodig. De verwerking vindt plaats binnen de EER. Midden - Het proces is eenduidig, maar verloopt wel in meerdere stappen via verschillende systemen. Er zijn drie of minder verwerkers nodig. De verwerking vindt deels plaats buiten de EER. Hoog - Het proces is ingewikkeld, verloopt in meerdere stappen via een keten van systemen en er zijn drie of meer verwerkers nodig. De verwerking vindt deels plaats buiten de EER. |
| Aantal subverwerkers | De mate van inzet van subverwerkers door verwerkers en het belang van de rol die de subverwerkers vervullen voor de instelling, heeft potentieel impact op het beschermingsniveau van persoonsgegevens. Een groter aantal subverwerkers duidt vaak ook op een complex proces. | Laag - Weinig subverwerkers / ondergeschikte rol - Er zijn één of twee subverwerkers. De subverwerker(s) hebben geen belangrijke rol of geen subverwerkers - Er worden geen subverwerkers ingezet. Midden - Beperkt aantal subverwerkers , maar belangrijke rol - Er zijn maximaal twee subverwerkers, maar minimaal één ervan vervult een belangrijke rol (bijvoorbeeld een belangrijk deel of alle persoonsgegevens worden bij de subverwerker - al dan niet tijdelijk - opgeslagen). Hoog - Groter aantal subverwerkers - Er zijn meer dan twee subverwerkers. |
| Gebruik van AI/algoritmes | In beginsel is dit niet toegestaan. Als hier (toch) sprake van is, is inzicht in de gebruikte algoritmen cruciaal. | Laag - Er worden geen AI/algoritmes gebruikt Midden - Bij de verwerking worden AI/algoritmes toegepast, maar dit is geen kernonderdeel Hoog - Het gebruik van AI/algoritmes is een van de kernonderdelen van de verwerking. |
| Privacy by Design | Als technische maatregelen voor Privacy by Design niet zijn genomen, maakt dit de verwerking kwetsbaar voor ongeoorloofde toegang of fouten. | Laag - Er zijn voldoende beveiligingsmaatregelen in place. Er is sprake van datamaskering en beperking van export. Midden - Er zijn beveiligingsmaatregelen in place. Datamaskering en/of beperking van export is nog niet overal mogelijk, maar dit is voor de verwerking qua grootte en gevoeligheid niet zo relevant. . Hoog - Er zijn beveiligingsmaatregelen in place. Datamaskering en beperking van export is niet overal toegepast. Voor de verwerking is dit wel relevant. |
* Gekoppelde databases - Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit 2 of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.
De tabel is gebaseerd op de eerdere versies van audithandreikingen van SURF (waaronder het Juridisch Normenkader, het JNK, van mei 2018).
