Is een DPIA vereist voor een ‘Mijn omgeving’?

Is een DPIA vereist voor een ‘Mijn omgeving’?

Door Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

Steeds meer uitzendbureaus werken met een portal. Een ‘Mijn omgeving’, niet alleen voor sollicitanten en flexwerkers maar ook voor klanten. Deze portals worden dan gebruikt om op een gebruiksvriendelijke en efficiënte wijze informatie te delen. Denk aan sollicitatiebrieven, CV’s, scans van ID-bewijzen, gewerkte uren, personeels- en salarisgegevens, et cetera. In dit artikel bekijken we of het op grond van de Algemene Verordening Gegevensbescherming (AVG) verplicht is een Data Protection Impact Assessment (DPIA, of in het Nederlands een Gegevensbeschermingseffectbeoordeling (GEB) uit te voeren voor dergelijke verwerkingen.

Een van de doelen van de AVG is de privacyrechten van betrokken personen te beschermen. Organisaties moeten dan ook maatregelen nemen om ervoor te zorgen dat deze rechten gewaarborgd zijn. Hierbij moeten organisaties rekening houden met de hoogte van de pivacyrisico’s voor de betrokken personen. Bij een DPIA/GEB breng je voor een specifieke verwerking de privacyrisico’s in kaart én beschrijf je maatregelen die de risico’s wegnemen of verminderen (mitigeren).

Om wat voor privacyrisico’s gaat het? Privacyrisico’s kunnen ontstaan doordat persoonsgegevens door ongeautoriseerde personen toegankelijk zijn, verloren gaan of worden aangepast. Als deze privacyrisico’s zich voordoen kan dit grote gevolgen hebben voor de betrokken persoon. Denk aan identiteitsdiefstal, fraude, discriminatie of reputatieschade. Deze privacyrisico’s hebben organisatierisico’s tot gevolg, bijvoorbeeld reputatieschade voor het uitzendbureau, klantverlies, marktwaardeverlies, juridische kosten/schadeloosstelling of boetes van de Autoriteit Persoonsgegevens (AP). Organisaties moeten daarom altijd goed nadenken voordat ze starten met een nieuwe gegevensverwerking; niet alleen op grond van de AVG maar ook vanuit organisatieperspectief.

Op grond van de AVG zijn organisaties verplicht een DPIA/GEB uit te voeren bij gegevensverwerkingen met een (waarschijnlijk) hoog risico. Voor het bepalen of een gegevensverwerking een hoog risico heeft, zegt de wet dat je moet kijken naar de aard, doel en omvang van de verwerking en naar de context en de gebruikte technologie daarvan. Zo’n omschrijving maakt het er natuurlijk niet makkelijker op. Gelukkig hebben de toezichthouders twee handvatten (lijsten) opgesteld.

1. De Nederlandse toezichthouder, de AP, heeft eind 2019 een DPIA-lijst opgesteld met verwerkingen waarbij er altijd een DPIA moet worden uitgevoerd. Staat uw verwerking er niet op, dan wil dat nog niet zeggen dat u geen DPIA hoeft uit te voeren. Dan moet worden vastgesteld of de verwerking voldoet aan de criteria op de tweede lijst.
2. De gezamenlijke Europese privacytoezichthouders (EDPB, European Data Protection Board) hebben een lijst opgesteld van negen criteria die kunnen helpen bij het vaststellen of een DPIA vereist is. De vuistregel is dat als minimaal 2 criteria van toepassing zijn er sprake is van een hoog risico en dat dus een DPIA moet worden uitgevoerd.

Kijkend naar de DPIA-lijst van de AP dan lijken er een paar verwerkingen te zijn waar uitzendbureaus wellicht mee te maken hebben. We noemen:

• • biometrische gegevens bijvoorbeeld fingerprintscan (cases Randstad maar ook Manfield case waarin rechter aangaf dat een DPIA niet gedaan is!).
  • gebruik van zwarte lijsten bijvoorbeeld waarmee uitzendbureaus onderling gegevens uitwisselen van kandidaten omtrent gedrag/VOG.
  • controle van werknemers (denk aan camera’s of GPS-systemen om kandidaten te volgen)
  • gebruik van profilering en het toepassen van AI (Artificial Intelligence) in het recruitment proces bijvoorbeeld in het kader van CV-screening of analyse van taal- of spraakgebruik.

Maar in de lijst komt onze case van de ‘Mijn omgeving’ niet voor. Daarom kijken we naar de criteria-lijst van de EDPB. Hierin tref je meer aanknopingspunten aan: de verwerking van gevoelige gegevens. Het gaat hier om gegevens die algemeen als privacygevoelig worden beschouwd, zoals salarisgegevens, ID-bewijzen of BSN. In de tweede plaats de verwerking van persoonsgegevens van kwetsbare personen (zoals werknemers die vanwege hun relatie met de werkgever niet in vrijheid hun toestemming kunnen geven). Mogelijk gaat het om grootschalige verwerkingen. De AVG geeft geen definitie van grootschalig. In de context van de verplichting tot het instellen van een Functionaris voor de Gegevensbescherming (FG) heeft de AP voor huisartsenpraktijken minimaal 10.000 dossiers grootschalig genoemd. Tenslotte gaat het om nieuwe technieken, die gepaard kunnen gaan met mogelijk grote risico’s.

Bij een portal voor sollicitanten en flexwerkers zijn afhankelijk van de grootte van het uitzendbureau bijna al deze criteria volgens mij van toepassing. Het toepassen van een DPIA is dan ook volgens mij verplicht. In de markt zijn allerlei templates voor DPIA’s beschikbaar.

In de meeste gevallen worden de ‘Mijn omgevingen’ aangeboden door derde software-leveranciers die de portal in de cloud hosten. In de AVG is geregeld dat leveranciers verplicht zijn om hun klanten te helpen bij het uitvoeren van DPIA’s. Mijn advies is dan ook om bij gebruik van portals altijd bij de leverancier navraag te doen.

Een DPIA geldt niet alleen voor nieuwe verwerkingen maar ook voor bestaande verwerkingen met een hoog risico. De AVG verlangt namelijk dat de DPIA elke drie jaar wordt geactualiseerd of eerder als er grote wijzigingen zijn. Impliciet betekent dit dat voor alle bestaande gegevensverwerkingen, inclusief de ‘Mijn omgeving’, (alsnog) moet worden vastgesteld wat het risico is en/of er DPIA moet worden uitgevoerd.

Mocht je op grond van de AP DPIA-lijst of de EDPB criteria-lijst voor andere gegevensverwerkingen dan de ‘Mijn omgeving’ besluiten dat een DPIA niet verplicht is, dan is het in het kader van de verantwoordingsplicht belangrijk dat je dit besluit gemotiveerd vastlegt. Ook als een DPIA niet strikt noodzakelijk is (bijvoorbeeld midden risico) adviseer ik om toch te overwegen een DPIA uit te voeren. Enerzijds omdat de DPIA namelijk een belangrijk verantwoordingsinstrument is omdat ze jouw organisatie niet alleen helpt om aan de eisen van de AVG te voldoen, maar ook om aan te tonen dat passende maatregelen zijn genomen teneinde ervoor te zorgen dat de AVG wordt nageleefd. Anderzijds omdat door het wegnemen van de privacyrisico’s de kans dat organisatierisico’s, zoals reputatieschade voor het uitzendbureau, klantverlies, marktwaardeverlies, juridische kosten/schadeloosstelling of boetes AP kleiner wordt.

Jeroen van Puijenbroek, bestuurslid Stichting AVG Garant

AVG Garant heeft een AVG-norm ontwikkeld waartegen bedrijven in de flexbranche extern getoetst kunnen worden. Info@avggarant.nl.

Lees ook
Na een jaar AVG, hoe zit het nu met die torenhoge boetes?
Is een Functionaris voor de Gegevensbescherming verplicht?