Door: Mr. A.C.M. (Sander) van de Molen CIPP/E
Een Data Protection Impact Assessment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen met als doel deze weg te nemen of te verminderen. Een veel voorkomende vraag vanuit schoolbesturen is of je een DPIA moet uitvoeren op een proces of applicatie. In dit artikel wordt deze vraag verder behandeld.
Sinds 2020 voert SIVON DPIA’s uit op diverse applicaties/systemen die binnen onderwijsinstellingen gebruikt worden. Zie deze pagina voor een overzicht van alle DPIA’s. SIVON publiceert de uitkomsten van uitgevoerde DPIA’s inclusief uitleg op haar website. Schoolbesturen kunnen deze informatie gebruiken om zelfstandig een lokale DPIA uit te voeren. Hierdoor kunnen zij met minder tijdinspanning voldoen aan hun wettelijke verplichtingen en beter geïnformeerde keuzes maken over de inzet van digitale onderwijstoepassingen.
In dit artikel wordt ingegaan waarop een DPIA kan worden uitgevoerd: een proces of een applicatie/systeem.
Wettelijke basis
Allereerst moeten we voor een goed begrip van een DPIA terug naar de basis: artikel 35 van de AVG. In dit artikel wordt aangegeven wat een DPIA precies is.
Artikel 35 lid 1 AVG:
‘Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.’
De AVG geeft hiermee aan dat een DPIA wordt uitgevoerd op een verwerking. In de AVG wordt niet vermeld of een DPIA vervolgens op een proces of een applicatie/systeem wordt uitgevoerd. De eerste conclusie kan zijn dat nergens in de wet wordt aangegeven dat een DPIA moet worden uitgevoerd op een proces. Een verwerking kan vervolgens zowel plaatsvinden binnen een proces als binnen de applicatie die dat proces ondersteunt. Tevens dient in ogenschouw te worden genomen dat niet voor alle processen, of applicaties/systemen een DPIA vereist is. In sommige gevallen kan een Pre-DPIA volstaan.
De richtsnoeren van de EDPB
In de richtsnoeren van de EDPB (voorheen de WP 29, de WP248 rev. 01) wordt een nadere uitleg gegeven over (de uitvoering van) DPIA’s.
In deze richtsnoeren wordt een DPIA omschreven als:
‘Een gegevensbeschermingseffectbeoordeling is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten en maatregelen te bepalen om ze aan te pakken. Gegevensbeschermingseffectbeoordelingen zijn belangrijke verantwoordingsinstrumenten omdat ze verwerkingsverantwoordelijken niet alleen helpen om aan de eisen van de AVG te voldoen, maar ook om aan te tonen dat passende maatregelen zijn genomen teneinde ervoor te zorgen dat de verordening wordt nageleefd.’
Opmerkelijk detail is hier dat de DPIA zelf wordt omschreven als een ‘proces’. Dit om aan te geven dat een DPIA geen eenmalige exercitie is, maar een continu proces: een DPIA moet worden bijgesteld als er wijzigingen zijn in wet- en regelgeving, het gebruik in de organisatie wijzigt of veranderingen in de applicatie, waardoor bijvoorbeeld risico’s wijzigen. Hiermee is de DPIA bedoeld als een continu proces, dat daarnaast nog een belangrijk verantwoordingsinstrument is voor de verwerkingsverantwoordelijke om aan te tonen dat wordt voldaan aan de beginselen en eisen van de AVG.
De AVG geeft ook aan wat de inhoudelijke voorwaarden van een DPIA zijn.
De minimale inhoud ervan wordt als volgt gespecificeerd in artikel 35, lid 7:
‘a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c) een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en
d) de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.’
De AVG geeft in artikel 35 lid 7 onder ‘d’ duidelijk aan dat het gaat om het aanpakken van risico’s en het toepassen van de juiste maatregelen daarvoor. Dit is bijvoorbeeld aan de orde indien er gebruik wordt gemaakt van een applicatie/systeem in het onderwijskundig proces. In dit kader kan worden gedacht aan het verplichte gebruik van een Leerlingadministratiesysteem of Leerlingvolgsysteem (LAS/LVS) binnen het Primair Onderwijs.
DPIA op een applicatie/systeem – voorbeeld primair onderwijs
Op grond van art. 11 jo. 45b lid 1 van de Wet op het Primair Onderwijs (WPO) zijn basisscholen verplicht om de ontwikkeling van hun leerlingen te monitoren en vast te leggen in een leerling- en onderwijsvolgsysteem. Uit art. 8 lid 1 en 2 WPO volgt dat het onderwijs zich richt op zowel de cognitieve als de sociaal-emotionele en creatieve ontwikkeling van leerlingen. Deze wettelijke verplichting vormt een solide basis voor de verwerking van leerlinggegevens en valt hierdoor rechtstreeks onder artikel 6 lid 1 onder (c) AVG, omdat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de onderwijsinstelling rust.
Dit vindt bevestiging in jurisprudentie1 waarin wordt gesteld dat artikel 8 lid 1 en 2 WPO een voldoende rechtsgrondslag biedt zoals bedoeld in artikel 6 lid 1 sub c AVG voor het verwerken van persoonsgegevens in een leerlingvolgsysteem, ook als dat betrekking heeft op de sociaal-emotionele ontwikkeling van leerlingen.
Nu wordt in de WPO met ‘systeem’ niet letterlijk een applicatie bedoeld. Echter voor het voldoen aan deze verplichting op een efficiënte manier in de omvangrijke administratieve last, kan dit niet anders dan door gebruik te maken van daadwerkelijk een applicatie/systeem, zoals ParnasSys of ESIS. Daaruit volgt dat het uitvoeren van een DPIA op een applicatie/systeem als ParnasSys of ESIS voor de hand ligt (in plaats op een ‘proces’).
Dit wordt ook bevestigd door de EDPB in de voornoemde richtsnoeren. Zie bijvoorbeeld pagina 9 van de richtsnoeren:
‘Een gegevensbeschermingseffectbeoordeling kan ook nuttig zijn om het gegevensbeschermingseffect van een technologisch product te beoordelen, bijvoorbeeld hardware of software, indien dit waarschijnlijk door verschillende verwerkingsverantwoordelijken zal worden gebruikt om verschillende verwerkingen uit te voeren. Natuurlijk blijft de verwerkingsverantwoordelijke die het product lanceert verplicht om zijn eigen gegevensbeschermingseffectbeoordeling uit te voeren met betrekking tot de specifieke implementatie, al kan hij zich hiervoor baseren op een door de productaanbieder uitgevoerde gegevensbeschermingseffectbeoordeling, in voorkomend geval. Een voorbeeld zou kunnen zijn de relatie tussen fabrikanten van slimme meters en nutsbedrijven. Elke productaanbieder of verwerker moet nuttige informatie delen zonder geheimen prijs te geven en zonder veiligheidsrisico’s te creëren door kwetsbare punten te onthullen.’
De EDPB geeft hiermee duidelijk aan dat het zeer voor hand ligt in dergelijke situatie een DPIA uit te voeren op een ‘technologisch product’.
Dat geldt ook voor andere applicaties die binnen het onderwijs worden gebruikt voor het ‘proces’, het geven van onderwijs. Met de DPIA op het algemene privacy-juridische deel ben je over het algemeen snel klaar: de verwerkingsverantwoordelijke heeft een duidelijk doel (geven van goed onderwijs) met een rechtsgrond: algemeen belang op basis van onderwijs wet- en regelgeving. Als het gaat om het beoordelen van de bijbehorende risico’s, ontkom je er niet aan om tevens de applicaties of systemen mee te beoordelen.
Waarop worden DPIA’s uitgevoerd: op een verwerking of op een proces of applicatie/systeem?
Er lijkt een stroming binnen het onderwijs te zijn die aangeeft dat een DPIA uitsluitend hoeft te worden uitgevoerd op slechts één proces en dat dit bijvoorbeeld uit één DPIA kan bestaan. Ik vul maar in: bijvoorbeeld het proces van personeelszaken/HR of het proces van het geven van onderwijs. Je bent dan met twee DPIA’s helemaal ‘klaar’. Dat zou een mooie gedachte zijn. Ik het onderstaande geef ik aan dat de werkelijkheid helaas weerbarstiger is.
Een proces verwijst naar een reeks verwerkingsactiviteiten of handelingen binnen een organisatie, gericht op het bereiken van een bepaald doel. Binnen zo’n proces kunnen persoonsgegevens worden verwerkt. Als het gaat om verwerkingsactiviteiten binnen het onderwijs, dan kan men diverse processen onderscheiden. Zo is er proces op het verwerken van persoonsgegevens binnen personeelszaken of HR. Te denken valt aan de salarisadministratie, de uitvoering van het personeelsbeleid (van het proces van solliciteren, tot aanname en indiensttreding), het beoordelen van personeel, het registreren van de bevoegdheid en bekwaamheid van het personeel, het verwerken van bijzondere persoonsgegevens in het kader van verzuim en bijvoorbeeld het uitvoeren van personeelsanalyses.
Wanneer het geven van onderwijs als een ‘proces’ wordt beschouwd, zal in het kader van een DPIA een inventarisatie moeten plaatsvinden van de gegevensverwerking (de gegevensverwerkingsanalyse, ofwel de systematische beschrijving van de beoogde verwerkingen en verwerkingsdoelen), de noodzaak en evenredigheid, alsmede de risico’s voor de betrokkenen en de maatregelen.
Als het gaat om louter het ‘proces’ dan ontstaat direct een probleem indien men daarmee de beoordeling van de applicaties en systemen die voor de uitvoering worden gebruikt, zou willen uitsluiten. Juist in deze applicaties en systemen schuilen de grootste risico’s op technische kwetsbaarheden en de te treffen beheersmaatregelen.
Het uitsluitend beoordelen van een proces is slechts mogelijk indien sprake is van een zelfstandig proces van verwerkingsactiviteiten van persoonsgegevens, dat niet wordt uitgevoerd met behulp van een specifieke applicatie of een daarvoor ingericht systeem. Voorbeelden hiervan kunnen zijn een schriftelijke inschrijvings- en aanmeldprocedure, de uitoefening van rechten van betrokkenen, en een interne klachtenprocedure.
De AVG geeft aan: ‘beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen.’ Uitdrukkelijk wordt ook gesproken van ‘veiligheidsmaatregelen’, waaronder begrepen de technische maatregelen binnen een applicatie/systeem (zie bijvoorbeeld het Certificeringsschema Informatiebeveiliging en privacy ROSA). De EDPB werkt dat verder uit, zoals hierboven beschreven.
Stel dat het proces ‘geven van goed onderwijs’ wordt uitgevoerd met een aantal essentiële applicaties/systemen, dan zullen deze onderdeel moeten zijn van de DPIA, wil het een volwaardige DPIA zijn. Hierbij kun je ook per applicatie/systeem een DPIA uitvoeren met behulp van de leverancier.
Dit is ook de bedoeling van de EDPB: ‘Een gegevensbeschermingseffectbeoordeling kan ook nuttig zijn om het gegevensbeschermingseffect van een technologisch product te beoordelen.’
De EDPB geeft tevens aan: ‘als de aard, de omvang, de context en het doel van de verwerking zeer vergelijkbaar zijn met de verwerking waarvoor een gegevensbeschermingseffectbeoordeling is uitgevoerd. In dergelijke gevallen kunnen de resultaten van de gegevensbeschermingseffectbeoordeling voor een vergelijkbare verwerking worden gebruikt. ‘
Dit illustreert des te meer dat een DPIA in het onderwijs niet specifiek op een proces, maar juist ‘generiek’ op een proces en vervolgens met name op de applicaties en systemen die hiervoor worden gebruik, moet worden uitgevoerd. Immers: het proces zal veelal hetzelfde zijn (waardoor een eenvoudige generieke beoordeling volstaat), echter de specifieke risico’s die aan het gebruik van een (standaard)applicatie/systeem zijn verbonden waarmee het proces (mede) wordt uitgevoerd zullen met name in een DPIA moeten worden beoordeeld. De EDPB beschrijft dit als een ‘referentie-gegevensbeschermingseffectbeoordeling’, die vervolgens als een enkele gegevensbeschermingseffectbeoordeling moet worden gemotiveerd (lees: specifiek worden gemaakt voor de onderwijsinstelling).
Zienswijze Autoriteit Persoonsgegevens
In het kader van bijvoorbeeld de door het onderwijs (SIVON en SURF) uitgevoerde DPIA op het gebied van Google, heeft de Autoriteit Persoonsgegevens (2021) aangegeven dat:
‘Een DPIA kan uitermate geschikt zijn om te onderzoeken of er leveranciers bestaan die soortgelijke diensten leveren die een hoger niveau van bescherming van persoonsgegevens bieden dan reeds bestaande leveranciers. Zeker bij een (voorgenomen) inzet van applicaties door een veelheid van onderwijsinstellingen is het wenselijk om een diepgaande analyse uit te voeren naar de risico’s voor de rechten en vrijheden van betrokkenen die het inzetten van deze applicaties mogelijk met zich meebrengen.’
Hiermee geeft de Autoriteit Persoonsgegevens aan dat een DPIA een geschikt instrument is om te beoordelen of een verwerking van persoonsgegevens via een veelgebruikt systeem binnen het onderwijs risico’s inhouden voor de rechten en vrijheden van betrokkenen.
In het verlengde hiervan voert het Ministerie van J&V veelvuldig DPIA’s uit op producten zoals Microsoft en Google. Via deze systemen vinden namelijk diverse verwerkingen plaats. Het zijn juist deze (hoog risico) verwerkingen op applicaties waarvoor een DPIA verplicht is op grond van artikel 35 AVG.
DPIA binnen het onderwijs op veel gebruikte applicaties
Juist in het onderwijs, waarbij sprake is van een wettelijke plicht voor onderwijsinstellingen om ‘goed onderwijs’ te geven, is het van belang om juist de ingezette verwerkingsactiviteiten via veelgebruikte applicaties en systemen te voorzien van een ‘centrale’ DPIA. Dit is in de termen van de EDPB een ‘referentie-DPIA’, die vervolgens als de applicatie of het systeem daadwerkelijk door de onderwijsinstelling wordt gebruikt, moet worden voorzien van een ‘lokale’ ofwel ‘enkele’ gegevensbeschermingseffectbeoordeling.
De EDPB geeft hierover duidelijk aan: ‘Natuurlijk blijft de verwerkingsverantwoordelijke die het product lanceert verplicht om zijn eigen gegevensbeschermingseffectbeoordeling uit te voeren met betrekking tot de specifieke implementatie, al kan hij zich hiervoor baseren op een door de productaanbieder uitgevoerde gegevensbeschermingseffectbeoordeling, in voorkomend geval. Een voorbeeld zou kunnen zijn de relatie tussen fabrikanten van slimme meters en nutsbedrijven. Elke productaanbieder of verwerker moet nuttige informatie delen zonder geheimen prijs te geven en zonder veiligheidsrisico’s te creëren door kwetsbare punten te onthullen.’ Aanbieders van applicaties en systemen in het onderwijs hebben derhalve een zelfstandige verplichting om onderwijsinstellingen (de verwerkingsverantwoordelijken) te voorzien van ‘nuttige informatie’ om een DPIA te kunnen uitvoeren.
Conclusie
Een DPIA moet volgens artikel 35 AVG worden uitgevoerd op een verwerking indien er sprake is van een mogelijk hoog risico. Nergens in de AVG of aanvullende richtsnoeren staat vermeld dat een DPIA moet worden uitgevoerd op een proces. In het bovenstaande wordt toegelicht en onderbouwd dat het, juist binnen het onderwijs, waar veelvuldig gebruik wordt gemaakt van generieke applicaties of systemen, belangrijk en passend is om een DPIA uit te voeren op de applicatie of het systeem dat door een leverancier wordt aangeboden. De risico’s en beheersmaatregelen die met het gebruik van een applicatie, systeem of proces samenhangen worden beoordeeld en zijn van groot belang om goed onderwijs te geven door onderwijsinstellingen, dat ook nog eens op een ‘digitaal veilige manier’ plaatsvindt. Zowel de AVG (artikel 28) als ook de richtsnoeren van de EDPB geven daarbij duidelijk aan dat de leveranciers hieraan moeten meewerken door het geven van ‘nuttige informatie’ om een DPIA te kunnen uitvoeren.
Met deze bijdrage beoog ik een duidelijke richting te geven aan de correcte uitvoering van DPIA’s door onderwijsinstellingen, in lijn met de AVG en de relevante richtsnoeren.
Sander van de Molen