Instrumenten voor geheime dataveillance, -analyse, profilering en risicotaxatie en de plicht om een PIA uit te voeren
De verwerkingsverantwoordelijke (organisatie) die privacygevoelige gegevens verwerkt, is verplicht om een Privacy Impact Assessment (PIA), ook wel 'gegevensbeschermingseffectbeoordeling' of 'Data Protection Impact Assessment' (DPIA) uit te voeren.
In vorige berichten heb ik het 'black box'-karakter van geheime methoden voor dataveillance en -analyse besproken, alsmede de toepassing van voorspellende algoritmen met een 'black box'-karakter, waaronder het Systeem Risico Taxatie (SyRI). Ik heb daarbij aangegeven dat de verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming (AVG) transparant dient te zijn en dat de verwerkingsverantwoordelijke verplicht is tot het verschaffen van informatie en inzage aan de betrokken burger, ondanks het heimelijke karakter van de gegevensverzameling en -verwerking. Onder uitzonderlijke omstandigheden, bijvoorbeeld wanneer door menselijk toedoen een ramp dreigt te worden veroorzaakt, mag de verwerkingsverantwoordelijke de informatie- en inzagerechten, alsmede het recht op rectificatie, beperken (art. 23 AVG). Het 'black box'-karakter van instrumenten die heimelijk worden ingezet om burgers te onderwerpen aan dataveillance en -analyse kan echter niet worden tegengeworpen aan de plicht van verwerkende instanties om een Privacy Impact Assessment (PIA) uit te voeren.
Het verplichte PIA bij geheime dataveillance, profilering, samenwerking met private bedrijven en de verwerking van biometrische gegevens
De beperkingen op de transparantieverplichtingen van verwerkingsverantwoordelijken en de beperkingen van het recht van de burger op informatie en inzage gelden niet ten aanzien van het PIA. Een verwerkingsverantwoordelijke die geheime methoden voor Big Data-analyse/profilering/risicotaxatie toepast, is verplicht om het Privacy Impact Assessment (PIA) uit te voeren. Dit is bepaald in art. 35 AVG en wordt nog eens onderstreept door het Besluit Verplichte Gegevensbeschermingseffectbeoordeling van 27 november 2019 (Staatscourant nr. 64418). De verplichte uitvoering van het DPIA geldt onder meer voor:
- Grootschalige verwerkingen van persoonsgegevens en stelselmatige monitoring waarbij persoonsgegevens worden verzameld zonder de betrokkene daarover vooraf in te lichten, bijvoorbeeld heimelijk onderzoek door particuliere bureaus/Data Labs en onderzoek in het kader van fraudebestrijding (waaronder SyRI);
- Grootschalige verwerkingen van gegevens en monitoring in het kader van fraudebestrijding door sociale diensten;
- Samenwerkingsverbanden waarin gemeenten en/of andere overheidsorganen met andere publieke of private partijen bijzondere persoonsgegevens of gegevens van gevoelige aard met elkaar uitwisselen;
- Grootschalige verwerking en monitoring van locatiegegevens, herleidbaar tot natuurlijke personen, bijvoorbeeld door ANPR-mobiel, of verwerking van gegevens van personen in het openbaar vervoer;
- Biometrische gegevens, waaronder vingerafdrukken, toetsaanslaganalyses, irisscans, gezichtsprofielen en stemopnamen (de verwerking van biometrische gegevens is enkel toegestaan wanneer de verwerking van biometrische gegevens noodzakelijk is voor beveiligingsdoeleinden);
- Profilering: de systematische beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op geautomatiseerde verwerking (profilering is geautomatiseerde verwerking).
Inhoud van het PIA: concrete verplichtingen van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke dient vóór de verwerking van persoonsgegevens een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens (art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en evenredigheid van de verwerkingen met betrekking tot de doeleinden (proportionaliteit en subsidiariteit); voorts dient de beoordeling te omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de waarborging van de bescherming van de persoonsgegevens en de rechten en gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35 lid 7 AVG).
De verwerkingsverantwoordelijke (organisatie) die privacygevoelige gegevens verwerkt, is verplicht om een Privacy Impact Assessment (PIA), ook wel 'gegevensbeschermingseffectbeoordeling' of 'Data Protection Impact Assessment' (DPIA) uit te voeren.
In vorige berichten heb ik het 'black box'-karakter van geheime methoden voor dataveillance en -analyse besproken, alsmede de toepassing van voorspellende algoritmen met een 'black box'-karakter, waaronder het Systeem Risico Taxatie (SyRI). Ik heb daarbij aangegeven dat de verwerkingsverantwoordelijke op grond van de Algemene Verordening Gegevensbescherming (AVG) transparant dient te zijn en dat de verwerkingsverantwoordelijke verplicht is tot het verschaffen van informatie en inzage aan de betrokken burger, ondanks het heimelijke karakter van de gegevensverzameling en -verwerking. Onder uitzonderlijke omstandigheden, bijvoorbeeld wanneer door menselijk toedoen een ramp dreigt te worden veroorzaakt, mag de verwerkingsverantwoordelijke de informatie- en inzagerechten, alsmede het recht op rectificatie, beperken (art. 23 AVG). Het 'black box'-karakter van instrumenten die heimelijk worden ingezet om burgers te onderwerpen aan dataveillance en -analyse kan echter niet worden tegengeworpen aan de plicht van verwerkende instanties om een Privacy Impact Assessment (PIA) uit te voeren.
Het verplichte PIA bij geheime dataveillance, profilering, samenwerking met private bedrijven en de verwerking van biometrische gegevens
De beperkingen op de transparantieverplichtingen van verwerkingsverantwoordelijken en de beperkingen van het recht van de burger op informatie en inzage gelden niet ten aanzien van het PIA. Een verwerkingsverantwoordelijke die geheime methoden voor Big Data-analyse/profilering/risicotaxatie toepast, is verplicht om het Privacy Impact Assessment (PIA) uit te voeren. Dit is bepaald in art. 35 AVG en wordt nog eens onderstreept door het Besluit Verplichte Gegevensbeschermingseffectbeoordeling van 27 november 2019 (Staatscourant nr. 64418). De verplichte uitvoering van het DPIA geldt onder meer voor:
- Grootschalige verwerkingen van persoonsgegevens en stelselmatige monitoring waarbij persoonsgegevens worden verzameld zonder de betrokkene daarover vooraf in te lichten, bijvoorbeeld heimelijk onderzoek door particuliere bureaus/Data Labs en onderzoek in het kader van fraudebestrijding (waaronder SyRI);
- Grootschalige verwerkingen van gegevens en monitoring in het kader van fraudebestrijding door sociale diensten;
- Samenwerkingsverbanden waarin gemeenten en/of andere overheidsorganen met andere publieke of private partijen bijzondere persoonsgegevens of gegevens van gevoelige aard met elkaar uitwisselen;
- Grootschalige verwerking en monitoring van locatiegegevens, herleidbaar tot natuurlijke personen, bijvoorbeeld door ANPR-mobiel, of verwerking van gegevens van personen in het openbaar vervoer;
- Biometrische gegevens, waaronder vingerafdrukken, toetsaanslaganalyses, irisscans, gezichtsprofielen en stemopnamen (de verwerking van biometrische gegevens is enkel toegestaan wanneer de verwerking van biometrische gegevens noodzakelijk is voor beveiligingsdoeleinden);
- Profilering: de systematische beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op geautomatiseerde verwerking (profilering is geautomatiseerde verwerking).
Inhoud van het PIA: concrete verplichtingen van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke dient vóór de verwerking van persoonsgegevens een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens (art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en evenredigheid van de verwerkingen met betrekking tot de doeleinden (proportionaliteit en subsidiariteit); voorts dient de beoordeling te omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de waarborging van de bescherming van de persoonsgegevens en de rechten en gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35 lid 7 AVG).
