Een privacy impact assessment, ofwel PIA, is een uitstekend hulpmiddel om privacy-risico’s bij nieuwe diensten op een gestructureerde en heldere manier vroegtijdig in kaart te brengen. InnoValor voert regelmatig een PIA uit voor klanten. Nu zult u waarschijnlijk denken dat het uitvoeren van een PIA een routineklusje is waarvan er twaalf in een dozijn gaan. Er zijn immers al verschillende aanpakken beschreven en voorhanden, zoals het Toetsmodel PIA van de Rijksdienst, de NOREA handreiking en het Europese Privacy Impact Assessment Framework. De praktijk leert echter dat vaak maatwerk vereist is om de klant naar voldoening te adviseren. Ik zal een paar voorbeelden geven.

Centraal in de aanpak van veel PIA’s (en ook die van InnoValor) staan een aantal belangrijke risicogebieden met betrekking tot privacyprincipes:

• Gevoeligheid en beveiliging van de gegevens. Wat is de gevoeligheid van de gegevens is de beveiliging hiervoor toereikend?
• Limitering van het verzamelen van gegevens. Welke maatregelen zijn getroffen om het verzamelen en bewaren van gegevens te beperken? Staat de inbreuk op de belangen van een betrokkene van wie de gegevens worden verwerkt in verhouding tot het door de verwerking te dienen doel?
• Limitering van gebruik van gegevens. Welke maatregelen zijn getroffen om hergebruik van gegevens en/of het verwerken van grote hoeveelheden gegevens te voorkomen?
• Doelbinding. Worden de gegevens alleen verwerkt op grond van een wettelijke basis en in overeenstemming met het doel waarvoor ze zijn verzameld?
• Gegevenskwaliteit en beschikbaarheid. Hoe wordt gewaarborgd dat de gegevens juist, volledig en actueel zijn?
• Rechten van betrokkenen. Zijn de betrokkenen voldoende geïnformeerd over de verwerking van de gegevens en hebben zij inzage hierin en zeggenschap hierover?
• Transparantie. Is het voldoende transparant welke gegevens door wie en voor welk doel worden gebruikt?
• Verantwoording. Hoe wordt verantwoording afgelegd over het op een veilige, behoorlijke en zorgvuldige manier verwerken van gegevens?

Dat is de basis van elke PIA. Het maatwerk dat er bij komt kijken kan van verschillende kanten komen. Enkele voorbeelden hiervan zijn:

1. Bestaande dienst vs nog te ontwikkelen dienst. Bij de eerste is het belangrijk om de getroffen beveiligingsmaatregelen in kaart te brengen en te toetsen of deze voldoen; bij de tweede is het vooral zaak om de noodzakelijk te treffen maatregelen te identificeren. Een voorbeeld van een PIA op een nog te ontwikkelen dienst is die van het eID Stelsel NL. De InnoValor PIA op SUWInet betreft een bestaande dienst.
2. Organisatie vs keten. Het uitvoeren van een PIA op een systeem of applicatie dat binnen één organisatie gebruikt wordt, verschilt behoorlijk met een situatie waarin sprake is van een keten van organisaties die een ketendienst leveren. In het laatste geval is er extra aandacht nodig voor het privacyprincipe van Verantwoording. De Wbp maakt duidelijk onderscheid tussen verantwoordelijke en bewerker. Als er meerdere verantwoordelijken zijn, dan zijn er verschillende modellen mogelijk (zie blz. 58 MvT Wbp en het Working Paper van de Art. 29 Werkgroep over de begrippen verantwoordelijke en bewerker). Mede daarom moeten de verantwoordelijken hoe dan ook de onderlinge rolverdeling goed met elkaar afspreken of moet die anderszins goed geregeld zijn. Dat is governance. Voor het borgen van governance zijn aspecten als verantwoording en toezicht belangrijke aspecten om rekening mee te houden in ketens of netwerken. Deze aspecten zullen dan als aparte risicogebieden meegenomen dienen te worden. Onze PIA op SUWInet is hiervan een goed voorbeeld.
3. Statische vs dynamische gegevens. InnoValor participeert in het COMMIT SWELL project waarin onderzoek gedaan wordt naar intelligent applicaties voor well-being en well-working. Veel van deze applicaties maken gebruik van allerlei sensor-data die privacy-gevoelig kan zijn, zoals locatie- en stress-data. Deze gegevens zijn erg dynamisch en dienen regelmatig geupdate te worden om de kwaliteit van de applicatie te borgen. Nog spannender wordt het wanneer sensor-data gebruikt wordt om andere informatie van af te leiden. Bijvoorbeeld, de activiteit van een persoon afleiden van diverse sensors op de mobiele telefoon als accelerometer, gyroscoop, locatie (via GPS of WIFI), laadstatus en schermactiviteit. Hoe nauwkeurig is hieruit afgeleide informatie? En wat gebeurt er met de data van de sensors als de activiteit eenmaal bepaald is? Kan er nog meer uit afgeleid worden? Binnenkort zullen we binnen SWELL onze PIA-bevindingen voor sensor-gebaseerde applicaties publiceren.

Kortom, niet iedere PIA is het zelfde. Bij iedere PIA komt maatwerk om de hoek kijken om alle privacy-risico’s in kaart te brengen en om te bepalen welke technische en organisatorische beveiligingsmaatregelen voldoende zijn.