AVG compliance: bij een risicovolle verwerking moet je weten wat je doet – de PIA (16/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Iedere verwerking moet worden gedocumenteerd in een zogeheten verwerkingsregister. Daarbij moet u inschatten of de verwerking als risicovol gezien kan worden. Is dat het geval, dan mag je deze niet uitvoeren voordat een privacy impact assessment of PIA is uitgevoerd en de daaruit voortvloeiende maatregelen zijn geïmplementeerd.

Een privacy impact assessment heeft als doel om bij “verwerkingen met verhoogd risico” die risico’s in kaart te brengen en maatregelen te identificeren waarmee deze risico’s te beperken zijn. (De Nederlandse naam gegevensbeschermingseffectbeoordeling mag u meteen weer vergeten.) De wet stelt uitvoering van een PIA verplicht om te voorkomen dat die verhoogde risico’s zich voordoen.

Er is geen specifiek wettelijk criterium voor wat een verhoogd risico inhoudt, maar u kunt bijvoorbeeld denken aan grootschalige geautomatiseerde besluitvorming, grootschalige verwerking van bijzondere persoonsgegevens en grootschalig monitoren van het publiek. Ook in situaties waarin mensen moeilijker hun rechten kunnen halen, of wanneer u met zeer innovatieve technologie (zoals big data of kunstmatige intelligentie) gaat werken, is een PIA verplicht.

De PIA is in feite een drietrapsraket. Bij iedere verwerking moet u een eerste beoordeling maken van de risico’s die daarbij kunnen bestaan. U noteert dit in het verwerkingsregister bij de verwerking. Volgt uit de eerste beoordeling dat er waarschijnlijk een hoog risico kleeft aan een verwerking, dan moet daarop de volledige PIA worden uitgevoerd. Hierin benoemt u elk risico en de mogelijkheden om dit in te perken. Als daaruit blijkt dat het hoge risico niet kan worden beperkt met redelijke middelen, dan moet de toezichthouder eerst om toestemming worden gevraagd.

Stel, een creditcardmaatschappij wil fraude bij haar betalingstransacties detecteren met een big data-analyse waarbij automatisch verdachte transacties worden geïdentificeerd en geweigerd. Dit is een innovatieve technologie met mogelijk grote impact, dus een PIA is hierop verplicht. Het risico zit hem vooral in het ten onrechte een betaling geweigerd krijgen, dus de maatregelen moeten dit beperken. Een optie kan dan zijn dat in plaats van weigering, mensen gevraagd wordt die transactie te bevestigen met een sms-bericht. Als dat met redelijke middelen in te voeren is, dan is dat de oplossing en kan de maatregel alsnog worden toegepast.

Een ander risico is dat mensen niet kunnen zien waarom de transactie wordt geweigerd. Enkel “de computer vindt deze transactie verdacht” is namelijk niet genoeg. Het big data-systeem moet dus in staat zijn om zogeheten “white box” antwoorden te geven, met onderbouwing en de relevante factoren (u bestelde nooit bij deze winkel, vijf minuten eerder was u in een restaurant en de transactie ging vele malen sneller dan u normaal handelt). Als dat niet eenvoudig kan, dan zal toestemming moeten worden gevraagd.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.