Vorige week woensdag 4 mei is de definitieve tekst van de nieuwe privacyverordening van de Europese Unie officieel gepubliceerd. Daarmee weten we precies aan welke nieuwe spelregels bedrijven en organisaties per 25 mei 2018 moeten voldoen. Er is dus zo’n twee jaar om je aan deze nieuwe Europese wet aan te passen.

Terwijl het praktisch gezien op tal van onderdelen van het privacyrecht min of meer bij het oude blijft, zijn er ook diverse nieuwe verplichtingen geïntroduceerd. Een van die nieuwe verplichtingen betreft het uitvoeren van een PIA, oftewel een privacy impact assessment. De huidige nationale privacywetgeving voorziet niet uitdrukkelijk in een verplichting tot het doen van een PIA, maar met de komst van de Europese verordening wordt dat dus anders.

Een organisatie die een PIA uitvoert of door een externe deskundige laat uitvoeren, richt zich – kort gezegd – op het belang en de risico’s van de verwerking van de betrokken persoonsgegevens goed in kaart te brengen en om bij de geconstateerde risico’s de juiste maatregelen – bijvoorbeeld op het gebied van security – te inventariseren. De resultaten van een PIA worden in een (in beginsel niet openbaar) rapport vastgelegd. De PIA is dus bij uitstek een instrument dat past bij de ‘risk based approach’ die kenmerkend is voor de nieuwe Europese wetgeving.

Nieuwe technologie

Als hoofdregel geldt dat een organisatie verplicht is een PIA uit te voeren als zij gebruik wenst te gaan maken van wat de verordening in artikel 35 noemt: ‘nieuwe technologieën’ die ‘waarschijnlijk een hoog risico’ voor de privacy van de betrokken burger inhouden. Dat is om meerdere reden een vreemde regeling. Zo wordt niet gedefinieerd wat een ‘nieuwe technologie’ is. Knappe jongen die dat wel weet.

De Europese wetgever heeft zijn vingers aan die afbakening niet willen branden, en dus is bepaald dat de privacytoezichthouder maar moet komen met een lijst van gevallen waarin een PIA verplicht is. Op die manier heeft de Europese wetgever de verplichting tot het creëren van duidelijkheid bij de toezichthouders – in Nederland de Autoriteit Persoonsgegevens – gelegd. Voor de toezichthouder is dat voorwaar geen sinecure.

Cirkelredenering

Niet minder opmerkelijk is dat de regeling zegt dat je een PIA verplicht moet uitvoeren als er aan nieuwe technologie ‘waarschijnlijk een hoog risico’ kleeft. Dat is de wereld op haar kop zetten. Immers, een PIA is, zoals gezegd, een instrument waarmee risico’s in beeld worden gebracht, maar tegelijkertijd bepaalt de verordening dat je dit instrument moet inzetten als er waarschijnlijk hoge risico’s zijn. Dat is een onbegrijpelijke cirkelredenering. Het lijkt er dus op neer te komen dat je eerst zoiets als een pre-PIA moet doen om vervolgens te kunnen beslissen of je gehouden bent een verplichte PIA uit te voeren. Of zou de Europese wetgever het voldoende vinden als je op basis van je onderbuikgevoel over mogelijke risico’s beslist of er wel of niet een PIA moet komen? Niemand die het weet. Kortom, de PIA-regeling in de Europese verordening is – zachtjes uitgedrukt – een juridisch rommeltje.

Hoe dan ook, duidelijk is inmiddels wel dat zeker in drie situaties een verplichting tot het uitvoeren van een PIA bestaat. Ten eerste doet zich die verplichting voor bij ‘profiling’: de verwerking van persoonsgegevens met het oog op het maken van persoonsprofielen. Voorts als er sprake is van stelselmatige en grootschalige monitoring van openbare ruimten. Ten derde moet er een PIA worden gedaan bij grootschalige verwerking van zogeheten bijzondere gegevens, zoals gezondheidsgegevens en strafrechtelijke gegevens. In al die gevallen moet je als organisatie dus een keurig PIA-rapport in huis hebben waaruit onder meer de risico’s, de noodzaak en de proportionaliteit van de verwerking blijken en waarin wordt ingegaan op de vraag welke veiligheidsmaatregelen zijn getroffen. Dus: volop werk aan de winkel.

Stakeholder

Daar komt nog één belangrijk ding bij. Een organisatie die verplicht een PIA gaat uitvoeren, zal onder de nieuwe wetgeving ook de mening moeten vragen van de betrokken burgers of van vertegenwoordigers van de betrokken burgers. Als bijvoorbeeld de NS een verplichte PIA doet voor reizigersinformatie, dan kan zij bijvoorbeeld denken aan consultatie van Rover, de welbekende vereniging van reizigers in het openbaar vervoer. Organisaties worden aldus aangezet om de visie van stakeholders in hun PIA te betrekken. Ook dat is juridisch nieuw. Het ligt daarom voor de hand om, waar nodig, de banden met belanghebbenden te versterken.


 

Deze bijdrage is geschreven door IT-jurist Mr. Peter van Schelven van BIJ PETER – Wet & Rechten verscheen ook op Security Vandaag.