Privacy in de keten

Door toenemende samenwerking met (overheids)partners neemt de ketenverwerking van persoonsgegevens toe. Steeds vaker krijg ik vragen om DPIA’s* uit te voeren op complexe verwerkingen, namelijk ketenverwerkingen. Het wordt steeds meer organisaties duidelijk dat als er in ketens gewerkt wordt, de uitdagingen en risico's rondom bescherming van persoonsgegevens ook groter worden. Tobias van Oerle deelt zijn geleerde lessen en ervaring met privacy in de keten.

Uitdagingen

Het oplossen van deze uitdagingen vraagt om hier in ketenverband naar te kijken en afspraken over te maken. Hieronder beschrijf ik kort een aantal van mijn ervaringen en geleerde lessen met het doen van een DPIA op ketenverwerkingen. Voordat ik doe zal ik geef ik een eenvoudige definitie van een ketenverwerking die volgens mij de lading dekt:

Ketenverwerking: een samenwerking waarbij ketenpartners persoonsgegevens uit moeten wisselen om het (gezamenlijke) doel te behalen.

Een voorbeeld van een ketenverwerking is de uitvoering van taken voor de wet verplichte GGZ (WVGGZ). Hier wisselen gemeenten, (GGD,) Justitie en Zorginstellingen (afhankelijk van hun rol) informatie uit om hun individuele doelen en het gemeenschappelijke doel te behalen. Een ander voorbeeld van een ketenverwerking is de samenwerking tussen gemeenten, zorginstellingen en woningcorporaties om bepaalde groepen woningzoekende met voorrang een woning toe te wijzen.

Geleerde lessen

1. Begin met het gezamenlijke beeld van de keten
   Hiermee bedoel ik ook echt 'beeld'. Maak een (praat-)plaat om de gehele keten in beeld te brengen. Start met een eenvoudige basis (wie doet wat) en vul deze steeds verder aan met relevante informatie (welke persoonsgegevens worden verwerkt en wie heeft welke rol(len) vanuit de AVG).
2. Focus op zaken waar je iets over te zeggen hebt
   Vaak zie ik dat zelfstandig verwerkingsverantwoordelijken graag iets willen zeggen over hoe een andere zelfstandig verwerkingsverantwoordelijke omgaat met gegevens. Hiermee wordt de samenwerking veelal alleen maar moeilijker gemaakt. Accepteer dat de ander verantwoordelijk is (en dus ook aansprakelijk) na ontvangst en richt je met name op je interne organisatie en de risico's en maatregelen waar je direct invloed op hebt. Een onderdeel waar je wel gezamenlijk goed afspraken over kan maken is de overdracht van gegevens.
3. Bespreek onderlinge verwachtingen
   Je hebt niet direct invloed op de organisatie van de andere verwerkingsverantwoordelijke, maar het bespreken van de verwachtingen die je van elkaar hebt over hoe je met gegevensbescherming omgaat zorgt veelal voor onderling vertrouwen en bevordert de kwaliteit van de samenwerking.
4. Leg vast en stel vast
   Afstemmen en overleggen is fijn, maar zorg ervoor dat je afspraken die je maakt vastlegt. Een plaat is een mooi medium om het gesprek te voeren en voor onderdelen ook prima voor de vastlegging, echter voor complexere zaken waarbij echt afspraken gemaakt moeten worden is het aan te bevelen om deze afspraken in tekst vast te leggen en door de deelnemers van de keten vast te laten stellen.

Keten: blijf in gesprek

Tenslotte een algemene aanbeveling die (niet alleen) voor ketens geldt: blijf met elkaar in gesprek. Vaak is er een bepaalde noodzaak of aanleiding om het gesprek te voeren. Vaak is het dan al te laat Er is al een hoop ruis, onduidelijkheid en frustratie ontstaan tussen de ketenpartijen (ketenpartners, interne afdelingen, medewerkers op dezelfde afdeling). Door de lijnen open te houden en regelmatig met elkaar af te stemmen neem je op een laagdrempelige manier veel van deze ruis en onduidelijkheid weg.

Verantwoordelijk

Uiteindelijk ben je als verwerkingsverantwoordelijke nog steeds verantwoordelijk voor het uitvoeren van de DPIA voor het deel waar jij verantwoordelijk voor bent. Door samen met de keten te kijken naar het totaal (hoeft niet direct een DPIA te heten) krijg je duidelijk in kaart hoe de onderlinge verhoudingen in elkaar steken en welke risico’s er zijn.

*Data protection impact assessment (DPIA)