Auditdienst Rijk vindt DPIA 'verificatie- en correctieprocedure Aanmeldpunt Binnenlandse afstand en adoptie' onvoldoende
Op 3 juni 2020 heeft het ministerie van Justitie en Veiligheid (JenV) een datalekmelding bij de Autoriteit Persoonsgegevens (AP) gedaan in verband met de verwerking van persoonsgegevens door het ‘Aanmeldpunt Binnenlandse afstand en adoptie’ (hierna: aanmeldpunt). Dit aanmeldpunt van JenV betrof een samenwerkingsverband tussen JenV met Fiom en het Verwey-Jonker Instituut (VJI). Hoewel het bij de inrichting van het aanmeldpunt duidelijk was dat het gevoelige persoonsgegevens zou verwerken, is nagelaten om in de benodigde procedurele en organisatorische waarborgen te voorzien. De verwerking van de gegevens van de aanmelders door Fiom, JenV en VJI heeft daarom niet conform AVG plaatsgevonden. Een maatregel om dit te repareren betreft de inrichting van een verificatie- en correctieprocedure voor de persoonsgegevens en aanmeldverslagen van het aanmeldpunt. JenV heeft deze procedure in het najaar 2020 opgesteld en heeft hiervoor (alsnog) een data protection impact assessment (DPIA) uitgevoerd.
Onderzoek naar verificatie- en correctieprocedure door Auditdienst Rijk
Het is voor JenV van belang dat de verificatie- en correctieprocedure ervoor zorgt dat het vertrouwen van aanmelders wordt hersteld door op een goede wijze om te gaan met de ontvangen (gevoelige) gegevens en dat het onderzoek niet wordt gecompromitteerd met gebruik van in het verleden niet geverifieerde verslagen. Om dit te bewerkstelligen is de Auditdienst Rijk (ADR) gevraagd te onderzoeken op welke wijze de verificatie- en correctieprocedure invulling geeft aan een optimale bescherming van de persoonsgegevens van de aanmelders.
De vraag die als eerste is onderzocht, betreft het DPIA-proces. Hoe is het DPIA proces vormgegeven en hoe zijn de uitkomsten verwerkt in de verificatie- en correctieprocedure?
De ADR heeft een aantal bevindingen geformuleerd die zich met name richten op de technische beveiligingsmaatregelen voor de bescherming van persoonsgegevens en de sturing op de naleving van de maatregelen in de procedure. Deze bevindingen zijn mede een gevolg van de wijze waarop de DPIA is uitgevoerd, welke bepalend is voor de besluitvorming over de te treffen maatregelen.
De belangrijkste bevindingen zijn (onder meer):
1. In de reikwijdte van de DPIA zitten beperkingen
Bij de uitvoering van de DPIA is de keuze gemaakt om het proces gericht op het bewaren van de aanmeldverslagen voor het nageslacht niet te beschrijven en slechts deels mee te nemen. Dit schept verwarring rondom het verwerkingsdoel, de bewaartermijn van de persoonsgegevens en vormt een risico voor de transparantie richting de betrokkenen over de verlening van toestemming. Verder is in de DPIA en procedure weinig aandacht voor de risico’s die JenV zelf loopt bij de verwerking zoals het bewaren en vernietigen van gegevens. Het is daardoor niet onderbouwd en bekend of de in de procedure vermelde maatregelen hiervoor toereikend zijn.
2. De risico’s en maatregelen in DPIA zijn algemeen en beperkt beschreven, waarbij vooral technische beveiligingsmaatregelen nog aandacht vragen
De privacy risico’s in de DPIA zijn vrij algemeen, op een hoog abstractieniveau, beschreven en zijn niet toegespitst op de voorgenomen verwerkingen of fases in het verificatie- en correctieproces. Hierdoor is het niet volledig duidelijk wanneer welke risico’s zich bij de uitvoering van de verwerkingen in het proces kunnen voordoen bij zowel JenV als de verwerkers. Dit heeft mede als gevolg dat de relatie tussen de algemeen geformuleerde risico’s en maatregelen niet helder is, oftewel: welke maatregelen de risico’s bij de daadwerkelijke verwerking van persoonsgegevens wegnemen en of dit (voor JenV) afdoende is. Volgens ADR vormt dit met name een risico ten aanzien van de technische beveiligingsmaatregelen voor de bescherming van persoonsgegevens. De aandacht voor de technische maatregelen gericht op vertrouwelijkheid (encryptie), integriteit (logging) en beschikbaarheid van gegevens (back-up) van de gebruikte informatiesystemen is nog beperkt. Hierdoor bestaat de kans dat persoonsgegevens niet goed beschermd worden en/of juist zijn.
De ADR doet vervolgens de volgende aanbevelingen:
- Breng het gehele verwerkingsproces van persoonsgegevens in kaart. Dat wil zeggen vanaf de opgeslagen persoonsgegevens bij de verwerkers en JenV (uitgangspositie) tot en met het bewaren voor het nageslacht en vernietiging van gegevens bij JenV. Bepaal vervolgens de reikwijdte van de verificatie- en correctieprocedure in dit kader. Zorg dat over het bewaren van de aanmeldverslagen voor het nageslacht zo spoedig mogelijk duidelijkheid komt. We bevelen aan om dit op te nemen in de huidige verificatie- en correctieprocedure zodat er één procedure is voor zowel het verifiëren en corrigeren als de vervolgstappen in het proces. Daarbij is het van belang dat de wijze van bewaren van persoonsgegevens voor het nageslacht transparant naar de betrokkenen wordt gecommuniceerd zodat zij exact weten waarvoor ze toestemming kunnen geven.
- Voer de DPIA uit over het gehele proces om de (resterende) risico’s bij de verwerking van persoonsgegevens door de verwerkers en JenV in beeld te hebben. Leg daarbij de focus op de risico’s ten aanzien van de technische beveiliging om de vertrouwelijkheid, integriteit en beschikbaarheid van de persoonsgegevens te waarborgen. Raadpleeg het beleid en de richtlijnen op het gebied van privacy en informatiebeveiliging en betrek zo nodig interne adviseurs op het juiste niveau in de organisatie.
- Stel op basis van de uitgevoerde DPIA vast welke (beveiligings)maatregelen nog niet (voldoende) aanwezig zijn bij de verwerkers en JenV. Stel in een plan op om deze maatregelen te implementeren en leg deze vast in een overeenkomst.
- Zorg voorafgaand aan en tijdens de procedure voor betrouwbare informatie over de daadwerkelijke aanwezigheid en naleving van de afgesproken (beveiligings)maatregelen door deze bijvoorbeeld (extern) te laten toetsen. Daarbij kunnen de verwerkers en JenV mogelijk steunen op rapportages die reeds aanwezig zijn.
Download hier het volledige rapport