Privacy Company zet het belang en het proces van DPIA’s uiteen

'Head in de cloud, feet on the ground!'

SLM Microsoft, Google Cloud en Amazon Web Services Rijk (SLM) laat regelmatig door Privacy Company een Data protection impact assessment (DPIA) uitvoeren om duidelijk te maken of en waar privacyrisico’s ontstaan bij het gebruik van softwareproducten en online diensten. De DPIA brengt de risico’s in kaart en beschrijft maatregelen die de Rijksoverheid en de leveranciers moeten nemen om deze risico’s te verkleinen of te voorkomen. Sjoera Nas en Floor Terra, senior privacy adviseurs bij Privacy Company, vertellen hoe een DPIA in zijn werk gaat.

Wat is een DPIA?
Een gegevensbeschermingseffectbeoordeling of Data protection impact assessment (DPIA) is een inschatting van de privacyrisico’s voor de mensen die met software werken, of deze nu in eigendom of in een onlineversie gebruikt wordt. “Privacy is een grondrecht, dus we moeten goed kijken of de rechten die zijn vastgelegd in de wet gerespecteerd worden door de leverancier”, zegt Sjoera Nas. “Mensen verwerken met deze producten en online diensten veel persoonsgegevens, van de gebruiker zelf, maar ook van derden zoals burgers of studenten. Vaak hebben zij daarbij geen keuze omdat de overheids- of onderwijsinstelling hen nu eenmaal verplicht om met die producten en diensten te werken. Dat maakt het heel belangrijk om te kijken wat voor risico’s dat meebrengt.”

Wat is het proces van een DPIA?
De combinatie van een technisch en juridisch aspect maakt de DPIA’s van Privacy Company volgens Floor Terra bijzonder. “We splitsen het proces voor een DPIA op in vier delen, die elk een technisch en een juridisch aspect hebben. Het grootste onderdeel is de beschrijving van het technische onderzoek naar hoe de verwerkingen eruitzien. Daar hoort ook een beoordeling bij van het hele raamwerk van alle afspraken die de Rijksoverheid maakt met leveranciers over de gegevensverwerking. Klopt de papieren werkelijkheid met de echte werkelijkheid? Vervolgens rapporteren we de rechtmatigheid en de risico’s van de gegevensverwerking en beschrijven we de eventuele verbetermaatregelen.”

Cloudproviders
In de afgelopen jaren maken veel organisaties een digitale transitie door en de Rijksoverheid is daarbij geen uitzondering. Steeds vaker wil men werken met de onlinediensten van cloudproviders zoals Microsoft, Google en Amazon. “In de praktijk werken de meeste Rijksorganisaties echter nog altijd in hybride omgevingen”, zegt Terra. “Organisaties verwerken gegevens in systemen op de eigen locatie, in het datacenter van de Rijksoverheid en in de datacenters van de cloudproviders. Wij willen alles meten waar we bij kunnen en onderscheppen daarvoor al het netwerkverkeer.”

Terra maakt hiervoor een testaccount aan voor het product of de onlinedienst, zoals Microsoft Office. “We gebruiken de toepassing zoals elke ambtenaar dat zou doen door het e-mailen van bestanden of deze te uploaden en te bewerken in OneDrive. Terwijl we dat testen onderscheppen we al het netwerkverkeer zodat we inzichtelijk krijgen wat er precies naar wie en waar gestuurd wordt.”

“We doen dit overigens op onze eigen testapparaten”, voegt Nas daaraan toe. “We schrijven scenario’s die lijken op de werkelijkheid van ambtenaren of universiteitsdocent. We zorgen er ook voor dat wat we vinden in het uitgaande verkeer herhaalbaar is zodat we precies kunnen laten zien aan cloudproviders wat de scenario’s zijn, wat onze bevindingen zijn en wat er eventueel misgaat in relatie tot hun documentatie. Bijvoorbeeld dat er veel meer in het schepnet van de cloudprovider zit dan zij ons willen vertellen. We vragen hen om dat uit te leggen of te verbeteren. Als de leverancier dat niet kan of wil, kunnen Rijksorganisaties niet conform de AVG met deze producten of online diensten werken.”

Een goed voorbeeld daarvan is Google Workspace. De overheid wil dat kunnen gebruiken als alternatief voor Microsoft Office en SLM wilde vooraf weten of dat kan binnen de AVG. “We hebben een DPIA uitgevoerd voordat de Rijksoverheid een contract met Google had”, zegt Nas. “De eerste uitkomsten daarvan hebben we gepubliceerd in februari 2021 en die waren niet positief. De standaardcontracten bevatten nog veel risico’s en onze conclusie was dat de Rijksoverheid hier nog niet mee moet willen werken.”

Meestribbelen
Hieruit blijkt ook hoe noodzakelijk de medewerking van de leveranciers is. “We hebben hen nodig om te verduidelijken wat er gebeurt in het netwerkverkeer. Als het om een foutje gaat, kan de leverancier dat corrigeren. Als er iets gebeurt om een goede reden, kan de leverancier dat uitleggen en opnemen in de contracten. Als bepaald verkeer niet nodig is, maar vooral handig voor de leverancier,  vragen we de leverancier een keuzeknop in te bouwen zodat systeembeheerders het uit kunnen zetten. Dat zijn allemaal hele belangrijke reacties om mee te nemen in de risico-inschatting, want die pakt daardoor anders uit.”

Een ander deel waarvoor de medewerking van leveranciers nodig is, is de rol die cloudproviders hebben in de relatie. Nas: “De Rijksoverheid wil dat cloudproviders alleen gegevensverwerker zijn. Veel cloudproviders vinden dat prima voor wat betreft de inhoudelijke gegevens, maar niet voor de gegevens over het gedrag van gebruikers. Dan willen zij de verwerkingsverantwoordelijke zijn. Dat is het moeizaamste deel van de onderhandelingen.”

Cloudproviders moeten bovendien meewerken aan inzageverzoeken en Privacy Company controleert in de DPIA of zij dit ook doen. “Ook dat is moeizaam, want ze willen vaak niet toegeven welke gegevens ze allemaal verzamelen”, zegt Terra. “Doordat wij inzage hebben in het volledige netwerkverkeer weten wij echter dat het vaak om meer informatie gaat dan is toegestaan en meer dan ze mij verstrekken.”

“Er zit dus een spanningsveld tussen meewerken en tegenwerken bij de leveranciers”, zegt Nas. “Meestribbelen, noemen we dat.” De vraag rijst waarom dat zo is. Het is toch in het belang van de leverancier om mee te werken? Als de Rijksoverheid niet wil werken met een bepaald product of online dienst kan dat een grote inkomstenderving voor de leverancier vormen. Nas: “Dat is inderdaad een nachtmerriescenario voor hen, maar het gaat om enorme organisaties met complexe processen die uit het oogpunt van efficiëntie vast zijn ingericht. Dat maakt het mogelijk om producten en online diensten op één manier aan te bieden aan de hele wereld. Het is voor leveranciers erg moeilijk om een kleine wijzigen aan te brengen alleen maar omdat de Nederlandse overheid dat vraagt. Microsoft vergelijkt zichzelf weleens met een oceaanstomer, die kun je niet zomaar even van koers laten wijzigen. Van de andere kant: op het moment dat we ze overtuigen dat het wel de moeite waard is om van koers te veranderen, doen ze dat meteen wereldwijd, voor alle zakelijke klanten.”

Maatregelen voor leveranciers én de overheid
Privacy Company stelt bij de DPIA altijd een tabel met mitigerende maatregelen voor. “Dat is echt onze toegevoegde waarde”, zegt Nas. “Daarbij leunen we ook sterk op onze technische kennis. Daardoor kunnen wij goed inschatten wat er technisch mogelijk is, bijvoorbeeld suggesties hoe je burgers kunt herkennen in het ambtelijke netwerkverkeer zodat die dezelfde bescherming kunnen krijgen als de ambtenaren. Leveranciers stellen het dan op prijs dat ze met iemand kunnen praten die snapt wat de technische mogelijkheden én beperkingen zijn om bepaalde verbeteringen te realiseren.”

De maatregelen vragen niet alleen om actie van de leverancier, Privacy Company geeft ook adviezen aan overheden. “We stellen overheidsorganisaties voor om allereerst een goed intern privacybeleid te schrijven”, zegt Nas. “Daarin kunnen ze regels vastleggen over het gebruik van applicaties. Ze moeten ook regelmatig controleren of medewerkers zich aan die regels houden. Onze DPIA’s zijn paraplu-rapporten, die dekken 90% van het werk wat de privacy officers van de ministeries of andere  Rijksorganisaties moeten doen. Zij hoeven alleen nog te kijken in hun organisatie of er nog andere risico’s zijn die wij niet kunnen voorzien in de paraplu-rapporten, of andere specifieke maatregelen.”