Hoog restrisico bij DPIA; verwerking gestart voor advies autoriteit
De Deense Gegevensbeschermingsautoriteit geeft het Nationaal Genoomcentrum aan bij de politie en beveelt een boete aan van 50.000 DKK. De toezichthouder is van oordeel dat het centrum de regels van de GDPR heeft geschonden door te beginnen met de verwerking van gegevens zonder de gegevensbeschermingsautoriteit te raadplegen.
Op 9 december 2021 heeft de Deense Gegevensbeschermingsautoriteit een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment - DPIA) ontvangen van het Nationaal Genoomcentrum (NGC), dat gen sequencing gegevens verwerkt. Uit de effectbeoordeling bleek dat de NGC na het begin van de verwerking op de hoogte was gebracht van omstandigheden die een hoog risico voor de rechten van de betrokkenen konden inhouden.
Na een eerste onderzoek in deze zaak heeft de gegevensbeschermingsautoriteit op 13 januari 2022 een tijdelijk verbod uitgevaardigd op het verder verzamelen van persoonsgegevens en de verwerking van de reeds verzamelde gegevens beperkt tot opslag. Het verbod en de beperking van de verwerking zouden gelden totdat NGC had voldaan aan de regels inzake de inhoud van een DPIA en totdat, indien nodig, een advies van de gegevensbeschermingsautoriteit beschikbaar was. De gegevensbeschermingsautoriteit behield zich het recht voor om in een later stadium gebruik te maken van al zijn bevoegdheden met betrekking tot de DPIA en een mogelijke sanctie op te leggen.
In de periode na 9 december 2021 heeft de NGC - na overleg en dialoog met de gegevensbeschermingsautoriteit- aanvullende documentatie verstrekt en delen van het reeds ingediende materiaal herzien.
Schending van de regels inzake raadpleging van de gegevensbeschermingsautoriteit
Na een onderzoek van de zaak is de gegevensbeschermingsautoriteit van oordeel dat NGC niet in overeenstemming met de regels heeft gehandeld, aangezien zij begonnen is met de verwerking van persoonsgegevens zonder de gegevensbeschermingsautoriteit te raadplegen, hoewel uit haar eigen effectbeoordeling bleek dat er een groot risico bestond voor de rechten van de betrokkenen.
De gegevensbeschermingsautoriteit benadrukte dat de beschrijving door de NGC van de impact en de waarschijnlijkheid, alsmede de beschrijving van het risico van het product, de NGC tot de conclusie hadden moeten brengen dat er risicoscenario's waren in de categorie die de NGC zelf "hoog" noemde, die een hoog restrisico inhielden dat niet werd beperkt.
De gegevensbeschermingsautoriteit besteedde bijzondere aandacht aan het feit dat NGC's eigen beschrijving van het bestaande restrisico in grote lijnen overeenkwam met de formulering van wat op Europees niveau als een hoog risico wordt beschouwd (zie artikel 29-werkgroeprichtsnoer WP248, rev. 01, van oktober 2017). Bovendien is de gegevensbeschermingsautoriteit in het algemeen van mening dat voor de meest ingrijpende gevolgen voor de betrokkenen slechts een zeer beperkte waarschijnlijkheid van verwezenlijking kan worden getolereerd voordat er sprake is van een algemeen hoog risico.
Waarom een bericht aan de politie?*
De gegevensbeschermingsautoriteit maakt altijd een specifieke beoordeling van de ernst van de zaak wanneer hij bepaalt welke sanctie zijns inziens de meest passende is.
Bij het opstellen van de aanbeveling aan de politie heeft de gegevensbeschermingsautoriteit onder meer de nadruk gelegd op de hoge kwaliteit van het door de NGC verrichte risico-onderzoek en de zeer actieve betrokkenheid van de NGC bij het onderzoek in deze zaak, waardoor de behandeling van de zaak aanzienlijk minder tijd in beslag heeft genomen.
"We nemen deze zaak zeer serieus omdat het gaat om het basisprincipe dat als de verwerking van persoonsgegevens door een organisatie een groot risico voor de betrokken personen met zich meebrengt, de organisatie met het risico moet werken en het risico moet verkleinen voordat zij de gegevens gaat verwerken," legt Allan Frank, IT-beveiligingsspecialist en jurist bij de gegevensbeschermingsautoriteit, uit en vervolgt:
"Indien de organisatie het risico niet heeft kunnen beperken door de effectbeoordeling uit te voeren, moet eerst de gegevensbeschermingsautoriteit worden geraadpleegd om zich ervan te vergewissen dat de verwerking rechtmatig is en dat de voor de verwerking verantwoordelijke alle nodige risico's heeft geïdentificeerd en het risico heeft beperkt. Met andere woorden, dit is een essentiële juridische waarborg voor de rechten van de burgers. Het negeren ervan ondermijnt het vermogen van de gegevensbeschermingsautoriteit om de rechtmatigheid te kennen en te controleren van verwerkingen die een groot risico inhouden voor de personen wier gegevens worden verwerkt".
* De gegevensbeschermingsautoriteit in Denemarken legt niet rechtstreeks boetes op, maar verwijst dergelijke gevallen door naar de politie. De politie onderzoekt vervolgens of er gronden zijn om een aanklacht in te dienen, en ten slotte beslist een rechtbank over een eventuele boete.
*** Vertaald met www.DeepL.com/Translator (gratis versie) ***
Bron: Datatilsynet (Denmark) - Danish National Genome Center - GDPRhub