Zivver (blijven) gebruiken? - Voer een DPIA uit.

Zivver (blijven) gebruiken? - Voer een DPIA uit.

Wilt u (als overheidsorganisatie) Zivver blijven gebruiken na de overname door het Amerikanse Kiteworks, voer dan een DPIA uit of actualiseer de bestaande DPIA. Staatssecretaris Rutte (Justitie en Veiligheid) heeft dit geantwoord op vragen van het lid Kathmann (GroenLinks-PvdA).

De Staatssecretaris meldt het volgende over de risico’s voor de veiligheid en vertrouwelijkheid van de data die
wordt uitgewisseld via Zivver nu deze onder Amerikaans eigenaarschap valt en ook Amerikaanse wetgeving, zoals de Cloud Act, van toepassing kan zijn en de risicoafweging die gemaakt dient te worden:

Overheidsorganisaties zijn bij het aangaan van overeenkomsten met leveranciers gebonden aan juridische en beleidsmatige kaders die de bescherming van vertrouwelijke data waarborgen. De Algemene Verordening Gegevensbescherming (AVG) beschermt de rechten en vrijheden van personen bij de verwerking van hun persoonsgegevens, onder meer door te eisen dat organisaties passende beveiligingsmaatregelen nemen om die gegevens te beschermen.

De doorgifte van persoonsgegevens naar een derde land is toegestaan als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Als geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn, mogen persoonsgegevens alleen worden doorgegeven wanneer één van de in de in artikel 49 AVG genoemde uitzonderingen van toepassing is (zoals expliciete toestemming, contractuele noodzaak, vitaal belang of openbaar belang). Anders is doorgifte enkel toegestaan indien de doorgifte niet repetitief, een beperkt aantal betrokkenen betreft, en noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Dan dient de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte te hebben beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens te hebben geboden. Ook moet de doorgifte worden gemeld aan de toezichthouder. Binnen deze kaders zijn verwerkingsverantwoordelijke departementen of overheidsorganisaties zelf
verantwoordelijk voor de naleving.

De gegevensbeschermingseffectenbeoordeling (DPIA) speelt daarbij een belangrijke rol. De DPIA brengt de gegevensbeschermingsrisico’s van een voorgenomen (grensoverschrijdende) verwerking in kaart, en laat zien welke maatregelen nodig zijn om deze risico’s te beperken. Overheidsorganisaties zijn verplicht een DPIA uit te voeren bij (grensoverschrijdende) verwerkingen
met waarschijnlijk een hoog risico voor rechten en vrijheden van burgers. De Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke toetst de DPIA in zijn onafhankelijke rol, en adviseert. Bij het wijzigen van de met de verwerking gepaarde risico’s dient opnieuw te worden beoordeeld of de verwerking overeenkomstig de DPIA wordt uitgevoerd.

DOWNLOAD HIER HET BERICHT MET DE ANTWOORDEN

Naar het overzicht