De DPIA Leverancier Beoordelingsvereiste
GDPR Artikel 35 vereist Data Protection Impact Assessments voor verwerking die waarschijnlijk leidt tot hoge risico's voor de rechten en vrijheden van individuen. Grootschalige verwerking van persoonlijke gegevens (Artikel 35(3)(b)) valt onder deze vereiste. Wanneer een organisatie een anonymisatietool inzet voor grootschalige PII-verwerking, moet de DPIA de tool evalueren als een gegevensverwerker onder GDPR Artikel 28.
Artikel 28 vereist dat gegevensverwerkers "voldoende garanties bieden om passende technische en organisatorische maatregelen te implementeren" en dat de verwerking "wordt beheerst door een contract of andere juridische handeling onder Unie- of lidstaatwetgeving." Een DPO die een DPIA voor een anonymisatietool voltooit, moet documenteren: de beveiligingsmaatregelen van de tool, de relaties met subverwerkers, de gegevensresidentie, de procedures voor gegevensinbreukmelding en de gegevensverwerkingsovereenkomst die de relatie beheerst.
ISO 27001-certificering vermindert de documentatielast van de DPIA aanzienlijk: BSI-onderzoek (2024) toonde aan dat ISO 27001-gecertificeerde organisaties de tijd voor beveiligingsvragen met 73% verminderen. Gartner ontdekte dat beveiligingsinkoop van Fortune 500 ISO 27001 vereist in 78% van de RFP's. Wanneer de anonymisatietool ISO 27001-gecertificeerd is, kan de DPIA naar de certificering verwijzen in plaats van te proberen de beveiligingsmaatregelen van de tool onafhankelijk te verifiëren.
De Artikel 28 Leverancier Beoordelingschecklist
DPO's die een anonymisatietool beoordelen op basis van de vereisten van GDPR Artikel 28, moeten verifiëren:
1. Gegevensverwerkingsovereenkomst: Is er een GDPR-conforme DPA beschikbaar? Dekt deze alle vereiste bepalingen van Artikel 28: verwerking alleen op gedocumenteerde instructies, vertrouwelijkheidsverplichtingen, beveiligingsmaatregelen, subverwerkercontroles, bijstand bij rechten van betrokkenen, verwijdering of teruggave bij beëindiging van het contract, en audit samenwerking?
2. Documentatie van beveiligingsmaatregelen: Zijn de technische en organisatorische beveiligingsmaatregelen gedocumenteerd op een manier die voldoet aan Artikel 32? Voor ISO 27001-gecertificeerde tools bieden de certificering en de Verklaring van Toepasselijkheid deze documentatie.
3. Transparantie van subverwerkers: Gebruikt de tool subverwerkers? Zijn ze vermeld en toegankelijk? Wijzigingen in subverwerkers vereisen voorafgaande kennisgeving aan de verwerkingsverantwoordelijke. Tools die meerdere cloudinfrastructuurproviders gebruiken (voor redundantie, CDN, enz.) moeten elke subverwerker documenteren.
4. Gegevensresidentie: Waar worden persoonlijke gegevens verwerkt en opgeslagen? Voor op de EU gebaseerde DPO's is EU-gegevensresidentie of een zero-knowledge-architectuur (geen persoonlijke gegevens verzonden naar servers) vereist. Op de VS gebaseerde tools vereisen gedocumenteerde SCC's of BCR's.
5. Gegevensinbreukmelding: Wat zijn de procedures van de tool voor inbreukmelding? GDPR Artikel 33 vereist melding aan de toezichthoudende autoriteit binnen 72 uur. Artikel 28 vereist dat verwerkers de verwerkingsverantwoordelijke "zonder onredelijke vertraging" op de hoogte stellen nadat zij zich bewust zijn geworden van een inbreuk — wat moet zijn voordat de 72-uursklok begint te lopen.
6. Beschikbaarheid van DPIA: Heeft de toolprovider hun eigen DPIA voltooid? Is deze beschikbaar voor zakelijke klanten voor opname in de DPIA van de verwerkingsverantwoordelijke? Een toolprovider die geen DPIA voor hun eigen verwerking heeft voltooid, creëert een documentatiekloof in de DPIA van de verwerkingsverantwoordelijke.
7. Ondersteuning voor verwijdering en overdraagbaarheid: Kan de tool voldoen aan de verplichtingen van Artikel 17 (verwijdering) en Artikel 20 (overdraagbaarheid)? Voor zero-knowledge-tools waar geen persoonlijke gegevens worden opgeslagen, kan de vraag naar verwijdering zich niet voordoen — maar de DPIA moet dit documenteren.
De Oostenrijkse verzekeringsmaatschappij DPO die een DPIA voor hun klacht anonymisatieproces voltooit, kan verzoeken om en ontvangen: ISO 27001-certificaat, EU-hostingdocumentatie, DPIA en DPA van een conforme toolprovider. Deze vier documenten bieden volledige dekking van Artikel 28 DPIA. De audit van de toezichthoudende autoriteit vindt de DPIA compleet.
Bronnen: