De ISR-organisatie
Resultaten DPIA
Gezien de rol van het ISR en de gevoeligheid en vertrouwelijkheid van de persoonsgegevens die het ISR verwerkt in het kader van haar tuchtrechtelijke taken, is het van belang dat haar organisatie zorgvuldig omgaat met persoonsgegevens. Omdat de processen in het kader van het behandelen van een (tuchtrechtelijke) melding en de daaropvolgende tuchtrechtelijke procedure de basis van haar taak omvat, is besloten de verwerkingen van persoonsgegevens in die processen nader te laten onderzoeken.
Daarvoor heeft het ISR een Data Protection Impact Assessment (DPIA, zoals bedoeld in artikel 35 Algemene verordening gegevensbescherming (AVG)) laten uitvoeren op haar processen in het kader van de het behandelen van een tuchtrechtelijke melding en de daaropvolgende tuchtrechtelijke procedure. De opdracht daarvoor is verstrekt aan adviesbureau Considerati. Door middel van deze DPIA zijn de (potentiële) risico's van de persoonsgegevensverwerkingen voor de rechten en vrijheden van de individuen die het betreffen inzichtelijk gemaakt.
Op basis van de bevindingen uit de DPIA is het volgende vastgesteld:
- Het ISR is goed op de hoogte van het belang van privacy en gegevensbescherming en het beschermen van het vertrouwen van personen betrokken bij een tuchtrechtprocedure.
- Er is een grondslag voor het verwerken van "normale" persoonsgegevens door ISR in het kader van de tuchtrechtelijke procedure en deze grondslag voldoet aan de daartoe gestelde eisen;
- Er is een uitzonderingsgrond voor het verwerken van zowel bijzondere persoonsgegevens als persoonsgegevens die gaan over strafrechtelijke veroordelingen en strafbare feiten door het ISR in het kader van de tuchtrechtelijke procedure;
- In lijn met de visie van het ISR, treedt het ISR op als verwerkingsverantwoordelijke in het kader van de tuchtrechtelijke procedure ten opzichte van de melders, beklaagden, bonden en andere derden die betrokken zijn bij de tuchtrechtelijke procedure.
Daarnaast heeft het ISR verschillende aandachtspunten vastgesteld. Deze aandachtspunten zijn:
- Het aanscherpen en uniformeren van procedures en werkwijzen om een zorgvuldige omgang met persoonsgegevens te realiseren;
- Het verbeteren van de aantoonbaarheid aan de verplichtingen van de AVG;
- Het nader borgen van de beginselen van de AVG in processen;
- Een aanscherping van de informatiebeveiliging.
Tot slot is vastgesteld dat wanneer het ISR de vastgestelde risico matigende maatregelen uit de DPIA implementeert, er geen (hoog) restrisico overblijft. Daardoor is er geen plicht tot het instellen van voorafgaande raadpleging bij de toezichthouder.
Het ISR heeft een privacy adviseur ingeschakeld om haar te begeleiden bij het implementeren van de risico matigende maatregelen die uit de DPIA naar voren zijn gekomen alsmede de verdere implementatie van de verplichtingen die voortvloeien uit de AVG.
Heeft u vragen over de DPIA? Stuur dan een mail naar privacy@isr.nl.
Juli 2024