Het InternetSpiegel medewerkersonderzoek en de AVG

Is InternetSpiegel compliant aan de AVG?

ICTU/Programma InternetSpiegel heeft Privacy Management Partners (PMP) opdracht gegeven (november 2020) om een privacy impact assessment uit te voeren op de verwerkingen van persoonsgegevens binnen InternetSpiegel (het bredere medewerkersonderzoek en specifieke uitwerkingen daarvan) voor zover deze binnen de verantwoordelijkheden van ICTU liggen.

Naar het oordeel van Privacy Management Partners is de infrastructuur van InternetSpiegel medewerkeronderzoek, zoals dat wordt aangeboden door ICTU en Effectory, compliant met de Algemene Verordening Gegevensbescherming (AVG).

Het InternetSpiegel medewerkersonderzoek vormt in het algemeen een verwaarloosbaar risico voor de (privacy)belangen van de respondenten en overige betrokkenen.

De uitkomsten van de DPIA van ICTU op de InternetSpiegel-omgeving zijn op aanvraag beschikbaar.

Welke AVG-rollen kent InternetSpiegel?

Binnen InternetSpiegel medewerkersonderzoek komen de volgende AVG-rollen voor:

  • Gebruikers: De gebruikers/deelnemers gebruiken InternetSpiegel als platform voor het uitvoeren van onderzoeken onder hun medewerkers. Gebruikers/deelnemers zijn – ieder voor hun eigen gegevens – verwerkingsverantwoordelijke voor de onderzoeken die via InternetSpiegel worden uitgevoerd, ongeacht of zij initiatiefnemer van het onderzoek zijn of niet. De verantwoordelijkheid van de gebruiker/deelnemer volgt uit het feit dat hij als werkgever bepaalt of er een medewerkeronderzoek wordt uitgevoerd.
  • ICTU: ICTU is op basis van de Programmaovereenkomst met het ministerie van Binnenlandse Zaken & Koninkrijksrelaties (BZK) programmaleider voor InternetSpiegel. ICTU voert de aanbesteding uit, houdt toezicht op Effectory, voert de regie over InternetSpiegel, stelt de kaders voor het gebruik van InternetSpiegel door de gebruikers/deelnemers vast en heeft onder meer (finale) zeggenschap over de door Effectory genomen maatregelen ter bescherming van de persoonsgegevens. Daarnaast gebruikt ICTU de verkregen gegevens – in gepseudonimiseerde vorm – voor beleidsonderzoek ten behoeve van de minister van BZK en kennisdeling. ICTU dient derhalve ook te worden aangemerkt als verantwoordelijke voor de verwerkte persoonsgegevens, en wel vanwege haar feitelijke invloed (feitelijke verantwoordelijkheid).
  • Effectory: ICTU heeft InternetSpiegel bij Effectory aanbesteed. Effectory voert de onderzoeken uit in opdracht van de gebruikers/deelnemers en onder toezicht van ICTU. Voorts dient Effectory zich te voegen naar de instructies van ICTU als het gaat om een aantal systeemaspecten van InternetSpiegel, zoals de inhoud van de InternetSpiegel vragenlijsten, de bewaartermijnen, de voorwaarden voor eventuele verstrekking van de gegevens aan de Gebruikers/Deelnemers en de ruimte die Effectory heeft voor het maken van afspraken met individuele Gebruikers/Deelnemers over de verwerkersovereenkomst.

ICTU is dus samen met de gebruiker/deelnemer medeverwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in InternetSpiegel. Vanwege die centrale rol van ICTU dient ICTU te worden aangemerkt als gemeenschappelijke verantwoordelijke voor de verwerkingen binnen InternetSpiegel, d.w.z. dat ICTU als centrale verwerkingsverantwoordelijke een aantal verantwoordelijkheden van de gebruikers/deelnemers overneemt, zoals de verantwoordelijkheid voor de beveiliging van de gegevens, de keuze van Effectory als verwerker en het toezicht daarop, de vaststelling en handhaving van de bewaartermijnen, en de afhandeling en melding van datalekken. De onderlinge verantwoordelijkheden dienen conform art. 26 AVG te worden vastgelegd in een document tussen ICTU en de gebruikers/deelnemers. Hiervoor heeft ICTU de Algemene Voorwaarden Verwerking Persoonsgegevens InternetSpiegel opgesteld. Deze kan worden aangemerkt als een regeling in de zin van artikel 26 AVG.

Effectory is dus verwerker voor de verwerking van persoonsgegevens in het kader van de onderzoeken, zowel ten behoeve van ICTU als ten behoeve van de gebruikers/deelnemers.

Moet onze organisatie zelf nog een DPIA doen?

Dat hoeft niet, maar het mag wel. Een DPIA is verplicht als het onderzoek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de medewerkers. In het algemeen zijn die risico’s verwaarloosbaar bij medewerkersonderzoek dat wordt uitgevoerd conform de waarborgen die in InternetSpiegel zijn genomen, zowel aan de voorkant (pseudonimisering), tijdens het onderzoek (beveiliging) als bij de rapportage (aggregatie van resultaten). Alleen als – met toestemming van ICTU – van deze werkwijze wordt afgeweken, is het nodig dat de risico’s opnieuw worden beoordeeld. Dat geldt ook als de omstandigheden van het onderzoek aan de kant van de organisatie mogelijk risicovol zijn (bijv. een kleine organisatie, of het stellen van gevoelige vragen).

Reageer