Review DPIA van Het Boek van Sinterklaas

Het is niet eenvoudig om Data Protection Office (DPO) van de Sint te zijn: ieder jaar rond deze tijd zijn er weer bijdehante posts over de GDPR compliance van Het Boek van Sinterklaas.

Als DPO zijnde wil ik dit nu eindelijk eens voor zijn. Het betreft hier uiteraard een verwerking die reeds lange tijd voor de GDPR werd ingevoerd maar, de adviezen van de EDPB indachtig, dit neemt niet weg dat het de hoogste tijd was om een DPIA uit te voeren op het Boek van Sinterklaas (hierna: Het Boek). Tenslotte is de GDPR ruim vijf jaar van kracht dit jaar.

De Data Protection Impact Assessment (DPIA) zelf is uitgevoerd door Privacy Piet binnen het compliance team van de Sint. Bij het beoordelen van deze DPIA baseren we ons daarnaast op informatie van “Coole Piet Diego” , die een liederlijke uiteenzetting deed over Het Boek, en het onderzoek uitgevoerd door Bart Peeters waarbij hij toegang heeft gekregen tot Het Boek van de Sint.

De volledige DPIA is om vertrouwelijkheidsredenen niet beschikbaar. Maar hieronder kun je wel de review vinden uitgevoerd door Privacy Piet van de DPIA.

1. Toepassingsgebied en noodzaak DPIA

Privacy Piet heeft terecht vastgesteld dat de GDPR van toepassing is, en dat een DPIA noodzakelijk is. Alle betrokkenen zijn EU ingezetenen wiens gegevens opgenomen zijn in een gestructureerd bestand. Ook aan de criteria voor de uitvoering van een DPIA is ruimschoots voldaan: het betreft hier de verwerking van enorme hoeveelheden gegevens van een kwetsbare doelgroep namelijk kinderen, waarbij er sprake is van systematisch en uitgebreide beoordeling van persoonlijke kenmerken met significante gevolgen voor de betrokkene.

2. Noodzaak verwerking

Uit de DPIA blijkt de noodzaak van Het Boek een uitgemaakte zaak voor de verwerkingsverantwoordelijke (de Sint), “hoe kan ik anders weten waar ik welke cadeau’s moet gaan bezorgen?”. Hierbij verwijst de Sint echter naar de uitkomst van de verwerking en vastlegging in Het Boek. Een klassieke fout waarbij men niet over de noodzaak van het oorspronkelijk registreren nadenkt maar vooral naar de uitkomst van de registratie. Bij navraag verwijst de Sint naar de noodzaak om aan jonge kinderen het belang van discpline bij te brengen, iets waar de Sint in samenspraak met ouders een grote rol in speelt.

Het is niet aan de DPO om de effectiviteit van dit instrument (“de Sint”) te beoordelen. Gelet op de langdurige traditie, de medewerking van de ouders en de redelijke verwachtingen van de betrokkenen (zie hoofdstuk “mening betrokkenen”) is de noodzaak voldoende onderbouwd.

3. Grondslag verwerking

In de DPIA worden de verschillende wettelijke grondslagen uit art. 6 overlopen. De DPIA heeft niet overwogen of de gegevens mogelijk bijzondere categorieën zijn uit art. 9 of 10. De “goed” of “fout” indicatie kan in het bijzonder wijzen op strafrechtelijke gegevens. Naar aanleiding van een gesprek met de Sint is besloten dat de goed/stout beoordeling aanzienlijk breder is dan louter de context van het strafrecht.

We besluiten dat er weliswaar sprake is van gevoelige gegevens (betreffende kinderen) maar die vallen niet onder de specifieke context van artikels 9 of 10.

De DPIA concludeert dat gerechtvaardigd belang de enige mogelijke grondslag biedt, in deze specifiek in de context van de belangen van derden (ouders) en de kinderen zelf. De impliciete toestemming die afgeleid kan worden uit het handelen van de ouders (meezingen met liedjes, schoentje laten zetten, etc.) biedt onvoldoende rechtszekerheid en is niet voldoende onderbouwd in functie van het verantwoordingsbeginsel. Daarnaast wordt de Sint traditioneel weliswaar erkend als een algemeen belang met grote maatschappelijke relevantie, maar de huidige werkwijze rond Het Boek is niet te herleiden tot welomgeschreven en toegekende wettelijke taken. Mogelijk heeft de wetgever hier nagelaten een gepaste wet te voorzien.

Voor gerechtvaardigd belang ontbreekt een gepaste belangenafweging (hierna verder benoemd met de Engelse term LIA of legitimate interest assessment), in dit kader specifiek relevant omdat artikel 6.1.f specifiek melding maakt van de gegevens van kinderen. Impliciet zijn de verschillende onderdelen van een LIA echter ook onderdeel van een DPIA (zie hoofdstukken rond transparantie, doeleinde, proportionaliteit, gepaste maatregelen en mening van de betrokkene verder in dit document). De gepastheid van deze rechtsgrond wordt dan ook mee beoordeeld in het afsluitende advies van de DPO bij deze DPIA.

4. Behoorlijkheid, transparantie

De DPO kan zich vinden in de conclusie van de DPIA. Kinderen zijn goed op de hoogte van de doeleinden en redenen voor verwerking, en welke gegevens er over hen verwerkt worden. Via de ouders, scholen, en vele uitingen in andere media worden kinderen goed geïnformeerd. Dit is overigens een mooi voorbeeld van hoe een privacyverklaring niet noodzakelijk geschreven moet zijn om relevante informatie aan de betrokkene over te dragen, ook is de gekozen werkwijze goed gericht op de doelgroep: kinderen van die leeftijd kunnen immers niet of amper lezen.

Dit maakt het echter moeilijk om vast te stellen of de informatie uit art. 13/14 voldoende is, wat wij registeren als een mogelijk risico.

5. Doelbinding, minimalisatie, opslagbeperking

Het doeleinde voor de verwerking is duidelijk en specifiek. De bijgehouden gegevens in Het Boek zijn de minimaal noodzakelijke gegevens (enkel naam, en informatie over goed of stoute acties). Verder wordt de informatie ieder jaar volledig gewist, wat gelet op de context een gepaste termijn lijkt.

6. Juistheid

De juistheid van de gegevens is moeilijk te beoordelen, en de DPIA gaat hier te makkelijk overheen. De verstrekte informatie door de Sint zoals opgenomen in de DPIA is in het beste geval “vaag” te noemen. Volgens de Sint verschijnt de relevante informatie namelijk vanzelf in zijn boek omdat het boek “magisch” is. Eventuele toevoegingen door de Sint gebeuren “omdat hij weet wat kinderen doen”.

Dit betekent concreet dat de beoordeling goed/stout niet te toetsen is. We zien hier significante risico’s omdat niet vast te stellen is wat de bron van de informatie is, of er bepaalde vooringenomenheid in de data zit, en welke criteria juist worden gebruikt om te bepalen of een actie door een kind goed of stout is. Gelet op de mogelijke gevolgen voor de hoeveelheid cadeau’s of, in extreme gevallen, zelfs het volledig ontbreken van cadeau’s moet hier meer duidelijkheid rond bestaan.

7. Rechten betrokkenen

Nog los van de rechten zelf is het proces om rechten uit te oefenen zeer handmatig maar wel goed bekend bij alle betrokkenen. Men moet namelijk een brief naar Sinterklaas sturen waarna het verzoek wordt behandeld. De Sint geeft geen letterlijke kopieën uit Het Boek, maar geeft wel een getrouwe weergave van de inhoud en de basis voor de conclusie “braaf” of “stout”. Hoe de Sint omgaat met rectificatie-, verwijder- of beperkingsverzoeken is niet bekend. Deze situatie heeft zich nog niet eerder voorgedaan en zal ad hoc bekeken worden wat opnieuw een mogelijk risico inhoudt.

Het recht op bezwaar is niet van toepassing, de Sint beroept zich op zwaarwegend belangen van het bijhouden van het boek. Een eventueel bezwaar zou ook leiden tot het niet ontvangen van cadeautjes wat een grote impact op de betrokkene zou hebben.

8. Technische en Organisatorische maatregelen.

Dit betreft een onderdeel van de DPIA waar grote tekortkomingen zijn vastgesteld. Uit de DPIA blijkt dat het boek in beheer is bij de Sint zelf. Er is een duidelijk beleid dat enkel de Sint het boek mag raadplegen, maar dit beleid wordt op geen enkele manier afgedwongen. Onder het personeel is het beleid overigens wel goed bekend, zelfs zonder dat dit op papier staat.

Uit diverse geraadpleegde video’s die online beschikbaar zijn blijkt echter dat de Sint Het Boek regelmatig kwijt is, en dat de Sint soms toegang verschaft aan derden op simpel verzoek zonder duidelijk doeleinde. Het authenticatie- en autorisatieproces beperkt zich tot (dixit DPIA) “het boek pakken en openslaan”.

We zien hier significantie risico’s en groot risico op datalekken.

9. Mening betrokkenen

De DPIA ontbrak het onderdeel “mening van betrokkenen”. Nochtans is dit een cruciaal onderdeel van een juiste DPIA, in het bijzonder bij een verwerking met een dergelijk grote maatschappelijke impact. Toeval wilt dat de DPO recent aanwezig was op een “voorleesmiddag” in de kleuterschool, bij uitstek de doelgroep van deze verwerking. We hebben van de gelegenheid gebruik gemaakt om zelf een (niet-representatieve) steekproef te nemen bij de doelgroep aan de hand van enkele vragen.

Bij navraag was iedere betrokkene op de hoogte van de verwerking en het doeleinde. Niemand had bezwaar tegen de verwerking, al is dit mogelijk ook gelegen in het feit dat iedere betrokkene er vanuitging dat hij/zij “braaf” was geweest. Enig doorvragen over de noodzaak en/of het mogelijk schrappen van de verwerking en de oorsprong van de data via “magie” leidde tot enorme consternatie bij zowel de betrokkenen als de aanwezige leerkracht.

We concluderen dat de verwerkingsactiviteiten aansluiten bij de redelijke verwachtingen van de betrokkene.

10. Advies van DPO:

We zien meerdere hoge risico’s bij de deze verwerking, we denken hierbij specifiek aan het gebrek aan duidelijkheid omtrent de oorsprong van de gegevens (“magie”), objectieve criteria voor de beslissing goed/stout, en het ontbreken van fundamentele maatregelen ter bescherming van de gegevens. We wijzen er ook op dat het belangrijk zal zijn om vast te stellen op welke wijze de AI Act van toepassing zal zijn op Het Boek, in het bijzonder in hoeverre een verwerking gebaseerd op magie binnen het toepassingsgebied valt.

Gelet op de risico’s en maatschappelijke impact van deze verwerking is het ook noodzakelijk om een voorafgaande raadpleging uit te voeren door een gegevensbeschermingsautoriteit, waarbij de Spaanse AEPD de aangewezen Leidende Toezichthouder is.

De DPO beseft dat het in de tussentijd niet wenselijk is om de verwerking te onderbreken tot er meer duidelijkheid is of de risico’s zijn behandeld. De DPO doet een dringende oproep om in ieder geval zo snel mogelijk betere maatregelen ter bescherming van de gegevens te nemen in afwachting van de beoordeling door de AEPD.

Klik op de volgende links voor meer informatie over onze opleidingen DPIA/DTIA, of om mee op de hoogte blijven van recente ontwikkelingen via onze Stay Tuned formule.

— Peter “Privacy Piet” Berghmans