De gegevensbeschermingseffectbeoordeling (DPIA) in de praktijk

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 5 in een reeks blogs over de nieuwe privacywetgeving.

DE GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA) IN DE PRAKTIJK | Valegis AdvocatenDe nieuwe Algemene Verordening Gegevensbescherming (AVG) of, in het Engels, General Data Protection Regulation (GDPR) brengt verschillende nieuwe verplichtingen met zich mee. Eén daarvan is het uitvoeren van een gegevensbeschermingseffectbeoordeling, ook wel data protection impact assessment (DPIA) genoemd. In deze blog leest u wat een DPIA eigenlijk inhoudt en wanneer en door wie een dergelijk assessment moet worden uitgevoerd.

Wat is een DPIA?

Een gegevensbeschermingseffectbeoordeling is een proces dat de verantwoordelijke (de (rechts)persoon die het doel van en de middelen voor de gegevensverwerking vaststelt) doorloopt om de risico’s van de verwerking van persoonsgegevens in kaart te brengen en aan de hand daarvan maatregelen te nemen om de gesignaleerde risico’s aan te pakken. Een DPIA is, ook als het uitvoeren daarvan strikt genomen misschien niet verplicht is (waarover hieronder meer), een goede manier om te documenteren dat uw organisatie passende maatregelen neemt om de bescherming van persoonsgegevens te waarborgen conform de AVG en om erachter te komen of u nog meer zou kunnen of zelfs moeten doen.

Een DPIA moet in ieder geval het volgende inhouden:

  • Een beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden
  • Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen
  • Een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
  • De beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat aan de AVG is voldaan

Wanneer moet een DPIA worden uitgevoerd?

Op grond van de AVG is een verantwoordelijke verplicht om een gegevensbeschermingseffectbeoordeling uit te voeren als de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat is natuurlijk nogal een vaag begrip. Wanneer is er dan sprake van zo’n risico? Daar zijn geen harde regels voor: als verantwoordelijke moet u dat steeds zelf beoordelen. Om u daarbij een handje te helpen, geeft de Artikel 29 Werkgroep (dat is een adviesorgaan bestaande uit vertegenwoordigers van de Autoriteit Persoonsgegevens van alle EU-lidstaten) gelukkig wel een richtlijn. Als de verwerking van persoonsgegevens aan twee van de onderstaande negen criteria voldoet, dan kunt u ervan uitgaan dat u een DPIA moet uitvoeren:

  1. Er is sprake van evaluatie of scoretoekenning op basis van de verwerkte persoonsgegevens (bijvoorbeeld kredietwaardigheidsonderzoek door een financiële instelling)
  2. De verwerking is gericht op geautomatiseerde besluitvorming met een rechtsgevolg of vergelijkbaar wezenlijk gevolg voor de betrokkene (bijvoorbeeld profilering die kan leiden tot uitsluiting of discriminatie)
  3. De verwerking wordt gebruikt voor stelselmatige monitoring (bijvoorbeeld cameratoezicht in een openbare ruimte, of het monitoren van surfgedrag op het internet door middel van tracking cookies)
  4. Er worden gevoelige gegevens of gegevens van zeer persoonlijke aard verwerkt (bijvoorbeeld medische dossiers)
  5. Er wordt op grote schaal gegevens verwerkt (waarbij de grootte van het aantal betrokkenen (relatief of absoluut), het volume van gegevens of het bereik van de verschillende soorten gegevens, de duur of het permanente karakter van de verwerking en de geografische omvang van belang zijn)
  6. Er is sprake van matching of samenvoeging van datasets (er wordt een combinatie gemaakt van twee verschillende bestanden van gegevens die voor verschillende doeleinden zijn verzameld)
  7. Het gaat om gegevens van kwetsbare betrokkenen (bijvoorbeeld kinderen, bejaarden, patiënten of geestelijk gehandicapten)
  8. Er is sprake van innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen (er wordt een nieuwe technologie gebruikt die voorheen nog niet beschikbaar was)
  9. Als gevolg van de verwerking zelf kunnen betrokkenen een recht niet uitoefenen of geen beroep doen op een dienst of overeenkomst (bijvoorbeeld weigering van een lening na kredietwaardigheidsonderzoek)

Als uw organisatie begint met een bepaalde verwerking die op basis van bovenstaande criteria waarschijnlijk een hoog risico voor de betrokkene inhoudt, dan moet u waarschijnlijk voor die verwerking een DPIA uitvoeren. Dat moet gebeuren voordat u met die verwerking begint, het liefst al vroeg in de ontwikkelingsfase. Als u dat gedaan hebt en er verandert later iets aan de verwerking, dan moet u dat bovendien op dat moment wéér doen. Zelfs als er niets verandert, kan het noodzakelijk zijn om een gegevensbeschermingseffectbeoordeling periodiek opnieuw uit te voeren, zodat u kunt controleren of alles nog goed gaat en of er geen zaken verbeterd zouden kunnen of moeten worden met de kennis van nu en de huidige stand van de techniek.

Zoals hierboven ook al opgemerkt is het een goed idee om alle verwerkingen van persoonsgegevens, dus ook bestaande verwerkingen die niet noodzakelijkerwijs een hoog risico voor de betrokkenen inhouden op basis van de negen criteria, periodiek te evalueren. Op die manier wordt het inzichtelijk of uw organisatie aan de AVG voldoet en ook blijft voldoen. Hoe vaak dat nodig is, is afhankelijk van de grootte van de organisatie en de omvang en aard van de gegevensverwerkingen. Een nagelstudio met een klein klantenbestand zal dat natuurlijk niet even vaak en intensief hoeven doen als een ziekenhuis met miljoenen patiënten.

Wie voert een DPIA uit?

Het is de taak van de verantwoordelijke om te zorgen dat een gegevensbeschermingseffectbeoordeling wordt uitgevoerd als en wanneer dat noodzakelijk is. De verantwoordelijke kan de DPIA zelf uitvoeren (waarbij een eventuele functionaris gegevensbescherming om advies moet worden gevraagd), maar kan dit ook laten doen door een eventuele verwerker of door een externe partij. Wat daarin de beste keus is, is afhankelijk van de mogelijkheden en het kennisniveau van de verantwoordelijke en de omvang en complexiteit van de verwerking.

Ten slotte

Hebt u nog vragen over dit onderwerp? Het privacyrecht team van Valegis Advocaten staat altijd voor u klaar.

Dit artikel is geschreven door Daphne Jerphanion.

De functionaris voor Gegevensbescherming; rol, taken en bevoegdheden - Valegis AdvocatenDe Autoriteit Persoonsgegevens en de boetebevoegdheid | Valegis Advocaten