Inmiddels hebben wij al diverse onderdelen uit de Algemene verordening gegevensbescherming (AVG) behandeld, zoals het incidentenregister en de privacyverklaring. Heb jij een blog in de AVG-reeks gemist? Je vindt alle blogs hier terug. Vandaag is de Data Protection Impact Assessment uit de AVG aan de beurt. Naast de AVG bevatten de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) een verplichting om een DPIA uit te voeren, maar dat laten wij buiten beschouwing.
Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA), of in het Nederlands een gegevensbeschermingseffectbeoordeling (GEB), is een tool om de privacyrisico’s (zoals de kans op schade) van een bepaalde verwerking in kaart te brengen. Een organisatie voert een DPIA uit bij een gegevensverwerking die waarschijnlijk een hoog risico voor de betrokkenen oplevert voordat zij begint met verwerken. Verricht een DPIA dus zo vroeg mogelijk in de ontwerpfase van de verwerking om niet voor onaangename verrassingen te komen staan.
De reikwijdte van een DPIA is breder dan privacy en informatiebeveiliging. Een organisatie beoordeelt bij een DPIA het risico van een bepaalde verwerking voor alle rechten en vrijheden van betrokkenen die in het Handvest van de grondrechten van de Europese Unie (het EU-Handvest) genoemd worden, zodat de organisatie maatregelen kan nemen om deze risico’s weg te nemen of te verminderen. Naast het recht op bescherming van persoonsgegevens kun je dan denken aan het recht op vrijheid van meningsuiting en het recht op vrijheid van gedachte, geweten en godsdienst.
Wanneer moet jouw organisatie een DPIA uitvoeren?
Een organisatie moet zelf inschatten of een verwerking waarschijnlijk een hoog risico oplevert. De AVG, European Data Protection Board (EDPB) en Autoriteit Persoonsgegevens (AP) geven daarbij richting.
Algemene verordening gegevensbescherming
In art. 35 AVG staan drie verwerkingen waarbij in ieder geval sprake is van hoog risico, wat betekent dat een DPIA verplicht is. Het gaat dan om:
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen op basis van geautomatiseerde verwerking, zoals profiling, waarop besluiten gebaseerd worden die gevolgen hebben voor deze personen;
Grootschalige verwerking van bijzondere of strafrechtelijke gegevens;
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimte, zoals cameratoezicht op straat.
European Data Protection Board
De (voorganger van de) EDPB heeft negen criteria genoemd in de Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 die van belang zijn voor de vraag of een DPIA moet worden uitgevoerd. Als een verwerking aan minimaal twee van deze criteria voldoet, is een DPIA volgens de EDPB verplicht. De criteria zijn:
Evaluatie of scoretoekenning (inclusief profilering);
Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
Stelselmatige monitoring;
Gevoelige gegevens of gegevens van zeer persoonlijke aard;
Op grote schaal verwerkte gegevens (hierbij is het volume, aantal betrokkenen, de duur en de geografische reikwijdte van belang);
Matching of samenvoeging van datasets;
Gegevens met betrekking tot kwetsbare betrokkenen, zoals kinderen, patiënten en in sommige gevallen werknemers;
Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen;
De situatie waarin als gevolg van de verwerking zelf de betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.
Autoriteit Persoonsgegevens
De AP heeft op basis van de criteria van de EDPB een besluit gepubliceerd met (op het moment van het schrijven van deze blog) zeventien punten waarbij het uitvoeren van een DPIA in ieder geval verplicht is. Het gaat dan om:
Grootschalig of stelselmatig heimelijk onderzoek;
Zwarte lijsten en verwerking van strafrechtelijke gegevens;
Grootschalige of stelselmatige fraudebestrijding;
Grootschalig of stelselmatig verwerken van creditscores;
Grootschalige of stelselmatige verwerking van financiële situatie;
Grootschalige of stelselmatige verwerking van genetische persoonsgegevens;
Grootschalige verwerking van gezondheidsgegevens, zoals in ziekenhuizen;
Het delen van gegevens in of door samenwerkingsverbanden;
Grootschalig of stelselmatig cameratoezicht van openbaar toegankelijke ruimten;
Grootschalige of stelselmatige verwerking van flexibel cameratoezicht, zoals camera’s op de helm van brandweerpersoneel;
Grootschalige of stelselmatige controle werknemers, zoals het controleren van internetgebruik;
Grootschalige of stelselmatige verwerking van locatiegegevens;
Grootschalige of stelselmatige verwerking van communicatiegegevens;
Grootschalige of stelselmatige verwerking met behulp van Internet of Things (IoT) toepassingen;
Systematische en uitgebreide profilering;
Grootschalige of stelselmatige observatie en beïnvloeding van gedrag;
Grootschalige of stelselmatige verwerking van biometrische gegevens (zie ook art. 29 UAVG).
De toezichthouder kan deze lijst aanpassen en de punten zijn niet uitputtend of limitatief. Overigens moet een verwerking nog steeds aan de beginselen van rechtmatige gegevensverwerking voldoen. Als de DPIA positief uitpakt of de risico’s voldoende zijn gemitigeerd, maar de organisatie geen grondslag voor de verwerking heeft, mag dus nog steeds niet verwerkt worden.
Uitvoering van een DPIA
Er is geen vast format voor een DPIA, maar bij de uitvoering moet een organisatie in ieder geval aandacht besteden aan de volgende basisvereisten:
Een systematische beschrijving van de verwerking die de organisatie wil gaan doen en de doeleinden hiervan. Gaat het om de grondslag gerechtvaardigd belang? Verwerk dit expliciet in de beschrijving;
Een beoordeling van de noodzaak en de proportionaliteit van de verwerking gelet op deze doeleinden;
Een beoordeling van de risico’s voor de personen van wie jouw organisatie persoonsgegevens wil verwerken;
De beoogde maatregelen waartoe is besloten om de risico's aan te pakken en aan te tonen dat de organisatie aan de AVG voldoet.
In sommige gevallen moet advies worden ingewonnen over de DPIA. Afhankelijk van de omstandigheden zal dit doorgaans bij de functionaris voor gegevensbescherming (FG), de verwerker en/of de betrokkenen zijn. Het is vaak ook aan te raden om de IT-afdeling en een advocaat te raadplegen over de DPIA. Alle specialismen zijn nuttig om erbij te betrekken.
Er zijn diverse modellen beschikbaar, zoals het Model DPIA Rijksdienst, maar een organisatie mag ook een eigen model hanteren. Verder biedt de Franse toezichthouder een tool aan voor het uitvoeren van een DPIA. Het hangt van de organisatie af welk format of welk model het beste past. Het is ook toegestaan om een DPIA uit te besteden aan een externe partij. De organisatie blijft dan wel eindverantwoordelijk.
Restrisico? Voorafgaande raadpleging AP
Als jouw organisatie na het uitvoeren van de DPIA inschat dat er restrisico’s zijn, dan moet de procedure van de voorafgaande raadpleging uit art. 36 AVG worden gevolgd. De AP beoordeelt dan de voorgenomen verwerking en komt doorgaans met een positief of negatief advies. Bij een negatief advies is de verwerking niet toegestaan.
Wanneer is geen DPIA nodig?
Geen DPIA is nodig als de gegevensverwerking:
Waarschijnlijk geen hoog risico oplevert voor de betrokkenen;
Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd;
Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. De toezichthouder kan oordelen dat er toch een DPIA uitgevoerd moet worden;
Op de lijst staat van aangewezen verwerkingen. De AP heeft de mogelijkheid om een lijst te maken met verwerkingen waarvoor een DPIA niet nodig is, maar deze is er (nog) niet.
Ook als het uitvoeren van een DPIA niet verplicht is, kan het nuttig zijn om er toch één uit te voeren. Je hebt als organisatie dan goed in beeld welke risico’s er bij een bepaalde verwerking zijn en kunt snel beoordelen welke maatregelen genomen moeten worden om de risico’s tot een minimum te beperken.
Wat als er veranderde omstandigheden zijn?
Jouw organisatie heeft een DPIA uitgevoerd en maatregelen genomen om de risico’s die daaruit voortkomen weg te nemen. Wat nu als er na een tijdje veranderde omstandigheden zijn, zoals het gebruikmaken van een nieuwe technologie of de context van de verwerking die anders is? Dan moet de organisatie een nieuwe DPIA uitvoeren. Een DPIA is dus een continu proces en geen eenmalig iets. De EDPB onderschrijft dit, aangezien de toezichthouder aangeeft dat een DPIA iedere drie jaar geëvalueerd moet worden.
Er is nog veel meer te bespreken als het gaat om DPIA’s, maar dat gaat de omvang van deze blog te buiten. Heeft jouw organisatie ondersteuning nodig bij de uitvoering van een DPIA? Of twijfel jij of een DPIA nodig is bij een voorgenomen verwerking? Onze specialisten helpen graag!
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).