DPIA
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie een organisatie gegevens wil verwerken).
Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.
Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Verplichte DPIA
In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dit moet de verwerkingsverantwoordelijke zelf bepalen. U mag in dat geval niet beginnen met het verwerken van gegevens voordat u een DPIA (en indien nodig een voorafgaande raadpleging) heeft uitgevoerd.
Risico bepalen
De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt ;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)
De Autoriteit Persoonsgegevens heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.
U kunt voor deze beoordeling gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.
Een DPIA uitvoeren
Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Zoals een systematische beschrijving van de gegevensverwerking die u gaat doen, een beoordeling van de privacyrisico’s en de maatregelen om de risico’s aan te pakken. Let overigens op dat een voorgenomen gegevensverwerking in elk geval rechtmatig is.
Inzicht
Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen, en in de maatregelen die de verantwoordelijke moet nemen om de risico’s af te dekken. Het is aan de verantwoordelijke zelf om die maatregelen ook daadwerkelijk te treffen (of eventueel een voorafgaande raadpleging aan te vragen).
Als er een functionaris voor de gegevensbescherming (FG) is, dan moet de verantwoordelijke bij het uitvoeren van een DPIA het advies van de FG inwinnen. Dit geeft extra zekerheid dat de DPIA voldoende zicht geeft op de risico’s en er voldoende maatregelen worden getroffen om deze af te dekken.
Risicobeperking lukt niet
Komt uit uw DPIA naar voren dat de verwerking van persoonsgegevens die u gaat doen een hoog risico oplevert? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.
Guidelines DPIA
De Europese privacytoezichthouders hebben in oktober 2017 de (definitieve) Guidelines on Data Protection Impact Assessment gepubliceerd die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.
Periodieke DPIA
Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet altijd blijven monitoren of uw gegevensverwerking verandert. Bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken.
In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld 1 keer per 3 jaar.