#

DPIA : wat is een DPIA en wanneer moet je een DPIA doen?

Een Data Protection Impact Assessment (DPIA) is een hulpmiddel om vooraf de privacyrisico’s van een verwerking in kaart te brengen en maatregelen te nemen om de risico’s te beperken.

De DPIA is onder andere onderdeel van het zogenaamde “Privacy By Design”. Bij de ontwikkeling van producten of diensten kan een DPIA helpen om de risico’s en de impact voor betrokkene in kaart te brengen en na te denken over manieren waarop het risico en de impact kleiner gemaakt kunnen worden.

De impact kan bijvoorbeeld kleiner gemaakt worden door ervoor te kiezen om minder gegevens te verwerken en het risico door bijvoorbeeld minder mensen toegang te geven tot de gegevens en extra beveiligingsmaatregelen te nemen.

Altijd een DPIA?

Organisaties hoeven niet voor elke verwerking een DPIA uit te voeren. Jullie hoeven geen DPIA uit te voeren wanneer de verwerking:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere verwerking waarvoor al een DPIA is uitgevoerd.
  • Op een toekomstige lijst van de AP staat van verwerkingen waarvoor een DPIA niet verplicht is. 

Wanneer levert een verwerking een hoog risico op?

Een DPIA is alleen verplicht als een verwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen. Als vuistregel is een DPIA nodig als een verwerking aan twee of meer van de onderstaande negen criteria voldoet:

1. Beoordelen van mensen of voorspellen van gedrag op basis van persoonskenmerken

Het gaat dan bijvoorbeeld om profiling en het maken van voorspellingen aan de hand van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

2. Geautomatiseerde beslissingen

Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen (bijvoorbeeld wel of niet een overeenkomst kunnen sluiten, iets kunnen bestellen of na levering kunnen betalen aan de door een postcode) of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.

3. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

4. Gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. Grootschalige gegevensverwerkingen

De GDPR / AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’ maar denk aan de volgende criteria om te bepalen of hiervan sprake is:

  • De hoeveelheid mensen van wie gegevens worden verwerkt;
  • De hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • De tijdsduur van de gegevensverwerking;
  • De geografische reikwijdte van de gegevensverwerking.

6. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

8. Gebruik van nieuwe technologieën

De GDPR / AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacy risico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

9. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:

  • Een recht niet kunnen uitoefenen of;
  • Een dienst niet kunnen gebruiken of;
  • Een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

Het kan overigens zo zijn dat een verwerking aan meer dan twee criteria voldoet, maar er toch goede redenen zijn om tot de conclusie te komen dat de verwerking geen hoog risico inhoudt. Deze redenen moeten wel goed gedocumenteerd worden. Het kan ook zo zijn dat er aan geen van de criteria wordt voldaan, maar de verwerking toch een hoog risico oplevert. Dan is het verstandig om toch een DPIA uit te voeren. Kortom, het is goed om naast deze 9 criteria goed na te blijven denken en de reden om wel of geen DPIA uit te voeren goed op papier te zetten.

Hoog risico? Gratis Pre-DPIA

Op onze website kan je gratis een pre-DPIA doen om te bepalen of een verwerking een hoog risico oplevert. Als dat zo is, dan moet je een DPIA uitvoeren.

Periodieke DPIA?

Het is de bedoeling om periodiek te controleren of een verwerking inderdaad conform de uitkomsten van de DPIA wordt uitgevoerd. Daarnaast is het belangrijk om regelmatig de DPIA zelf te controleren om te kijken of er omstandigheden zijn veranderd waardoor de uitkomst misschien anders zou moeten zijn.

Advies inwinnen

Bij het uitvoeren van een DPIA kan het nodig of raadzaam zijn om advies bij verschillende partijen in te winnen, bijvoorbeeld van de AP, FG, en (vertegenwoordigers van) de betrokkenen.

Als er advies gevraagd is en van dit advies wordt afgeweken, dan is het belangrijk om vast te leggen waarom er van het advies is afgeweken. Een organisatie moet ook vastleggen waarom het naar jullie mening niet nodig was om de betrokkenen om hun mening te vragen.

Wat als we geen DPIA uitvoeren?

Als niet aan de eisen van de DPIA wordt voldaan, kan dat een boete als gevolg hebben. Bijvoorbeeld als er geen DPIA wordt uitgevoerd terwijl dat wel verplicht is, als een DPIA niet correct wordt uitgevoerd of als de bevoegde toezichthoudende autoriteit niet wordt geraadpleegd terwijl dat wel vereist is.

Privacy Management Software

Onze privacy management software heeft een DPIA module gekoppeld aan het verwerkingsregister. Zo weet je bij iedere verwerking die je invoert gemakkelijk of er een DPIA nodig is. Mocht dat zo zijn, dan kan je gelijk een DPIA uitvoeren en opslaan. Zo kan je aantoonbaar voldoen aan de verplichting om een DPIA uit te voeren als dat nodig is.

Gerelateerde berichten