Data protection impact assessment (DPIA)
Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd.
Verplichte DPIA
In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.
Dit moet u als verwerkingsverantwoordelijke zelf bepalen. Is er waarschijnlijk een hoog privacyrisico? Dan mag u niet beginnen met het verwerken van gegevens voordat u een DPIA (en indien nodig een voorafgaande raadpleging) heeft uitgevoerd.
Risico bepalen
De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
De Autoriteit Persoonsgegevens (AP) heeft daarnaast een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint.
De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.
U kunt voor deze beoordeling gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.
DPIA uitvoeren
Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven.
Zoals een systematische beschrijving van de gegevensverwerking die u gaat doen, een beoordeling van de privacyrisico’s en de maatregelen om de risico’s aan te pakken.
Let overigens op dat een voorgenomen gegevensverwerking in elk geval rechtmatig is.
Inzicht door DPIA
Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen. En in de maatregelen die u moet nemen om de risico’s af te dekken. Het is aan u om die maatregelen ook daadwerkelijk te treffen. Of eventueel een voorafgaande raadpleging aan te vragen.
Als er een functionaris gegevensbescherming (FG) is, moet u bij het uitvoeren van een DPIA het advies van de FG inwinnen. Dit geeft extra zekerheid dat de DPIA voldoende zicht geeft op de risico’s en er voldoende maatregelen worden getroffen om deze af te dekken.
Risicobeperking lukt niet
Komt uit uw DPIA naar voren dat de verwerking van persoonsgegevens die u gaat doen een hoog risico oplevert? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken?
Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.
Guidelines DPIA
De Europese privacytoezichthouders hebben Guidelines on Data Protection Impact Assessment gepubliceerd, die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.
Periodieke DPIA
Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet altijd blijven monitoren of uw gegevensverwerking verandert. Bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken.
In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld 1 keer per 3 jaar.
Bekijk binnen het onderwerp Data protection impact assessment (DPIA)
Nieuws
-
Nieuwsbericht / 6 augustus 2020Update onderzoek AP naar smart cities
-
Nieuwsbericht / 27 november 2019Definitieve DPIA-lijst beschikbaar
-
Nieuwsbericht / 7 oktober 2019Waarborg privacy in de ontwikkeling van smart cities