Data protection impact assessment (DPIA)

Alle antwoorden op mijn vragenVragen over DPIA

• In welke gevallen moet ik een DPIA uitvoeren?

  Als verantwoordelijke moet u een data protection impact assessment (DPIA) uitvoeren wanneer uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Dit moet u zelf bepalen. De volgende criteria kunnen u hierbij helpen.

  De Algemene verordening gegevensbescherming (AVG) geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

  De Autoriteit Persoonsgegevens heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. Deze lijst is niet uitputtend.

  Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval zult u moeten beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen. U kunt hierbij gebruik maken van de 9 criteria voor een DPIA die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.

  Meer informatie

  • DPIA-checklist: starten nieuwe verwerking
  • DPIA-checklist: verwerkingen gestart voor 25 mei 2018
• Wat zijn de criteria van de AP voor een verplichte DPIA?

  De Autoriteit Persoonsgegevens heeft een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint.

  Let op: Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft. Heeft u geen geldige grondslag, dan mag u de persoonsgegevens niet verwerken ongeacht de uitkomsten van een eventuele DPIA.

  Deze lijst is pas echt definitief na afstemming in Europees verband. Deze lijst kan dus nog wijzigen. Ook zal periodiek worden bekeken of de lijst moet worden aangepast.

  Begrippen

  In de lijst van soorten verwerkingen waarvoor een DPIA verplicht is, komen de begrippen ‘grootschalig’, ‘systematisch’ en ‘stelselmatig’ voor. Het begrip grootschalig is door de Europese privacytoezichthouders verder ingevuld.

  Op Europees niveau zijn de begrippen ‘systematisch’ en ‘stelselmatig’ (nog) niet verder ingevuld. Waar in onderstaande lijst wordt gesproken over ‘systematisch’ of  ‘stelselmatig’ moet u denken aan verwerkingen die volgens een bepaald systeem plaatvinden. Een verwerking van persoonsgegevens die is opgenomen in de systemen of in het beleid van de organisatie moet worden beschouwd als een systematische of stelselmatige verwerking. Gegevensverwerkingen die ad hoc of incidenteel plaatsvinden moeten niet beschouwd worden als systematische of stelselmatige verwerkingen.

  AP-lijst van verwerkingen waarvoor DPIA verplicht is:

  1. Heimelijk onderzoek

  Grootschalige en/of systematische verwerkingen van persoonsgegevens waarbij informatie wordt verzameld door middel van onderzoek zonder dat de betrokkene daarvan vooraf op de hoogte te stellen.
  Bijvoorbeeld heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten. Heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een DPIA te worden uitgevoerd).

  2. Zwarte lijsten

  Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag (artikel 33, lid 4, aanhef en onder c, UAVG)of gegevens over slecht betalingsgedrag door organisaties of particulieren worden verwerkt en gedeeld met derden.

  Bijvoorbeeld zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus).

  3. Fraudebestrijding

  Grootschalige en/of systematische verwerkingen van (bijzondere) persoonsgegevens in het kader van fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.

  4. Creditscores

  Grootschalige en/of systematische gegevensverwerkingen die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.

  5. Financiële situatie

  Grootschalige en/of systematische verwerkingen van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.

  6. Genetische persoonsgegevens

  Grootschalige en/of systematische verwerkingen van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, bio-databanken.

  7. Gezondheidsgegevens

  Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid.

  Let op: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren.

  8. Samenwerkingsverbanden

  Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen. Bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.

  9. Cameratoezicht

  Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.

  10. Flexibel cameratoezicht

  Grootschalig en/of systematisch gebruik van flexibel cameratoezicht. Bijvoorbeeld camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.

  11. Controle werknemers

  Grootschalige en/of systematische verwerking van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding.

  12. Locatiegegevens

  Grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen. Bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.

  13. Communicatiegegevens

  Grootschalige en /of systematische verwerking van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.

  14. Internet of things

  Grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.

  15. Profilering

  Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering). Bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.

  16. Observatie en beïnvloeding van gedrag

  Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.

• Wat zijn de criteria van de Europese privacytoezichthouders?

  De Europese privacytoezichthouders hebben 9 criteria opgesteld om te beoordelen of uw voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokken personen. Als vuistregel kunt u hanteren dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 criteria voldoet.

  1. Beoordelen van mensen op basis van persoonskenmerken

  Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

  Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

  2. Geautomatiseerde beslissingen

  Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.

  Voor meer informatie, zie de (Engelstalige) guidelines over profiling van de Europese privacytoezichthouders.

  3. Stelselmatige en grootschalige monitoring

  Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

  4. Gevoelige gegevens

  Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

  5. Grootschalige gegevensverwerkingen

  De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De Europese privacytoezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:

  • de hoeveelheid mensen van wie gegevens worden verwerkt;
  • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • de tijdsduur van de gegevensverwerking;
  • de geografische reikwijdte van de gegevensverwerking.

  Zie ook: wat ziet de AVG als een grootschalige verwerking van persoonsgegevens?

  6. Gekoppelde databases

  Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

  7. Gegevens over kwetsbare personen

  Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

  8. Gebruik van nieuwe technologieën

  De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

  De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen.

  Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

  9. Blokkering van een recht, dienst of contract

  Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:

  • een recht niet kunnen uitoefenen of;
  • een dienst niet kunnen gebruiken of;
  • een contract niet kunnen afsluiten.

  Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

  Verantwoordingsplicht

  Let op: deze 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één of geen van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht.

• Wanneer hoef ik geen DPIA uit te voeren?

  U hoeft geen data protection impact assessment (PIA) uit te voeren wanneer uw gegevensverwerking:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd.
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is.
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen gebruik gemaakt van de mogelijkheid een dergelijke lijst op te stellen.
• Moet ik alsnog een DPIA uitvoeren voor een bestaande verwerking?

  Ja, soms moet u alsnog een data protection impact assessment (DPIA) uitvoeren voor een bestaande verwerking. Dat is als er iets verandert aan het risico van de gegevensverwerking. En de gegevensverwerking vervolgens (na de verandering) een hoog privacyrisico oplevert.

  Geen DPIA nodig

  U hoeft dus niet alsnog een DPIA uit te voeren als een van de volgende 3 situaties van toepassing is:

  • uw gegevensverwerking levert waarschijnlijk géén hoog privacyrisico op;
  • of u heeft voor deze verwerking al eens een voorafgaand onderzoek door de AP laten uitvoeren en de verwerking is in de tussentijd niet veranderd;
  • of de risico's van de verwerking zijn niet veranderd.

  Verwerking verandert

  Uw verwerking verandert bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn.

  Risico verandert

  Verandert het privacyrisico van uw verwerking? Dan kunt u ook verplicht zijn alsnog een DPIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel, waardoor nieuwe kwetsbaarheden kunnen ontstaan.

  Omgeving verandert

  Tot slot kunt u alsnog verplicht zijn een DPIA uit te voeren omdat de organisatie- of maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden of omdat er nieuwe categorieën mensen kwetsbaar worden voor discriminatie.

  Periodieke DPIA

  Vanwege de hierboven genoemde veranderingen is het sowieso aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld een keer per 3 jaar.

• Op welk moment moet ik een DPIA uitvoeren?

  Start met het data protection impact assessment (DPIA) zo vroeg als praktisch gezien mogelijk is in de ontwerpfase van de gegevensverwerking. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen.

  Continu proces

  Let op: dat u de DPIA misschien gaandeweg moet aanpassen, is geen argument om de DPIA uit te stellen of achterwege te laten. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U zult altijd moeten (blijven) monitoren of uw gegevensverwerking wijzigt en of u daarom de DPIA moet bijstellen.

• Hoe beoordeel ik of er een restrisico is?

  In uw data protection impact assessment (DPIA) moet u inschatten of er bij uw voorgenomen verwerking sprake is van hoge restrisico’s op het gebied van privacy. Het gaat dan over ernstige situaties die ondanks uw voorzorgmaatregelen nog steeds kunnen gebeuren.

  Aandachtspunten beoordelen privacyrisico’s

  Bij het beoordelen van restrisico’s in uw DPIA besteedt u in elk geval aandacht aan de volgende punten:

  • Geef aan welke hoge privacyrisico’s uit uw DPIA u niet volledig kunt voorkomen.
  • Vermeld specifiek in welke situatie(s), of met betrekking tot welke onderdelen, er sprake is van een hoog restrisico.
  • Geef aan hoe waarschijnlijk het u lijkt dat de omschreven situatie zich ondanks de maatregelen die u treft toch voordoet. 
  • Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt. 

  Voorafgaande raadpleging bij restrisico’s

  Wanneer er sprake is van restrisico’s bent u verplicht om een voorafgaande raadpleging te vragen aan de Autoriteit Persoonsgegevens.

• Wie moet een DPIA uitvoeren?

  Als verantwoordelijke moet u ervoor zorgen dat er een data protection impact assessment (DPIA) wordt uitgevoerd. U moet hierbij, wanneer van toepassing, aan verschillende partijen advies vragen. U hoeft de DPIA niet zelf uit te voeren, dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. U blijft wel eindverantwoordelijk.

  Advies FG

  Is er in uw organisatie een functionaris voor de gegevensbescherming (FG) aangewezen? Dan moet u de FG om advies vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.

  Advies bewerker

  Voert een verwerker in opdracht van u de gegevensverwerking uit? Dan moet de bewerker u ondersteunen bij het uitvoeren van de DPIA en de informatie verstrekken die u nodig heeft.

  Advies betrokkenen

  U moet als het nodig is de betrokkenen (de mensen van wie u gegevens wil verwerken) of hun vertegenwoordigers om hun mening vragen.

  Er zijn, afhankelijk van uw specifieke situatie, verschillende geschikte manieren waarop u betrokkenen om hun mening kunt vragen. U kunt bijvoorbeeld een intern of extern onderzoek doen, consumenten- of werknemersorganisaties consulteren of uw toekomstige klanten een vragenlijst sturen.

  Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen om al dan niet met de verwerking door te gaan documenteren. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

  Advies overige partijen

  Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen in uw specifieke situatie betrokken kunnen worden bij een DPIA en wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts (zoals advocaten, technici, beveiligingsexperts, sociologen etc.).

• Op welke manier moet ik een DPIA uitvoeren?

  Er zijn verschillende methodes om een data protection impact assessment (DPIA) uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven.

  Voorwaarden DPIA

  De DPIA moet in ieder geval het volgende bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
  • Een beoordeling van de privacyrisico's voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.
• Moet ik de DPIA publiceren?

  U bent dit niet wettelijk verplicht. Maar het is wel aan te raden om uw data protection impact assessment (DPIA), of een deel hiervan, te publiceren.

  Het publiceren van de DPIA kan het vertrouwen in uw gegevensverwerkingen bevorderen. Bovendien legt u hiermee verantwoording af en bent u transparant. Dit geldt vooral als de verwerking van invloed is op het algemeen publiek, zoals bij de overheid.

  Samenvatting

  De gepubliceerde DPIA hoeft niet de hele beoordeling te bevatten. Er is wellicht informatie die u niet openbaar wilt maken, zoals informatie over beveiligingsrisico’s of concurrentiegevoelige informatie. U kunt dan volstaan met een samenvatting van de belangrijkste resultaten van de DPIA.

  Voorafgaande raadpleging

  Let op: komt er uit de DPIA dat de verwerking een hoog risico oplevert als u geen risicobeperkende maatregelen neemt? Dan moet u een voorafgaande raadpleging aanvragen bij de Autoriteit Persoonsgegevens (AP). Hierbij moet u de DPIA aan de AP verstrekken.