Data protection impact assessment (DPIA)

Is een organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is de organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen.

De verplichting om een DPIA uit te voeren staat in de:

  • Algemene verordening gegevensbescherming (AVG);
  • Wet politiegegevens (Wpg);
  • Wet justitiële en strafvorderlijke gegevens (Wjsg).

In deze wetten wordt de DPIA een 'gegevensbeschermingseffectbeoordeling' (GEB) genoemd.

Op deze pagina

Wanneer een DPIA?

Als organisatie moet u zelf bepalen of uw gegevensverwerking een hoog privacyrisico oplevert. En u dus een DPIA moet uitvoeren. De volgende criteria kunnen u hierbij helpen:

  • Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer u een DPIA moet uitvoeren.
  • De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor u een DPIA moet uitvoeren.
  • De 9 criteria voor een DPIA van de Europese privacytoezichthouders.

DPIA volgens de AVG

De AVG geeft aan dat u in ieder geval een DPIA moet uitvoeren als u als organisatie:

  • Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt. Dit doet u op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop baseert u besluiten die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Strafrechtelijke gegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

DPIA-lijst van de AP

De AP heeft daarnaast een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is voordat u met verwerken begint.

Let op:

  • De DPIA-lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. U moet dan zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de mensen van wie u gegevens wilt verwerken.
  • In de lijst komen de begrippen 'grootschalig', 'systematisch' en 'stelselmatig' voor. Het begrip grootschalig hebben de EU-privacytoezichthouders verder ingevuld, de begrippen 'systematisch' en 'stelselmatig' (nog) niet. U moet hierbij denken aan verwerkingen die volgens een bepaald systeem plaatvinden. Zoals een verwerking die is opgenomen in de systemen of in het beleid van een organisatie. Verwerkingen die ad hoc of incidenteel plaatsvinden, zijn geen systematische of stelselmatige verwerkingen.
  • Deze lijst is afgestemd in EU-verband. Periodiek bekijken de EU-privacytoezichthouders of de lijst moet worden aangepast.
  • Uw verwerking moet altijd voldoen aan de AVG. Als uw voorgenomen verwerking op deze lijst staat, zult u altijd moeten nagaan of u voor deze verwerking een geldige grondslag heeft. Heeft u dat niet, dan mag u de persoonsgegevens niet verwerken. Ongeacht de uitkomsten van een eventuele DPIA.

De 9 criteria van toezichthouders voor DPIA

Staat uw verwerking niet op de DPIA-lijst en moet u zelf beoordelen of u een DPIA moet uitvoeren? Dan kunt u de 9 criteria voor een DPIA gebruiken die de EU-privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.

1. Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling en het maken van prognoses. Vooral op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

Voorbeelden hiervan zijn:

  • een bank die de kredietwaardigheid van klanten bepaalt (creditscoring);
  • een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen;
  • een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

2. Geautomatiseerde besluiten

Het gaat hierbij om besluiten die rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben voor mensen. Bijvoorbeeld dat mensen worden uitgesloten of gediscrimineerd. Besluiten zonder (grote) gevolgen vallen niet onder dit criterium. Voor meer informatie, zie de Guidelines over geautomatiseerde besluitvorming en profilering van de EDPB.

3. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat mensen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

4. Gevoelige gegevens

Het gaat hierbij om:

5. Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van 'grootschalige gegevensverwerkingen'. De Europese privacytoezichthouders hebben het begrip grootschalig verder ingevuld.

6. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit 2 of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Daardoor kunnen betrokkenen niet in vrijheid toestemming geven of weigeren voor het verwerken van hun gegevens. Voorbeelden zijn werknemers, kinderen en patiënten.

8. Gebruik van nieuwe technologieën

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. Want dit kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken. Met mogelijk grote privacyrisico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt u dan om de risico’s te begrijpen en te verhelpen.

Sommige internet of things-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen. Daarom is hierbij een DPIA nodig.

9. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat mensen:

  • een recht niet kunnen uitoefenen;
  • een dienst niet kunnen gebruiken;
  • een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of iemand een lening krijgt.

Geen DPIA nodig

U hoeft geen DPIA uit te voeren wanneer uw gegevensverwerking:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere gegevensverwerking, waarvoor al een DPIA is uitgevoerd.
  • Wordt geregeld door een andere Europese of nationale wet. En er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is.
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen lijst opgesteld.

Uitvoering DPIA

Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Die basisvereisten zijn dat u in uw DPIA in ieder geval het volgende moet opnemen:

  • Een systematische beschrijving van de gegevensverwerking die u van plan bent en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerking.
  • Een beoordeling van de privacyrisico's voor de mensen van wie u gegevens wilt verwerken.
  • De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Restrisico’s inschatten

Bij de beoordeling van de privacyrisico’s moet u inschatten of er sprake is van hoge restrisico’s. Het gaat dan over ernstige situaties, die ondanks uw voorzorgmaatregelen nog steeds kunnen gebeuren. Besteed hierbij in uw DPIA in elk geval aandacht aan de volgende punten:

  • Geef aan welke hoge privacyrisico’s u niet volledig kunt voorkomen.
  • Vermeld specifiek in welke situaties of bij welke onderdelen er sprake is van een hoog restrisico.
  • Geef aan hoe waarschijnlijk het u lijkt dat de omschreven situatie zich voordoet, ondanks de maatregelen die u treft. 
  • Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt. 

Zo vroeg mogelijk starten met DPIA

Start de DPIA in de ontwerpfase van de gegevensverwerking, zo vroeg als praktisch gezien mogelijk is. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default.

DPIA uitbesteden

Als verwerkingsverantwoordelijke moet u ervoor zorgen dat er een DPIA wordt uitgevoerd. U hoeft de DPIA niet zelf uit te voeren. Dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. Bijvoorbeeld door een gespecialiseerd bureau. U blijft wel eindverantwoordelijk.

Advies vragen over DPIA

Afhankelijk van uw specifieke situatie, moet u aan deze partijen advies vragen over uw DPIA:

  • de functionaris gegevensbescherming (FG);
  • de verwerker;
  • de betrokkenen;
  • overige partijen.

Advies FG

Heeft uw organisatie een functionaris gegevensbescherming (FG) aangesteld? Dan bent u verplicht om de FG om advies te vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.

Het is aan te raden om de FG advies te vragen over:

  • de afweging om wel of niet een DPIA uit te voeren;
  • de onderzoeksmethode die geschikt is voor de DPIA;
  • de vraag of u als organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
  • de waarborgen die nodig zijn om de privacyrisico’s te beperken;
  • de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

Advies verwerker

Gaat een verwerker in opdracht van u de gegevensverwerking uitvoeren? Dan moet de verwerker u ondersteunen bij het uitvoeren van de DPIA. En u de informatie verstrekken die u nodig heeft.

Advies betrokkenen

U moet als het nodig is de betrokkenen of hun vertegenwoordigers om hun mening vragen. Er zijn verschillende geschikte manieren waarop u dat kunt doen. Die zijn afhankelijk van uw specifieke situatie. Bijvoorbeeld:

  • een intern of extern onderzoek doen;
  • consumenten- of werknemersorganisaties consulteren;
  • uw toekomstige klanten een vragenlijst sturen.

Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen documenteren om al dan niet met de verwerking door te gaan. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

Advies overige partijen

Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen u in uw specifieke situatie kunt betrekken bij een DPIA. En wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts. Zoals advocaten, technici, beveiligingsexperts, sociologen etc.

Na de DPIA

U heeft nu inzicht in de privacyrisico’s en in de maatregelen die u moet nemen om deze risico’s af te dekken. Het is vervolgens aan u om die maatregelen ook daadwerkelijk te treffen.

Voorafgaande raadpleging

Tenzij u heeft ingeschat in uw DPIA dat er restrisico’s zijn. Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

DPIA publiceren

U bent niet wettelijk verplicht om uw DPIA te publiceren. Maar dit is wel aan te raden. Dit kan het vertrouwen in uw gegevensverwerkingen bevorderen. Bovendien legt u hiermee verantwoording af en bent u transparant. Dit geldt vooral als de verwerking van invloed is op het algemeen publiek, zoals bij de overheid.

De gepubliceerde DPIA hoeft niet de hele beoordeling te bevatten. Er is wellicht informatie die u niet openbaar wilt maken, zoals informatie over beveiligingsrisico’s of concurrentiegevoelige informatie. U kunt dan volstaan met een samenvatting van de belangrijkste resultaten van de DPIA.

Nieuwe DPIA bij veranderingen

Bij veranderingen is een nieuwe DPIA nodig. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet daarom altijd blijven monitoren of er veranderingen zijn in:

  • uw gegevensverwerking;
  • de risico’s van de verwerking;
  • de context van de verwerking.

Vanwege deze veranderingen is het sowieso aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.

Dit geldt ook voor bestaande verwerkingen waarvoor u niet eerder een DPIA heeft uitgevoerd. Verandert er iets, dan kunt u alsnog verplicht zijn een DPIA uit te voeren.

Veranderingen in gegevensverwerking

Uw verwerking verandert bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn.

Veranderingen in de risico’s van de verwerking

Verandert het privacyrisico van uw verwerking? Dan kunt u ook verplicht zijn een DPIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel. Daardoor kunnen nieuwe kwetsbaarheden ontstaan.

Veranderingen in de context van de verwerking

Tot slot kunt u verplicht zijn een DPIA uit te voeren omdat de context van uw organisatie of de maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden. Of omdat nieuwe categorieën mensen kwetsbaar worden voor discriminatie.

Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.