In dit overzicht vind je tien vragen en antwoorden die je kunt gebruiken om een idee te krijgen hoe je de (bedrijfs)processen kunt inrichten.
Een DPIA is een Data Protection Impact Assessment (of Gegevensbeschermingseffectbeoordeling).
Met een DPIA:
Dus je brengt mogelijke risico’s in kaart en treft maatregelen om die risico’s zoveel mogelijk weg te nemen.
Op basis van het proces kun je maatregelen bepalen om de risico’s aan te pakken. Een DPIA helpt niet alleen om aan de eisen van de AVG te voldoen, maar kan ook aantonen dat je passende maatregelen hebt genomen (artikel 24).
Een DPIA kan zowel betrekking hebben op een enkele verwerking als meerdere verwerkingen van persoonsgegevens. Een DPIA die gebruikt wordt om meerdere verwerkingen te beoordelen, moet verwerkingen bevatten die vergelijkbaar zijn in termen van aard, omvang, context, doel en risico's.
Omdat een DPIA gebruikt wordt voor het bestuderen van nieuwe situaties die tot hoge risico's voor de rechten en vrijheden van natuurlijke personen zouden kunnen leiden, is het niet nodig een beoordeling uit te voeren in gevallen die al zijn onderzocht. Een herhaling van een DPIA ter controle, bijvoorbeeld eens in de 3 jaar, wordt wel aangeraden om aantoonbaar ‘in control’ te blijven. Een DPIA kan ook nuttig zijn om het gegevensbeschermingseffect van een technologisch product te beoordelen.
Een DPIA is alleen verplicht als de verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen" (artikel 35, lid 1).
Het betreft waarschijnlijk een groot risico wanneer je (artikel 35, lid 3):
Hierbij kun je de volgende criteria in meenemen:
Een DPIA is niet vereist in het geval dat:
Een DPIA is vereist voor:
Omdat er steeds nieuwe technologieën in gebruik worden genomen of omdat persoonsgegevens voor een ander doel worden gebruikt, kunnen risico’s veranderen. Een verwerking kan hierdoor snel evolueren, waardoor er kunnen nieuwe kwetsbaarheden kunnen ontstaan. Een DPIA is daarom niet alleen nuttig voor continue verbetering, maar is ook essentieel om op lange termijn persoonsgegevens te beschermen in een constant veranderende omgeving.
Ook kan een DPIA noodzakelijk worden als de organisatorische of maatschappelijke context voor de verwerkingsactiviteit is veranderd. Bijvoorbeeld omdat het nemen van geautomatiseerde beslissingen steeds belangrijker wordt of omdat een nieuwe categorie betrokkenen meer kwetsbaar wordt voor discriminatie.
Een DPIA voer je uit vóór de verwerking. Je kunt het zien als een hulpmiddel voor het nemen van een besluit betreffende de verwerking. Een DPIA moet je zo vroeg mogelijk starten, bij voorkeur al voor het ontwerpen van de verwerking wordt gestart, zelfs als sommige verwerkingen nog niet bekend zijn. Het uitvoeren van een DPIA kan gezien worden als een continu proces, geen eenmalige oefening.
De verwerkingsverantwoordelijke zorgt ervoor dat de DPIA wordt uitgevoerd (artikel 35, lid 2). Je kunt het door iemand anders laten uitvoeren, maar de verwerkingsverantwoordelijke blijft eindverantwoordelijk.
Heb je een FG (functionaris voor de gegevensbescherming) aangewezen, dan moet de verwerkingsverantwoordelijke ook zijn of haar advies inwinnen (artikel 35, lid 2). Dit advies moet worden gedocumenteerd. Ook ziet de FG toe op de uitvoering van een DPIA (artikel 39, lid 1, onder c).
Voer je als verwerker geheel of gedeeltelijk de verwerking uit, dan moet je de verwerkingsverantwoordelijke helpen met het uitvoeren van een DPIA en hierbij de noodzakelijke informatie verstrekken (artikel 28, lid 3, onder f).
Wanneer mogelijk vraagt de verwerkingsverantwoordelijke de betrokkenen (of hun vertegenwoordigers) naar hun mening over de voorgenomen verwerking.
Er zijn een heel aantal methodes om een DPIA uit te voeren. Zo zouden wij natuurlijk de DPIA module van Privacy Nexus aan willen raden. Echter bestaat er geen alomvattende methode, wel een lijst met basiscriteria (artikel 35, lid 7, en de overwegingen 84 en 90). Een DPIA moet daarom minimaal voldoen aan:
Ook moet je rekening houden met de naleving van een gedragscode (artikel 40, artikel 35, lid 8). Hiermee kan je aantonen dat je passende maatregelen hebt gekozen of genomen. Dit kan alleen als de gedragscode ook past bij de verwerking.
Ook zul je rekening moeten houden met certificeringen, zegels en merktekens waarmee kan worden aangetoond dat je compliant handelt (artikel 42). Hetzelfde geldt voor bindende bedrijfsvoorschriften.
Indien nodig kun je – op basis van een DPIA – een toetsing verrichten om de uitwerking van een verwerking te beoordelen. Dit moet sowieso gedaan worden wanneer de risico’s van een verwerking zijn veranderd (artikel 35, lid 11).
Nee, je hoeft een DPIA niet te publiceren, maar de publicatie kan het vertrouwen wel vergroten. Je kan daarom overwegen om een samenvatting of een conclusie van een DPIA te publiceren. Bijvoorbeeld als de verwerking gevolgen heeft voor het publiek. Denk aan een overheidsinstantie die een DPIA uitvoert.
Kom je door een DPIA hoge restrisico's tegen, dan ben je als verwerkingsverantwoordelijke verplicht om de Autoriteit Persoonsgegevens voorafgaand aan de verwerking te raadplegen (artikel 36, lid 1). Je zal hierbij de volledige DPIA moeten verstrekken (artikel 36, lid 3, onder e). De Autoriteit Persoonsgegevens mag hierbij wel advies geven, maar geen handelsgeheimen prijsgeven of beveiligingsprotocollen bekend maken.
Voldoe je niet aan de eisen van een DPIA, dan kan de Autoriteit Persoonsgegevens een boete opleggen. Zo riskeer je een boete wanneer je:
Dit kan leiden tot een administratieve boete van maximaal 10 miljoen euro of, in het geval van een onderneming, maximaal 2 % van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag van toepassing is.