Data Protection Impact Assessment

Een DPIA is een Data Protection Impact Assessment (of Gegevensbeschermingseffectbeoordeling).

Met een DPIA:

1. omschrijf je de verwerking van persoonsgegevens
2. beoordeel je noodzaak van de verwerking
3. identificeer je mogelijke risico’s voor de (rechten en vrijheden van de) betrokkene
4. beheer je de daaraan verbonden risico's

Dus je brengt mogelijke risico’s in kaart en treft maatregelen om die risico’s zoveel mogelijk weg te nemen.

Op basis van het proces kun je maatregelen bepalen om de risico’s aan te pakken. Een DPIA helpt niet alleen om aan de eisen van de AVG te voldoen, maar kan ook aantonen dat je passende maatregelen hebt genomen (artikel 24).

Een DPIA kan zowel betrekking hebben op een enkele verwerking als meerdere verwerkingen van persoonsgegevens. Een DPIA die gebruikt wordt om meerdere verwerkingen te beoordelen, moet verwerkingen bevatten die vergelijkbaar zijn in termen van aard, omvang, context, doel en risico's.

Omdat een DPIA gebruikt wordt voor het bestuderen van nieuwe situaties die tot hoge risico's voor de rechten en vrijheden van natuurlijke personen zouden kunnen leiden, is het niet nodig een beoordeling uit te voeren in gevallen die al zijn onderzocht. Een herhaling van een DPIA ter controle, bijvoorbeeld eens in de 3 jaar, wordt wel aangeraden om aantoonbaar ‘in control’ te blijven. Een DPIA kan ook nuttig zijn om het gegevensbeschermingseffect van een technologisch product te beoordelen.

Een DPIA is alleen verplicht als de verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen" (artikel 35, lid 1).

Het betreft waarschijnlijk een groot risico wanneer je (artikel 35, lid 3):

1. iemand systematisch beoordeelt op basis van persoonlijke aspecten, dit automatisch verwerkt, en op basis hiervan besluiten neemt
2. grootschalig bijzondere categorieën van persoonsgegevens verwerkt
3. stelselmatig en grootschalig openbare ruimten monitort

Hierbij kun je de volgende criteria in meenemen:

1. evaluatie of scoretoekenning
2. geautomatiseerde besluitvorming
3. stelselmatige monitoring
4. gevoelige gegevens
5. op grote schaal verwerkte gegevens
6. matching of samenvoeging van datasets
7. gegevens met betrekking tot kwetsbare betrokkenen
8. nieuwe technologische of organisatorische oplossingen
9. verwerking waarbij betrokkenen hun recht niet kunnen uitoefenen

Een DPIA is niet vereist in het geval dat:

1. de verwerking waarschijnlijk geen hoog risico inhoudt voor de rechten en vrijheden van natuurlijk personen (artikel 35, lid 1)
2. er een vergelijkbare DPIA bestaat
3. de verwerking vóór mei 2018 door de Autoriteit Persoonsgegevens is geautoriseerd
4. de verwerking een rechtsgrond heeft (artikel 6, lid 1, onder c of e)
5. de verwerking in de lijst staat van verwerkingen waarvoor geen DPIA is vereist (artikel 35, lid 5)

Een DPIA is vereist voor:

1. nieuwe verwerkingen met een waarschijnlijk hoog risico voor de rechten en vrijheden van betrokken
2. bestaande verwerkingen waarvoor de risico's zijn veranderd, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking
   

Omdat er steeds nieuwe technologieën in gebruik worden genomen of omdat persoonsgegevens voor een ander doel worden gebruikt, kunnen risico’s veranderen. Een verwerking kan hierdoor snel evolueren, waardoor er kunnen nieuwe kwetsbaarheden kunnen ontstaan. Een DPIA is daarom niet alleen nuttig voor continue verbetering, maar is ook essentieel om op lange termijn persoonsgegevens te beschermen in een constant veranderende omgeving.

Ook kan een DPIA noodzakelijk worden als de organisatorische of maatschappelijke context voor de verwerkingsactiviteit is veranderd. Bijvoorbeeld omdat het nemen van geautomatiseerde beslissingen steeds belangrijker wordt of omdat een nieuwe categorie betrokkenen meer kwetsbaar wordt voor discriminatie.

Een DPIA voer je uit vóór de verwerking. Je kunt het zien als een hulpmiddel voor het nemen van een besluit betreffende de verwerking. Een DPIA moet je zo vroeg mogelijk starten, bij voorkeur al voor het ontwerpen van de verwerking wordt gestart, zelfs als sommige verwerkingen nog niet bekend zijn. Het uitvoeren van een DPIA kan gezien worden als een continu proces, geen eenmalige oefening.

De verwerkingsverantwoordelijke zorgt ervoor dat de DPIA wordt uitgevoerd (artikel 35, lid 2). Je kunt het door iemand anders laten uitvoeren, maar de verwerkingsverantwoordelijke blijft eindverantwoordelijk.

Heb je een FG (functionaris voor de gegevensbescherming) aangewezen, dan moet de verwerkingsverantwoordelijke ook zijn of haar advies inwinnen (artikel 35, lid 2). Dit advies moet worden gedocumenteerd. Ook ziet de FG toe op de uitvoering van een DPIA (artikel 39, lid 1, onder c).

Voer je als verwerker geheel of gedeeltelijk de verwerking uit, dan moet je de verwerkingsverantwoordelijke helpen met het uitvoeren van een DPIA en hierbij de noodzakelijke informatie verstrekken (artikel 28, lid 3, onder f).

Wanneer mogelijk vraagt de verwerkingsverantwoordelijke de betrokkenen (of hun vertegenwoordigers) naar hun mening over de voorgenomen verwerking.

Er zijn een heel aantal methodes om een DPIA uit te voeren. Zo zouden wij natuurlijk de DPIA module van Privacy Nexus aan willen raden. Echter bestaat er geen alomvattende methode, wel een lijst met basiscriteria (artikel 35, lid 7, en de overwegingen 84 en 90). Een DPIA moet daarom minimaal voldoen aan:

1. een beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden
2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen
3. een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen
4. de beoogde maatregelen om de risico's aan te pakken en aan te tonen dat aan de verordening (AVG) is voldaan

Ook moet je rekening houden met de naleving van een gedragscode (artikel 40, artikel 35, lid 8). Hiermee kan je aantonen dat je passende maatregelen hebt gekozen of genomen. Dit kan alleen als de gedragscode ook past bij de verwerking.

Ook zul je rekening moeten houden met certificeringen, zegels en merktekens waarmee kan worden aangetoond dat je compliant handelt (artikel 42). Hetzelfde geldt voor bindende bedrijfsvoorschriften.

Indien nodig kun je – op basis van een DPIA – een toetsing verrichten om de uitwerking van een verwerking te beoordelen. Dit moet sowieso gedaan worden wanneer de risico’s van een verwerking zijn veranderd (artikel 35, lid 11).

Nee, je hoeft een DPIA niet te publiceren, maar de publicatie kan het vertrouwen wel vergroten. Je kan daarom overwegen om een samenvatting of een conclusie van een DPIA te publiceren. Bijvoorbeeld als de verwerking gevolgen heeft voor het publiek. Denk aan een overheidsinstantie die een DPIA uitvoert.

Kom je door een DPIA hoge restrisico's tegen, dan ben je als verwerkingsverantwoordelijke verplicht om de Autoriteit Persoonsgegevens voorafgaand aan de verwerking te raadplegen (artikel 36, lid 1). Je zal hierbij de volledige DPIA moeten verstrekken (artikel 36, lid 3, onder e). De Autoriteit Persoonsgegevens mag hierbij wel advies geven, maar geen handelsgeheimen prijsgeven of beveiligingsprotocollen bekend maken.

Voldoe je niet aan de eisen van een DPIA, dan kan de Autoriteit Persoonsgegevens een boete opleggen. Zo riskeer je een boete wanneer je:

1. geen DPIA uitvoert terwijl dat voor de verwerking wel verplicht is (artikel 35, leden 1, 3 en 4)
2. een DPIA niet correct uitvoert (artikel 35, leden 2, 7, 8 en 9)
3. de autoriteit persoonsgegeven niet geraadpleegd hebt terwijl dat wel vereist is (artikel 36, lid 3, onder e)

Dit kan leiden tot een administratieve boete van maximaal 10 miljoen euro of, in het geval van een onderneming, maximaal 2 % van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag van toepassing is.