![shutterstock_1100870261 [Omgezet]](https://www.certificering-keuring.nl/hs-fs/hubfs/shutterstock_1100870261%20%5BOmgezet%5D.png?width=542&name=shutterstock_1100870261%20%5BOmgezet%5D.png)
In Algemene Verordening Gegevensbescherming (AVG) staat dat in sommige gevallen een Data Protection Impact Assessment (kort DPIA) uitgevoerd moet worden. Wat is een DPIA en wanneer is deze verplicht? In deze blog leggen we het uit.
Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA), of Gegevensbeschermingseffectbeoordeling in het Nederlands, is een instrument om de privacyrisico’s van een verwerkingen in kaart te brengen.
Dit zijn de risico’s waarbij naar het effect moet worden gekeken die het heeft op de rechten en vrijheden van natuurlijke personen. Het effect op mensen dus en niet op de organisatie zelf. Zo raakt het risico op een privacyboete van de Autoriteit Persoonsgegevens (AP) de betrokken mensen niet. Dit is dus een (financieel) bedrijfsrisico. Geen invulling meer kunnen geven aan het recht op gegevenswissing door het gebruik van de blockchain daarentegen, is wel een risico voor betrokkenen omdat zij daar immers (letterlijk) recht op hebben (zie art. 17 AVG).
Wat is een DPIA?
Het is niet altijd eenvoudig om een goed beeld te krijgen van de privacyrisico’s voor mensen. Bovendien gaat het niet alleen om de mogelijke gevolgen voor hen van wie de persoonsgegevens daadwerkelijk worden verwerkt (door de AVG ‘betrokkenen’ genoemd). De AVG heeft het hier over het effect op ‘natuurlijke personen’, oftewel mensen van vlees en bloed. Het is aan de organisatie om dit boven water te krijgen. Maar hoe?
Allereerst zou gekeken kunnen worden naar de mogelijke gevolgen voor mensen als de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte persoonsgegevens wegvalt. Welk effect kan een datalek van de verwerking hebben op het privéleven van mensen? Daarnaast ligt het voor de hand om expliciet te kijken naar het effect dat de verwerking kan hebben op (aantasting van) de beginselen van verwerkingen (art. 5 AVG) en de rechten (hfdst III AVG) voor betrokkenen. Ook moet je je het volgende afvragen: mogen de gegevens wel verwerkt worden (rechtmatigheid)?
Daarnaast moet het voorgenomen doel (doelbinding) bepaald worden. Is duidelijk wat en hoe verwerkt wordt en kunnen we dat ook uitleggen en laten zien (recht op informatie/inzage)? Etc. Kijk ook vooral of de verwerking (wellicht ongemerkt) een ‘verbod’ inluidt. Denk hierbij onder meer aan verwerking van bijzondere en strafrechtelijke persoonsgegevens (art. 9 en 10 AVG), de doorgifte van persoonsgegevens buiten de EER (art. 44) als ook de geautomatiseerde besluitvorming (art. 22).
Inherente privacyrisico’s
Aan sommige (type) verwerkingen kleven vanzelfsprekend privacyrisico voor betrokkenen. De AVG noemt hierbij het gebruik van nieuwe technologieën. De European Data Protection Board (EDPB) heeft deze uitgewerkt naar onderstaande 9 kenmerken.
Nader toelichting op de bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" zijn in richtsnoeren van de EDPB opgenomen. Aanvullend heeft ook de AP een eigen DPIA-lijst van inherente risico’s opgesteld. Hierop zijn 17 kenmerken opgenomen die deels overlappen met die van de EDPB. Beide lijsten lenen zich uitstekend als handvatten om privacyrisico’s voor mensen in beeld te krijgen.
DPIA verplicht?
In veel gevallen kan een DPIA verstandig zijn om uit te voeren. Ook als dit niet verplicht is. Het levert immers een bijdrage aan zowel bewustwording als de verantwoordingsplicht van een team of organisatie. Maar wanneer moet het sowieso? Wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor mensen van vlees en bloed. De verwerkingsverantwoordelijke moet nagaan of dat het geval is. In hoofdlijnen is dit zo wanneer er sprake is van:
- Structurele geautomatiseerde verwerking van persoonlijke aspecten (profilering) waarop voor mensen impactvolle besluiten worden genomen.
- Op grote schaal verwerken van bijzondere persoonsgegevens of strafrechtelijke gegevens.
- Op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied.
Het is aan de verwerkingsverantwoordelijke om zijn verwerking hier tegenaan te houden. Bovendien is in tal van andere situaties een hoog privacyrisico denkbaar. De eerder besproken inherente privacyrisico’s zijn juist hiervoor opgesteld. Gaat 1 van de kenmerken van de DPIA-lijst van de AP op voor de verwerking, of 2 van de DPIA-lijst van de EDPB? Dan veronderstellen de toezichthouders dat er waarschijnlijk hoge privacyrisico’s mee gepaard gaan en is een DPIA dus verplicht. Maar let op, deze lijsten kunnen nooit allesomvattend zijn. In alle gevallen moet de verwerkingsverantwoordelijke zelf nagaan of een hoog privacyrisico denkbaar is.
Hoe voer ik een DPIA uit?
Hoe u een DPIA uitvoert, staat u vrij als ook in welke vorm u dit vastlegt. Wel kent de AVG enkele verplichte onderdelen:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Het moet duidelijk worden waar het over gaat, waarmee ook duidelijk wordt welke delen buiten de scope van de DPIA vallen. Denk aan de context, de persoonsgegevens die worden verwerkt, waar ze naartoe gaan, etc. etc. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Dan moet u dit ook benoemen.
- Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen. Is de verwerking van persoonsgegevens op de manier die u beoogt noodzakelijk om uw doel te bereiken? Staat de inbreuk op de privacy van de betrokkenen in verhouding met uw doel?
- Een beoordeling van de privacyrisico’s voor de rechten en vrijheden van de betrokkenen (zie boven) als ook de beoogde maatregelen om deze aan te pakken (zoals waarborgen en veiligheidsmaatregelen).
Er zijn verschillende modellen beschikbaar om een DPIA uit te voeren. Sommige hiervan zijn erg omvangrijk. Dat is niet in alle gevallen nodig. Een pragmatischere aanpak kan ook volstaan zolang verplichte onderdelen er maar inzitten. Als er nog veel verwerkingen bekeken moeten worden dan zou een eenvoudige checklist, al dan niet o.b.v. bovenstaande risicokenmerken, een goede indicatie kunnen geven van welke verwerkingen in zijn algemeenheid risicovoller zijn dan andere. Bijvoorbeeld door er een risiconiveau/-score aan te hangen. Zo’n DPIA light versie kan dan gebruikt worden voor prioritering t.b.v. nader onderzoek en voor bewaking van voortgang en status.
Wie voert de DPIA uit en zijn er verder bij betrokken?
De DPIA moet worden gedaan door verwerkingsverantwoordelijke. Oftewel de partij die de verwerking voor zijn doelen opzet en daarvoor de middelen vaststelt. Heeft deze verwerkers ingeschakeld, die in zijn opdracht delen daarvan uitvoert? Dan is de kans groot dat de medewerking van deze verwerkers nodig zijn om de DPIA van de nodige informatie te voorzien. Hiertoe zijn deze verwerkers dan ook verplicht.
Heeft uw organisatie een Functionaris voor de Gegevensbescherming (FG)? Dan moet de zienswijze van de FG in de DPIA worden meegenomen. De FG keurt de DPIA overigens niet goed of af. Dat is en blijft aan de verwerkingsverantwoordelijke zelf. Mocht de AP onderzoek doen, bijvoorbeeld n.a.v. een klacht of datalek, dan kan deze de DPIA opvragen, nagaan de zienswijze van de FG was en wat daarmee is gedaan. Verder is het zo dat als een DPIA hoge privacyrisico’s aan het licht heeft gebracht die de organisatie niet kan wegnemen, dat dan voorafgaand aan de verwerking toestemming moet worden gevraagd aan de AP. Dit kan dus gevolgen hebben voor de planning van een project.
DPIA eenmalig of periodiek?
Zoals gesteld moet, bij verplichting, de DPIA uitvoeren voordat u start met het verwerken van gegevens. Dat betekent echter niet dat u er daarna vanaf bent. Het is namelijk van belang dat u continu blijft monitoren of uw gegevensverwerking en de daar bijbehorende risico’s veranderen. Bijvoorbeeld wanneer u met een nieuwe technologie gaat werken, of dat u persoonsgegevens ook voor een ander doel gaat gebruiken. Zodra de situatie verandert t.o.v. de originele, moet u opnieuw een DPIA uitvoeren. De EDPB stelt dat een DPIA minstens eenmaal in de 3 jaar herzien moet worden.
Maakt de DPIA ook onderdeel uit van ISO 27701?
Het korte antwoord is: ja! Deze privacystandaard, het Privacy Information Management System (PIMS), is namelijk een uitbreiding is op het managementsysteem voor informatiebeveiliging en geeft daarbinnen bescherming aan privacy waar deze mogelijk in het gedrang komt door de verwerking van persoonsgegevens. Hierdoor ontstaat een managementsysteem waarin zowel waardevolle (bedrijfs)informatie wordt beschermd als ook de privacy van anderen. Vandaar: ja, uiteraard maakt de DPIA ook onderdeel uit van het ISO 27701. Onder de noemer van een ‘privacy-effectbeoordeling’ is het als beheersmaatregel opgenomen voor ververwerkersverantwoordelijken (§A.7.2.5) en tevens voorzien van de aanvullende richtlijnen. Dit maakt dat het PIMS gebruikt kan worden om de in artikel 35 van de AVG opgenomen DPIA-verplichtingen voor de organisatie, aantoonbaar te maken.
Welke verplichtingen zijn er nog meer vanuit de AVG?
Naast het wel of niet verplicht zijn om een DPIA uit te voeren vanwege de AVG bevat deze wet nog meer regels en verplichtingen. Welke dit allemaal zijn? Om hier antwoord op te geven hebben onze privacy experts een handig overzicht gemaakt waarin u kan zien waar u allemaal aan moet voldoen.
Maak het uzelf makkelijker, download de AVG checklist:
De AVG kan voor een groot aantal vragen zorgen. De wetgeving is natuurlijk erg relevant, maar het kan een aardige klus zijn al deze onderwerpen op een rij te krijgen en concreet te weten wat u moet doen. Om het u in de volledige breedte te helpen, hebben wij voor u de belangrijkste begrippen uit de AVG gekaderd in één totaaloverzicht, waardoor u de juiste handvatten krijgt om aan de privacywetgeving te voldoen.
Onderwerpen:
Alle onderwerpen ISO 27001 informatiebeveiliging privacywetgeving AVG ISO 27701
