Een data protection impact assessment (DPIA) is soms verplicht. Met een DPIA worden privacyrisico’s in kaart gebracht. De basisboete voor het niet (volledig of correct) uitvoeren is € 310.000,–. De AP legt regelmatig boetes op voor het niet naleven van verplichtingen uit de AVG.
Wanneer is een DPIA verplicht?
Een DPIA is verplicht wanneer de gegevensverwerking een hoog privacyrisico oplevert voor de personen waarvan gegevens verwerkt zullen worden. Vaak kan met het invullen van een formulier of vragenlijst over de verwerking van de gegevens al vastgesteld worden in hoeverre sprake is van een privacyrisico.
De organisatie die verantwoordelijk is voor de verwerking van de persoonsgegevens dient zelf te bepalen of een DPIA verplicht is.
De organisatie die verantwoordelijk is voor de verwerking van de persoonsgegevens dient zelf te bepalen of een DPIA verplicht is. In principe bestaan daarvoor een drietal handvatten.
I. Wijze van verwerking
Een DPIA is in ieder geval verplicht, volgens artikel 35 lid 3 van de Algemene verordening gegevensbescherming (AVG ), indien een organisatie:
- een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
- grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Bij deze drie wijzen van gegevensverwerking is een DPIA verplicht. Verder heeft de Autoriteit Persoonsgegevens (AP) een lijst gepubliceerd met specifieke situaties waarin een DPIA verplicht is.
II. Soort verwerkingen
Het tweede handvat is voornoemde lijst van de AP. De lijst bestaat uit 17 punten. Er is (nog) geen lijst gepubliceerd met situaties waarin geen DPIA verplicht is. Vooralsnog dient dan ook de focus te liggen op de situaties waarin een DPIA wel verplicht is. De lijst is echter niet uitputtend. Staat een onderwerp niet op de lijst, dan kan het nog steeds verplicht zijn om een DPIA uit te voeren.
III. Criteria Europese privacytoezichthouders
Het derde en laatste handvat is het overzicht van 9 criteria van de Europese privacytoezichthouders. Indien de verwerking aan 2 of meer van deze criteria voldoet, dan is een DPIA verplicht. Ook dit is geen limitatieve lijst en geen harde regel. Indien aan één of geen van de criteria wordt voldaan, kan alsnog een DPIA verplicht zijn. De criteria zijn:
- Beoordelen van mensen op basis van persoonskenmerken
- Geautomatiseerde beslissingen
- Stelselmatige en grootschalige monitoring
- Gevoelige gegevens
- Grootschalige gegevensverwerkingen
- Gekoppelde databases
- Gegevens over kwetsbare personen
- Gebruik van nieuwe technologieën
- Blokkering van een recht, dienst of contract
Concluderend is een DPIA vaker wel dan niet verplicht indien sprake is van verwerking van persoonsgegevens. Indien u persoonsgegevens gaat verwerken, is het aan te raden om een gespecialiseerd jurist mee te laten kijken naar uw afwegingen om een DPIA uit te voeren en uw andere afwegingen ten aanzien van privacy wet- en regelgeving. De boetes bij verkeerde inschattingen kunnen namelijk hoog oplopen en wegen niet op tegen de kosten van een gedegen advies. De specialisten van LexQuire adviseren u graag.
Wat houdt een DPIA in?
Een DPIA dient uitgevoerd te worden door de verwerkingsverantwoordelijke. Dat is degene die bepaalt dat er gegevens verwerkt worden, met welk doel de gegevens verwerkt worden en met welke middelen. Indien er een Functionaris Gegevensbescherming is aangesteld, die bij hier advies ingewonnen te worden.
Ook kunnen gesprekken met medewerkers een belangrijk onderdeel vormen van DPIA’s.
Bij uitbesteding van delen van een project, dienen alle betrokken partijen hun medewerking aan de DPIA te verlenen. Denk hierbij aan andere feitelijke verwerkers. Ook kunnen gesprekken met medewerkers een belangrijk onderdeel vormen.
Lid 7 van artikel 35 van de AVG luidt:
De beoordeling bevat ten minste:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en
- de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
Kort gezegd dient beschreven te worden:
- Hoe de gegevens verwerkt worden (en waarom op deze wijze)
- Waarom verwerking noodzakelijk en proportioneel is (en wat de risico’s zijn)
- De grootte van de risico’s ten opzichte van het te bereiken doel
- De voorgenomen maatregelen om de risico’s aan te pakken
- Op welke wijze aan de AVG wordt voldaan.
De inhoud dient aan bovenvermelde eisen te voldoen. De vorm mag door de verwerkingsverantwoordelijke worden bepaald. De DPIA is vormvrij.
Wie voert de DPIA uit?
De verwerkingsverantwoordelijke is ook verantwoordelijke voor de uitvoering van de DPIA. De uitvoering mag echter uitbesteed worden.
De uitkomst van de DPIA kan ertoe leiden dat maatregelen genomen moeten worden om de privacyrisico’s te beperken. Een van de maatregelen kan bijvoorbeeld het verzamelen van minder gegevens zijn of het beter beveiligen van de te verwerken gegevens. De specialisten van LexQuire denken graag met u mee op welke wijze u kunt voldoen aan de eisen die de privacy wet- en regelgeving stelt aan de bescherming van persoonsgegevens.
Risico’s kunnen door verloop van tijd wijzigen. Het is dan ook aan te raden om een nieuwe DPIA uit te voeren zodra de wijze van het verwerken van de persoonsgegevens wijzigt. Indien u iets wijzigt in de verwerking van uw persoonsgegevens, overleg dit dan altijd met een gespecialiseerd jurist. Op deze wijze kunt u mogelijk met een kleine wijziging in de risicobeheersing een hoge boete voorkomen.
