Data Protection Impact Assessment (DPIA)

Data-Protection-Impact-Assessment

Vanaf 25 mei 2018 kunnen organisaties verplicht zijn om een Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf privacyrisico’s van een gegevensverwerking in kaart te brengen. Aan de hand van de uitkomsten kunnen er maatregelen worden genomen om de risico’s te verkleinen.

Verplichting DPIA

Een DPIA hoeft niet voor iedere gegevensverwerking uit te worden gevoerd. Het is slechts verplicht wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkene (personen waarvan de gegevens worden verwerkt). Er is sprake van een hoog privacyrisico wanneer:

– Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling
– Op grote schaal bijzondere persoonsgegevens verwerkt
– Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied

Criteria Data Protection Impact Assessment

Om dit te verduidelijken hebben de Europese privacytoezichthouders criteria opgesteld om het risico te bepalen en is de Autoriteit Persoonsgegevens bezig met het maken van een lijst van verwerkingen waarvoor een DPIA verplicht is.

De lijst van de werkgroep van Europese privacytoezichthouders (WP29) bestaat uit 9 criteria. Indien aan 2 van de 9 wordt voldaan, is er voldoende aanleiding om een DPIA uit te voeren.

1. Het beoordelen van mensen op basis van persoonskenmerken
2. Geautomatiseerde beslissingen met rechtsgevolgen of vergelijkbare gevolgen voor betrokkenen
3. Stelselmatige en grootschalige monitoring
4. Verwerken van gevoelige gegevens (bijzondere persoonsgegevens, strafrechtelijke gegevens, elektronische communicatie, locatiegegevens, financiële gegevens en andere gegevens die over het algemeen als gevoelig worden beschouwd)
5. Grootschalige gegevensverwerking (te bepalen op basis van WP29 criteria)
6. Gekoppelde databases
7. Gegevens over kwetsbare personen
8. Gebruik van nieuwe technologieën
9. Blokkering van een recht, dienst of contract

Verantwoordingsplicht

De bovenstaande criteria kunnen helpen bij het bepalen of er een DPIA uitgevoerd dient te worden. Daarnaast bestaat er nog een verantwoordingsplicht. Deze plicht bestaat uit het onderbouwen waarom de verwerker ervoor kiest om geen DPIA uit te voeren. Deze verantwoording bestaat bijvoorbeeld uit het kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet. Daarnaast dienen de juiste organisatorische en technische maatregelen te zijn genomen.

Een organisatie is verplicht om vanaf 25 mei 2018 verantwoording af te leggen wanneer AP daarom vraagt.

Eisen Data Protection Impact Assessment

De AVG stelt in artikel 35 lid 7 dat de Data Protection Impact Assessment (DPIA) minimaal aan de onderstaande vereisten moet voldoen:

– Een systematische beschrijving van de beoogde verwerkingen en de doeleinden
– Beoordeling van de noodzaak en de evenredigheid
– Beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
– Beoogde maatregelen om deze risico’s aan te pakken

Huidige situatie

De Rijksoverheid is momenteel al verplicht om bij de ontwikkeling van nieuwe wet- en regelgeving rekening te houden met de uitkomsten van een DPIA, nu nog Privacy Impact Assessment (PIA). Het uitvoeren van een PIA is momenteel niet verplicht, maar wel handig. Enkele voorbeelden van voordelen zijn: meer privacy bewustzijn, betere dienstverlening, betere kwaliteit van gegevens en betere communicatie over privacy en de bescherming van gegevens.

;