Wil je persoonsgegevens gaan verwerken? En levert deze verwerking waarschijnlijk een hoog risico op voor de privacy van de betrokkenen? Dan ben je verplicht een DPIA uit te voeren. Wanneer is er waarschijnlijk sprake van een hoog privacyrisico? Welke eisen worden er gesteld aan een DPIA? En waarom is een DPIA van belang?
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment, soms ook wel Privacy Impact Assessment (kortweg PIA) genoemd. Onder de Algemene verordening gegevensbescherming (AVG) is het uitvoeren van een DPIA bij bepaalde verwerkingen van gegevens verplicht. Dit geeft inzicht in de privacyrisico’s die de verwerking oplevert voor de betrokkenen, en in de maatregelen die de verantwoordelijke moet nemen om de risico’s te beperken en/of te beheersen. Bij de beoordeling van de risico’s wordt gekeken naar:
- de aard van de voorgenomen verwerking;
- de omvang, context en doelen van de verwerking;
- de bronnen van de risico’s.
Wanneer is sprake van een verwerking van persoonsgegevens?
Een persoonsgegeven is informatie die over een natuurlijk persoon gaat waarvan de identiteit bekend is, of die je aan de hand van die informatie kunt identificeren. Elke handeling die een organisatie kan uitvoeren met persoonsgegevens, wordt beschouwd als verwerking. Denk aan het beschikbaar stellen van persoonsgegevens, maar bijvoorbeeld ook aan het opslaan, verzamelen, verspreiden, vernietigen, raadplegen en samenbrengen ervan. Elke verwerking van persoonsgegevens moet rechtmatig zijn. Dit betekent onder andere dat er een geldige grondslag (uit de AVG) van toepassing moet zijn.
Wanneer is een DPIA verplicht?
Het uitvoeren van een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie een organisatie gegevens verwerkt. In dat geval mag je niet beginnen met de verwerking voordat je een DPIA hebt uitgevoerd.
Wanneer is er waarschijnlijk sprake van een hoog privacyrisico?
De Europese privacytoezichthouders hebben negen criteria opgesteld om te beoordelen of een voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokken personen. Als vuistregel geldt dat je een DPIA moet uitvoeren als een verwerking aan twee of meer van deze criteria voldoet. Een van de criteria is bijvoorbeeld stelselmatige en grootschalige monitoring, bijvoorbeeld met cameratoezicht. Een ander criterium is het verwerken van gegevens over kwetsbare personen, zoals werknemers, kinderen of patiënten. Deze criteria zijn echter niet toegespitst op BI-omgevingen. Wil je weten wanneer een DPIA verplicht is in een BI-omgeving? Download dan onze checklist.
Aan welke eisen moet een DPIA voldoen?
Er zijn verschillende methodes om een DPIA uit te voeren. De basisvereisten staan beschreven in de AVG. Een DPIA moet in ieder geval de volgende onderdelen bevatten:
- een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan;
- een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen;
- een beoordeling van de privacyrisico’s voor de betrokkenen;
- de beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat je aan de AVG voldoet.
Waarom is een DPIA van belang?
Als een voorgenomen gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen, dan is een DPIA wettelijk verplicht. Doe je dit niet, dan loop je het risico op boetes of sancties en imagoschade. Daarnaast is het uitvoeren van een DPIA een belangrijk onderdeel van je zorgplicht als organisatie met betrekking tot de omgang van persoonsgegevens. Als je niet weet wat de risico’s zijn, kun je immers ook geen maatregelen treffen.
Wie is verantwoordelijk voor het uitvoeren van een DPIA?
De verwerkingsverantwoordelijke dient ervoor te zorgen dat een DPIA wordt uitgevoerd (artikel 35, lid 1 van de AVG). Dit kan door iemand anders, binnen of buiten de organisatie, worden uitgevoerd, maar de verwerkingsverantwoordelijke blijft eindverantwoordelijk voor die taak. Is er een functionaris voor gegevensbescherming aangewezen? Dan moet de verwerkingsverantwoordelijke ook diens advies inwinnen (artikel 35 lid 2).
Wanneer voer je een DPIA uit?
Begin bij voorkeur met het uitvoeren van een DPIA aan het begin van de ontwerpfase van de gegevensverwerking. Ook als nog niet alle details van de verwerking bekend zijn. Zie ook tip 2 van ons blog ‘Een succesvolle DPIA uitvoeren, vijf tips’. Door vroeg te beginnen, is het makkelijker om aan de wettelijk vereiste principes van privacy by design en privacy by default te voldoen. Maar zie ook tip 5 van dit blog: het uitvoeren van een DPIA is een continu proces, niet een eenmalige oefening. Beoordeel na verloop van tijd of de geïmplementeerde maatregelen effectief zijn.
Wat is ‘privacy by design’ en ‘privacy by default’?
Een nieuw uitgangspunt in de AVG zijn de beginselen van privacy by design en privacy by default. Dit betekent dat je privacybescherming meeneemt als business-requirement bij de ontwikkeling van nieuw beleid of het ontwerp van nieuwe systemen waarmee je persoonsgegevens verwerkt. Als verwerkingsverantwoordelijke wordt van je verwacht dat je de mogelijke inbreuk op de persoonlijke levenssfeer van de betrokkenen zoveel mogelijk beperkt. Bijvoorbeeld door pseudonimisering toe te passen wanneer het niet nodig is om te kunnen herleiden om welke personen het gaat.
Wanneer moet een voorgenomen verwerking worden voorgelegd aan de Autoriteit Persoonsgegevens (AP)?
Wanneer uit de DPIA blijkt dat een voorgenomen verwerking een hoog risico voor betrokkenen inhoudt en je geen maatregelen treft om dat risico te beperken, moet je de voorgenomen verwerking voorleggen aan de Autoriteit Persoonsgegevens. Je krijgt dan in principe binnen acht weken antwoord. Je mag niet beginnen met de verwerkingsactiviteit zolang de AP geen positief oordeel heeft uitgebracht.
Meer weten?
Start je binnenkort een BI-traject en wil je weten of je een DPIA dient uit te voeren? Download onze checklist ‘Wanneer is een DPIA verplicht in een BI-omgeving?’