De gegevensbeschermingseffectbeoordeling (wat?) oftewel een data protection impact assessment (DPIA) is een evaluatie/toetsing van verwerkingen van persoonsgegevens. Middels een DPIA brengt een organisatie de privacyrisico’s en impact van een verwerkingsactiviteit in kaart. In de DPIA benoemt u tevens de maatregelen om die risico’s vervolgens te beheersen en te beperken. Voor bepaalde verwerkingen is een DPIA verplicht, voor andere verwerkingen kan het een handig hulpmiddel zijn om de privacyrisico’s in kaart te brengen en tegelijkertijd te voldoen aan de verantwoordingsplicht van een verwerkingsverantwoordelijke. Verwerkt u bijvoorbeeld gegevens over de gezondheid of volgt u uw personeel zonder dat het op de hoogte is (heimelijk toezicht)? Of bent u benieuwd wanneer een DPIA verplicht is? Leest u dan verder.
Wat is een DPIA?
Een DPIA behandelt (veel van) de vereisten voor het verwerken van persoonsgegevens ingevolge de Algemene verordening gegevensbescherming (AVG) en brengt systematisch in kaart wat de bijbehorende risico’s zijn. Ook wordt in de DPIA benoemd welke maatregelen genomen moeten worden om de risico’s te beheersen en te beperken. Voor bepaalde verwerkingen is een DPIA verplicht, maar een organisatie kan het ook voor niet-verplichte verwerkingen als een hulpmiddel gebruiken. Naast dat de verwerking systematisch gecontroleerd wordt op de vereisten van de AVG, kan de organisatie de DPIA documenteren. Met een gedocumenteerde DPIA kan een organisatie eenvoudig aantonen dat zij aan de vereisten van de AVG voldoet.
Is een DPIA verplicht?
De DPIA is verplicht als een verwerking – in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt – een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Met name is zo’n DPIA een vereiste wanneer er sprake is van profilering en geautomatiseerde besluitvorming, grootschalige verwerking van bijzondere persoonsgegevens en stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Let op! Als een DPIA is vereist, moet uw organisatie de DPIA bewaren, periodiek herzien en op verzoek aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien.
Dit is geen uitputtende lijst van situaties waarbij een DPIA verplicht is. Of er sprake is van een hoog risico is steeds de bepalende factor. De Europese privacytoezichthouders (EDPB) hebben negen categorieën genoemd die een aanwijzing kunnen zijn voor een hoog risico. Op basis van deze richtlijnen heeft de AP recentelijk (november 2019) een tevens niet-uitputtende lijst gepubliceerd voor verplichte DPIA’s.
Lijst verplichte DPIA’s
De AP heeft vastgesteld dat in ieder geval voor de volgende verwerkingen een DPIA verplicht is.
- heimelijk onderzoek
- zwarte lijsten
- fraudebestrijding
- creditscores
- financiële situatie
- genetische persoonsgegevens
- gezondheidsgegevens
- samenwerkingsverbanden
- cameratoezicht
- flexibel cameratoezicht
- controle werknemers
- locatiegegevens
- communicatiegegevens
- internet of things
- profilering
- observatie en beïnvloeding van gedrag
- biometrische gegevens
Voor veel van deze verwerkingen geldt dat een DPIA verplicht is wanneer een grootschalige verwerking plaatsvindt. Bijvoorbeeld: alleen als grootschalig gezondheidsgegevens worden verwerkt, is het verplicht een DPIA uit te voeren.
Indicatoren voor een hoog risico
Twijfelt u of een verwerking een hoog risico vormt voor de privacy van de betrokkene? Voorafgaand aan de verplichte DPIA-lijst van de AP, stelde de EDPB richtlijnen op voor het bepalen van het privacyrisico. In deze richtlijnen zijn de categorieën verwerkingen benoemd die een indicatie zijn voor een hoog privacyrisico. Over het algemeen moet aangenomen worden dat als twee of meer van de volgende categorieën op een verwerking van toepassing zijn, een DPIA uitgevoerd moet worden. Hoe meer categorieën van toepassing zijn, hoe aannemelijker het is dat een verwerking een hoog risico inhoudt.
- Evaluatie of scoretoekenning.
- Geautomatiseerde besluitvorming met een rechtsgevolg.
- Stelselmatige monitoring.
- Gevoelige gegevens of gegevens van zeer persoonlijke aard.
- Op grote schaal verwerkte gegevens.
- Matching of samenvoeging van datasets.
- Gegevens met betrekking tot kwetsbare betrokkenen.
- Innovatief gebruik/innovatieve toepassing van nieuwe technologieën, waarbij:
- betrokkenen niet langer een recht kunnen uitoefenen of beroep kunnen doen op een dienst of overeenkomst.
Wanneer geen DPIA?
Wanneer het niet waarschijnlijk is dat een verwerking een hoog risico inhoudt, is een DPIA niet verplicht. Daarnaast zijn nog andere gevallen denkbaar waarbij een DPIA niet verplicht is. Dit is het geval wanneer:
- een vergelijkbare DPIA al bestaat. Het gaat dan wel om verwerkingen die vergelijkbaar zijn in termen van aard, omvang, context, doel en risico’s. Dit kan ook van toepassing zijn op vergelijkbare verwerkingen die door verschillende verwerkingsverantwoordelijken worden uitgevoerd. In dat geval moet een referentie-DPIA beschikbaar zijn die wordt gedeeld of publiekelijk toegankelijk wordt gemaakt. De beschreven maatregelen in de DPIA moeten dan wel door de betreffende verwerkingsverantwoordelijke worden geïmplementeerd. Trouw aan de documentatieplicht is op basis van de AVG ook vereist dat schriftelijk gemotiveerd wordt waarom men volstaat met een referentie-DPIA.
- de verwerking voor mei 2018 al door de AP is gecontroleerd en geautoriseerd (bijvoorbeeld in geval van een verplichte melding). Voorwaarde is wel dat de specifieke omstandigheden sindsdien niet zijn gewijzigd.
- een verwerking plaatsvindt op grond van een wettelijke verplichting of publiekrechtelijke taak en de wetgever al een DPIA heeft uitgevoerd inzake die specifieke verwerking. De Rijksoverheid is namelijk nu al verplicht om bij de totstandkoming van nieuwe wetgeving een DPIA uit te voeren en daar rekening mee te houden. Deze uitzondering geldt niet als de AP toch heeft besloten dat een DPIA nodig is.
- de verwerking is opgenomen in een vrijstellingslijst van de AP. Deze is (nog) niet bekend.
- de verwerking plaatsvindt door een individuele arts, zorgprofessional of advocaat.
Betrek de FG en betrokkenen
Bent u van mening dat een DPIA niet uitgevoerd hoeft te worden? Dan moet u dit motiveren en documenteren. In die documentatie moet eventueel de mening van de functionaris gegevensbescherming (FG) worden meegenomen. Niet alleen de mening van de FG is belangrijk, maar ook de mening van de betrokkenen zelf. Soms moet de verantwoordelijke de betrokkenen (of hun vertegenwoordigers) naar hun mening vragen over de voorgenomen verwerking. Dit kan bijvoorbeeld middels een generieke studie, een vraag aan een ondernemingsraad/personeelsvertegenwoordiging of enquêtes. Besluit de verantwoordelijke dat het niet passend is om de mening te vragen, dan moet ook de motivering hiervoor gedocumenteerd worden.
Periodiek uitvoeren van DPIA’s
De DPIA moet voorafgaand aan de verwerking worden uitgevoerd en regelmatig worden herzien. Heeft u de risico’s in kaart gebracht en komt u tot de conclusie dat u geen maatregelen kunt vaststellen waarmee de risico’s worden beperkt? Dan moet u voorafgaande raadpleging aanvragen bij de AP. Dit houdt in dat u met de AP moet overleggen voordat u met de verwerking mag starten.