Misverstand 5: Data Protection Impact Assessment (DPIA)
Niet meer weg te denken uit het privacy-vocabulaire is een DPIA. Een nieuw onderwerp geïntroduceerd door de AVG. DPIA staat voor data protection impact assessment. Officieel spreekt de AVG van een Data Protection Impact Assessment (DPIA), wat in het Nederlands wordt vertaald als ‘gegevensbeschermingseffectbeoordeling’ (‘GEB’). Maar PIA, DPIA en GEB worden door elkaar gebruikt, al is PIA de bekendste afkorting.
Een goede manier om te bekijken of uw organisatie al voldoet aan de AVG is het uitvoeren van een audit of zogenaamde quick scan. Dit is géén DPIA. Het is een veel gehoord misverstand dat een DPIA wordt uitgevoerd ‘op een bedrijf of organisatie’, als een soort audit of quick scan. Dit is dus niet het geval. Een DPIA is een beoordeling van een specifieke verwerking.
De AVG schrijft voor dat een verwerkingsverantwoordelijke de impact van een voorgenomen verwerking moet toetsen, als deze voorgenomen verwerking een verhoogd risico vormt voor de betrokkene.
Wat is zo’n verhoogd risico?
Deze standaard van een ‘verhoogd risico’ is een open standaard. Dit betekent dat er in de AVG niet exact staat beschreven in welke gevallen er wel of geen sprake is van een verhoogd risico. Hierbij moet je letten op de volgende punten:
- Worden er bij de verwerking nieuwe technologieën gebruikt?
- De aard van de verwerking
- De omvang van de verwerking (de duur, het aantal verschillende gegevens, het aantal betrokkenen)
- De context van de verwerking
- Het doel voor de verwerking
Aan de hand van deze factoren zal je dus van tevoren moeten bekijken of de voorgenomen verwerking een verhoogd risico voor de rechten van de betrokkenen met zich meebrengt. Als dit het geval is, moet je de voorgenomen verwerking onderwerpen aan een DPIA.
Ook noemt de AVG een aantal gevallen waarin een DPIA altijd verplicht is. Dat is bij de volgende verwerkingen:
- Bij een verwerking die gebaseerd is op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die een rechtsgevolg hebben voor de betrokkene, of die een vergelijkbaar gevolg kunnen hebben voor de betrokkene.
- Hierbij kan je denken aan de gemeente die o.b.v. een aantal factoren met software geautomatiseerd bepaalt of een inwoner in aanmerking komt voor huurtoeslag. De gemeente verwerkt dan persoonsgegevens van de inwoner, de verwerking vindt geautomatiseerd plaats m.b.v. de software. Vervolgens trekt de software een conclusie: wel of geen huursubsidie. Dit is een besluit met een rechtsgevolg.
- Bij grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens
- Bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Impact Assessment
Nu zijn we aangekomen bij het IA-gedeelte van de DPIA. Wat houdt de impact assessment in? De AVG schrijft vier onderdelen voor die je tenminste moet meenemen in de beoordeling van de impact van de voorgenomen verwerking:
- Een systematische beschrijving van de beoogde verwerking, het doel en de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- Een beoordeling van de noodzaak en de evenredigheid van de verwerking met betrekking tot het doel;
- Een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
- De beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
Deze punten werk je uit en weeg je tegen elkaar af. Wanneer uit de DPIA blijkt dat de verwerking een hoog risico oplevert zonder dat er afdoende maatregelen zijn om de betrokkene te beschermen, dan moet de verwerkingsverantwoordelijke de Autoriteit Persoonsgegevens inlichten over de voorgenomen verwerking. Vervolgens houdt de Autoriteit Persoonsgegevens de voorgenomen verwerking nogmaals tegen het licht. De Autoriteit Persoonsgegevens beoordeelt of de verwerking inbreuk zou maken en geeft de verwerkingsverantwoordelijke schriftelijk advies hierover.
Privacy Company kan u helpen met een DPIA. Lees meer over onze diensten, of neem contact op.