Avg uitgelegd: Data Protection Impact Assessment (DPIA)
In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op het Data Protection Impact Assessment.
Wat is een Data Protection Impact Assessment?
Een Data Protection Impact Assessment (DPIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen.
De Avg gebruikt in de Engelse versie de nieuwe term Data Protection Impact Assessment. De Nederlandse versie spreekt van “gegevensbeschermingseffectbeoordeling” – een mond vol, dus houden we het hier bij DPIA.
Is het nieuw?
Ja, de brede verplichting is nieuw. En nee, het instrument DPIA bestond al en was bijvoorbeeld verplicht voor de Rijksoverheid. Door sommige bedrijven werd dit instrument vrijwillig ingezet. Daarnaast bestond er de mogelijkheid om bij de Autoriteit Persoonsgegevens (AP) een voorafgaand onderzoek te vragen bij verwerkingen met bijzondere privacy-risico’s. Het past bij de grotere nadruk die de Avg legt op accountability om nu de onderzoeksplicht bij de bedrijven zelf neer te leggen.
Wie moet een DPIA doen?
De verantwoordelijke moet een Data Protection Impact Assessment uitvoeren. Wil je weten wie de verantwoordelijke is? Kijk dan hier om een idee te krijgen van de Avg-basisbegrippen (zoals ‘verantwoordelijke’ en ‘verwerker/bewerker’).
Wat is mijn rol als verwerker bij een DPIA?
Ben je verwerker en voert de verantwoordelijke (vaak: jouw klant) een DPIA uit voor een verwerking van persoonsgegevens die jij voor hem doet? Dan moet je jouw klant daarbij ondersteunen door alle benodigde informatie te verstrekken. Het gaat dan bijvoorbeeld om informatie over de beveiligingsmaatregelen die in de software ingebouwd zijn. Verder gaat het om informatie over alle andere technische en organisatorische beveiligingsmaatregelen die je getroffen hebt om te helpen de privacy te waarborgen bij de gegevensverwerking.
Hoe pak ik als verantwoordelijke een DPIA aan?
De eerste stap is uiteraard: bepaal of het uitvoeren van een DPIA nodig is. Vervolgens ga je de DPIA voorbereiden en vraag je (zo nodig) advies aan derden (zoals de Functionaris voor de Gegevensbescherming, betrokkenen en/of de verwerker). De kern van de DPIA is het in kaart brengen van de verwerking (wat ga ik nu eigenlijk doen, met welk doel?) en de impact daarvan op de privacy (wat zijn de gevolgen voor de mensen van wie ik gegevens verwerk?). Vervolgens kijk je of je maatregelen kunt treffen om de privacy-impact te verkleinen.
Lukt het niet de impact terug te brengen tot een acceptabel niveau, dan ben je verplicht om de Autoriteit Persoonsgegevens te raadplegen. Tot slot maak je een rapportage waar je de uitkomsten van de DPIA in opschrijft. We hebben voor leden een uitgebreid DPIA stappenplan uitgewerkt.
Voor welke verwerkingen moet ik een DPIA doen?
Je moet een DPIA uitvoeren bij verwerkingen die mogelijk een groot privacy-risico met zich meebrengen. Bijvoorbeeld door de aard van de verwerking, de omvang, de context of het doel van de verwerking. In het bijzonder is een DPIA nodig bij:
- Grootschalige verwerking van bijzondere gegevens of
- Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die gebaseerd is op geautomatiseerde verwerking (bijvoorbeeld profiling) en daarop gebaseerde beslissingen die die personen raken
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten
Maar ook gekoppelde databases met informatie over kwetsbare groepen personen kan bijvoorbeeld aanleiding zijn voor het doen van een DPIA.
In het DPIA stappenplan is nader uitgewerkt aan wat voor soort verwerkingen gedacht moet worden.
Op welk moment moet ik een DPIA doen?
Tip: begin zo vroeg mogelijk met analyseren óf je een DPIA moet doen en voer DPIA’s zo vroeg mogelijk uit. Het is vroeg in het traject (bijvoorbeeld de ontwerpfase) vaak nog makkelijk om wijzigingen door te voeren en bijvoorbeeld aan je leverancier specifieke features te vragen, die later wellicht lastig in te bouwen zijn. Daarnaast is het verplicht om, wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de DPIA vóór de verwerking uit te voeren (artikel 35 lid 1 AVG). Op deze manier geef je relatief eenvoudig invulling aan de wettelijk vereiste principes van privacy by design en default.
Dit betekent niet dat deze begrippen na het uitvoeren van de DPIA geen rol meer spelen. Gegevensverwerkingen of inzichten kunnen veranderen en daardoor verandert wellicht ook de uitkomst van de DPIA. Aanpassing of nogmaals uitvoeren van de DPIA kan dan nodig zijn.
Meer informatie
Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.
Gerelateerde artikelen
3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht
Een datalekkenprotocol: waarom is dat belangrijk?
