Avg uitgelegd: Data Protection Impact Assessment (DPIA)

AVG

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: is de Avg nog helemaal nieuw voor je? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op het Data Protection Impact Assessment.

Voor het laatst bijgewerkt in oktober 2020.

Wat is een Data Protection Impact Assessment?

Een Data Protection Impact Assessment (DPIA) is een verplicht instrument om vooraf na te denken over de privacy-risico’s van een bepaalde gegevensverwerking en deze risico’s vervolgens te verkleinen door aanpassingen te doen.

De Avg gebruikt in de Engelse versie de nieuwe term Data Protection Impact Assessment. De Nederlandse versie spreekt van “gegevensbeschermingseffectbeoordeling” – een mond vol, dus houden we het hier bij DPIA.

Is het nieuw?

Ja, de brede verplichting is nieuw. En nee, het instrument DPIA bestond al en was bijvoorbeeld verplicht voor de Rijksoverheid. Door sommige bedrijven werd dit instrument vrijwillig ingezet. Daarnaast bestond er de mogelijkheid om bij de Autoriteit Persoonsgegevens (AP) een voorafgaand onderzoek te vragen bij verwerkingen met bijzondere privacy-risico’s. Het past bij de grotere nadruk die de Avg legt op accountability om nu de onderzoeksplicht bij de bedrijven zelf neer te leggen.

Wie moet een DPIA doen?

De verantwoordelijke moet een Data Protection Impact Assessment uitvoeren. Wil je weten wie de verantwoordelijke is? Kijk dan hier om een idee te krijgen van de Avg-basisbegrippen (zoals ‘verantwoordelijke’ en ‘verwerker/bewerker’).

Wat is mijn rol als verwerker bij een DPIA?

Ben je verwerker en voert de verantwoordelijke (vaak: jouw klant) een DPIA uit voor een verwerking van persoonsgegevens die jij voor hem doet? Dan moet je jouw klant daarbij ondersteunen door alle benodigde informatie te verstrekken. Het gaat dan bijvoorbeeld om informatie over de beveiligingsmaatregelen die in de software ingebouwd zijn. Verder gaat het om informatie over alle andere technische en organisatorische beveiligingsmaatregelen die je getroffen hebt om te helpen de privacy te waarborgen bij de gegevensverwerking.

Hoe pak ik als verantwoordelijke een DPIA aan?

De eerste stap is uiteraard: bepaal of het uitvoeren van een PIA nodig is. Vervolgens ga je de PIA voorbereiden en vraag je (zo nodig) advies aan derden (zoals de Functionaris voor de Gegevensbescherming, betrokkenen en/of de verwerker). De kern van de PIA is het in kaart brengen van de verwerking (wat ga ik nu eigenlijk doen, met welk doel?) en de impact daarvan op de privacy (wat zijn de gevolgen voor de mensen van wie ik gegevens verwerk?). Vervolgens kijk je of je maatregelen kunt treffen om de privacy-impact te verkleinen.

Lukt het niet de impact terug te brengen tot een acceptabel niveau, dan ben je verplicht om de Autoriteit Persoonsgegevens te raadplegen. Tot slot maak je een rapportage waar je de uitkomsten van de PIA in opschrijft. We hebben voor leden een uitgebreid PIA stappenplan uitgewerkt. Deze is voor leden te vinden op ons ledenportal.

Voor welke verwerkingen moet ik een PIA doen?

Je moet een PIA uitvoeren bij verwerkingen die mogelijk een groot privacy-risico met zich meebrengen. Bijvoorbeeld door de aard van de verwerking, de omvang, de context of het doel van de verwerking. In het bijzonder is een PIA nodig bij:

  • Grootschalige verwerking van bijzondere gegevens of
  • Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die gebaseerd is op geautomatiseerde verwerking (bijvoorbeeld profiling) en daarop gebaseerde beslissingen die die personen raken
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten

Maar ook gekoppelde databases met informatie over kwetsbare groepen personen kan bijvoorbeeld aanleiding zijn voor het doen van een PIA.

In het PIA stappenplan is nader uitgewerkt aan wat voor soort verwerkingen gedacht moet worden.

Op welk moment moet ik een DPIA doen?

Tip: begin zo vroeg mogelijk met analyseren óf je een DPIA moet doen en voer DPIA’s zo vroeg mogelijk uit. Het is vroeg in het traject (bijvoorbeeld de ontwerpfase) vaak nog makkelijk om wijzigingen door te voeren en bijvoorbeeld aan je leverancier specifieke features te vragen, die later wellicht lastig in te bouwen zijn. Daarnaast is het verplicht om, wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de DPIA vóór de verwerking uit te voeren (artikel 35 lid 1 AVG). Op deze manier geef je relatief eenvoudig invulling aan de wettelijk vereiste principes van privacy by design en default.

Dit betekent niet dat deze begrippen na het uitvoeren van de DPIA geen rol meer spelen. Gegevensverwerkingen of inzichten kunnen veranderen en daardoor verandert wellicht ook de uitkomst van de DPIA. Aanpassing of nogmaals uitvoeren van de DPIA kan dan nodig zijn.

Je partners en klanten laten zien dat je Avg-proof bent?

Dat doe je met het onafhankelijke Data Pro Certificate. Bij aanmelding ontvang je direct relevante tools en toegang tot workshops om je optimaal voor te bereiden!

Meer weten?

Wat als ik nog vragen heb?

Met onze Data Pro Dienstverlening geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. NLdigital organiseert ook verschillende workshops en bijeenkomsten. Leden van NLdigital kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen.