Checklist: Data protection impact assessment (DPIA)

16-07-2018

Jan Berkvens

Op grond van de AVG kunnen verwerkingsverantwoordelijken verplicht zijn een gegevensbeschermingseffectbeoordeling, oftewel een data protection impact assessment (DPIA) uit te voeren (art. 35 AVG). Voor de rijksdienst gold deze verplichting reeds vóór de in werkingtreding van de AVG. Een DPIA is een methodiek om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en waar mogelijk te mitigeren. Een DPIA is een belangrijk verantwoordingsinstrument. Het helpt uw organisatie niet alleen om aan de eisen van de AVG te voldoen, maar helpt ook om aan te tonen dat passende maatregelen zijn genomen teneinde te voldoen aan de AVG (art. 5 lid 2 jo. art. 24 AVG).

Organisaties hoeven niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is slechts verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (art. 35 lid 1 AVG en WP 248).

Ook indien een DPIA niet verplicht is, is het uitvoeren van een (gedeeltelijke) DPIA raadzaam bij een (nieuwe) gegevensverwerking. Men spreekt in een dergelijk geval van een ‘DPIA-light’ of een ‘Privacy Quick Scan’. Organisaties kunnen op deze manier ook voor deze verwerkingen de privacyrisico’s in kaart brengen en mitigeren. Een “DPIA light” of “Privacy Quick Scan” draagt bij aan de aantoonbaarheid van compliance maatregelen.

Wanneer dient uw organisatie een DPIA uit te voeren (art. 35 lid 1, 3 en 4 AVG):

De DPIA moet worden uitgevoerd voorafgaand aan de betreffende gegevensverwerking, indien sprake is van een van de volgende gevallen (art. 35 lid 1, 3 en 4 en overwegingen 90 t/m 93):

wanneer sprake is van een hoog risico, gelet op (art. 35 lid 1 AVG):

  • het gebruik van nieuwe technologieën;
  • de aard van de gegevensverwerking;
  • de omvang van de gegevensverwerking;
  • de context van de gegevensverwerking;
  • de doeleinden van de gegevensverwerking.

in de volgende situaties (art. 35 lid 3 AVG):

  • uw organisatie maakt gebruikt maak van besluitvorming of soortgelijke maatregelen die zijn gebaseerd op geautomatiseerde verwerking zoals profilering;
  • uw organisatie verwerkt grootschalig bijzondere categorieën van persoonsgegevens;
  • uw organisatie controleert stelselmatig en grootschalig openbare toegankelijke ruimten.

de Europese Privacytoezichthouders hebben de criteria van art. 35 lid 3 AVG in WP 1248 verfijnd en aanvullende criteria opgesteld aan de hand waarvan kan worden beoordeeld of sprake is van een hoog risico. Indien de gegevensverwerking voldoet aan meer criteria, is het waarschijnlijker dat sprake is van een hoog risico:

  • het evalueren en beoordelen van betrokkenen, waaronder profileren en voorspellen (zie ook art. 35 lid 3(a) AVG);
  • geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare gevolgen;
  • systematische observatie, monitoring of controle (zie ook art. 35 lid 3(c) AVG);
  • verwerking van bijzondere, strafrechtelijke of anderszins gevoelige persoonsgegevens (zie ook art. 35 lid 3(b) AVG);
  • grote gegevensverwerkingen, gelet op het aantal betrokkenen, de hoeveelheid persoonsgegevens, de duur en geografische reikwijdte van de verwerking;
  • koppelen en combineren van datasets;
  • kwetsbare betrokkenen die gegeven de situatie minder in staat zijn om vrijelijk toestemming te geven dan wel op te komen tegen de gegevensverwerking, zoals werknemers, kinderen, verstandelijk beperkten, asielzoekers, ouderen en patiënten;
  • gebruikmaking van nieuwe technologieën; • grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Europese Unie;

wanneer de gegevensverwerking is verplicht door de nationale privacytoezichthouder en is opgenomen in een daartoe bestemde lijst (zwarte lijst) (art. 35 lid 4 AVG).

Wanneer is sprake van een uitzondering en/of is het niet verplicht voor uw organisatie om een DPIA uit te voeren (art. 35 lid 5 en lid 10 AVG):

wanneer een soort verwerking waarschijnlijk géén hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen;
wanneer de aard, omvang, context en doeleinden van de gegevensverwerking dusdanig vergelijkbaar zijn met een gegevensverwerking waarvoor reeds een DPIA is uitgevoerd (WP 248);
wanneer de gegevensverwerking reeds is gecontroleerd door de nationale privacytoezichthouder vóór 25 mei 2018 en de omstandigheden niet zijn gewijzigd (WP 248);
wanneer de gegevensverwerking expliciet niet is verplicht door de nationale privacytoezichthouder en is opgenomen in een daartoe bestemde lijst (witte lijst) (art. 35 lid 5 AVG);
wanneer de gegevensverwerking zijn rechtsgrond vindt in een wettelijke verplichting of een taak van algemeen belang (art. 6 sub c of e AVG), en in het kader van het vaststellen van deze rechtsgrond reeds een DPIA is uitgevoerd (art. 35 lid 10 AVG);
wanneer de verwerking reeds is gecontroleerd door de FG (WP 248).

Wat dient uw organisatie te doen met bestaande gegevensverwerkingen (WP 248):

In beginsel hoeft uw organisatie bij bestaande verwerkingen geen DPIA uit te voeren, tenzij sprake is van (een van) onderstaande situaties (overweging 89 en 171 AVG):

wanneer een bestaande – reeds door de privacytoezichthouder of FG gecontroleerde - gegevensverwerking is gewijzigd, gelet op:

  • het bereik van de gegevensverwerking;
  • het doel van de gegevensverwerking;
  • de verwerkte persoonsgegevens van de gegevensverwerking;
  • de identiteit van de verwerkingsverantwoordelijke of ontvangers van de gegevensverwerking;
  • bewaartermijnen van de gegevensverwerking;
  • technische en organisatorische maatregelen van de gegevensverwerking;
  • gewijzigde risico’s van de gegevensverwerking.

in het kader van evaluatie en accountability wanneer sprake is van een bestaande gegevensverwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen en waarvoor nog geen DPIA is uitgevoerd (overweging 89 en 171 AVG, alsmede art. 5 lid 2 AVG).

Voorbeelden van gegevensverwerkingen die met behulp van een DPIA kunnen worden beoordeeld (niet uitputtend) (zie ook WP 248):

een gegevensverwerking die zich toespitst op één onderwerp of project, zoals:

  • de introductie van een nieuw toegangspasjessysteem;
  • de ingebruikname van een ziekenhuisinformatiesysteem;
  • het stelselmatig volgen van activiteiten van medewerkers op het internet;
  • de ingebruikname van een e-mailadressenlijst voor het verzenden van informatie;
  • de weergave van reclames op een website gebaseerd op surfgedrag.

meerdere gegevensverwerkingen die met elkander vergelijkbaar zijn, gekeken naar het bereik, doel, de context en risico’s, zoals:

  • het uitrollen van cameratoezicht binnen meerdere stations;
  • de ingebruikname van (slimme) camera’s op snelwegen.

een gegevensverwerking die zich toespitst op het gebruik van een nieuwe techniek, waaronder hardware of software, zoals:

  • de introductie van een slimme energiemeter;
  • de introductie van een IoT-device.

Het is mogelijk dat hierboven voorbeelden staan waarbij in het concrete geval géén sprake is van de waarschijnlijkheid dat de verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, waardoor uw organisatie geen DPIA hoeft uit te voeren. Indien dit het geval is dient uw organisatie gedocumenteerd te rechtvaardigen waarom dit zo is en waarom er gekozen is voor het niet uitvoeren van een DPIA (comply or explain) (zie hiervoor WP 248).

Aan welke vereisten moet de DPIA minimaal voldoen (art. 35 lid 7 AVG):

beschrijving kenmerken gegevensverwerking - een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
beoordeling rechtmatigheid gegevensverwerkingen - een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
beschrijving en beoordeling risico’s voor betrokkenen - een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
beschrijving voorgenomen maatregelen - de beoogde maatregelen om de risico's aan te pakken en om aan te tonen dat aan deze verordening is voldaan;
de DPIA hoeft niet door de organisatie gepubliceerd te worden, maar het wordt wel geadviseerd door de Europese Privacytoezichthouders om zo het vertrouwen en transparantie te vergroten. Dit kan anders zijn ingeval het een DPIA voor overheden betreft;
de DPIA dient desgevraagd aan de privacytoezichthouder te worden verstrekt.

Evaluatie, controle en hernieuwen DPIA (art. 35 lid 11 AVG):

indien nodig dient uw organisatie een toetsing te verrichten om te beoordelen of de actuele gegevensverwerking nog steeds overeenkomstig de DPIA wordt uitgevoerd;
een evaluatie is verplicht indien de risico’s van de gegevensverwerking wijzigen;
de Europese privacytoezichthouders bevelen als good practice om de DPIA elke 3 jaar opnieuw uit te voeren.

Rol van FG en verwerken informatie FG, verwerker en betrokkenen:

De DPIA moet door of in opdracht van de verwerkingsverantwoordelijke worden uitgevoerd. Het is echter mogelijk dat uw organisatie advies of informatie moet inwinnen van personen binnen en/of buiten uw organisatie:

indien uw organisatie een FG heeft aangesteld dient diens advies te worden verwerkt in de DPIA. Ook moet hij toezien op de uitvoering van de DPIA (art. 35 lid 2 en 39 lid 1 sub c AVG en zie hiervoor WP 248 en WP 243);
indien uw organisatie een Chief Information (Security) Officer (CISO / CIO) heeft aangesteld dient diens advies te worden verwerkt in de DPIA (zie hiervoor WP 248);
indien uw organisatie gebruik maakt van de diensten van een verwerker dient deze medewerking te verlenen aan het uitvoeren van de DPIA (art. 28 lid 3 sub f AVG);
uw organisatie dient bij het uitvoeren van de DPIA “in voorkomend geval” de zienswijze van betrokkenen of hun vertegenwoordigers te verwerken (art. 35 lid 9 AVG). Indien dit niet gebeurd of de zienswijze afwijkt van die van de verwerkingsverantwoordelijke dient dit gedocumenteerd te worden gerechtvaardigd (comply or explain). Deze zienswijze kan op verschillende manieren worden verkregen:

  • het verwerken van studies gerelateerd aan het doel van de gegevensverwerking;
  • de zienswijze van een de teamleider (indien de betrokkenen medewerkers zijn);
  • een enquête onder (toekomstige) klanten.

DPIA voor overheden:

voor de rijksdienst (waaronder niet begrepen: zelfstandige bestuursorganen, defensie, politie, rechterlijke macht en decentrale overheden) geldt de verplichting tot het uitvoeren van een (D)PIA reeds sinds 2013. De overheid heeft een vernieuwd toetsmodel gegevensbeschermingseffectbeoordeling rijksdienst 2017 (PIA) opgesteld (in lijn met de AVG), dat geldt voor de rijksdienst. Dit model is te vinden via de website van de overheid (https://www.rijksoverheid.nl/documenten/rapporten/2017/09/29/model-gegevensbeschermingseffectbeoordeling-rijksdienst-pia).

Overige aandachtspunten:

indien uw organisatie niet met zekerheid kan vaststellen dat er géén DPIA moet worden uitgevoerd, is het advies van de Europese privacytoezichthouders in die gevallen zekerheidshalve een DPIA uit te voeren (WP 248);
indien uit de DPIA blijkt dat de gegevensverwerking een hoog risico zou opleveren indien géén maatregelen worden getroffen om het risico te beperken, moet, voorafgaand aan de verwerking, de privacytoezichthouder worden geraadpleegd (art. 36 lid 1 AVG).

DPIA


Dit is een checklist uit de uitgave Checklist Privacy AVG: privacybeleid in 57 checklists

Dit artikel is ook te vinden in het dossier AVG

Van onze partners

AVG voor griffiers

→ Lees meer

Privacy-aspecten in fusies en overnames in vogelvlucht

→ Lees meer

Persoonsgegevens in faillissement

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer