Data protection impact assessment (DPIA)

Volgens artikel 35 van de Algemene verordening gegevensbescherming (AVG) moet een verwerkingsverantwoordelijke in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren wanneer hij een verwerking van persoonsgegevens met een hoog risico uitvoert. Deze term is ook bekend als de data protection impact assessment (DPIA). Met een DPIA maakt een verwerkingsverantwoordelijke voorafgaand aan de verwerking een inschatting van de gevolgen voor de persoonlijke levenssfeer van de betrokkene en welke passende maatregelen hij kan nemen om de AVG na te leven. De betrokkene is degene van wie de persoonsgegevens worden verwerkt.

Wanneer is een DPIA verplicht volgens de AVG?

De AVG noemt drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is (artikel 3 AVG):

  • Wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaats gaat vinden, zoals bijzondere persoonsgegevens (artikel 9 lid 1 AVG) of strafrechtelijke persoonsgegevens (artikel 10 AVG).
  • Wanneer er stelselmatige en grootschalige monitoring van mensen plaatsvindt in openbaar toegankelijke ruimten.
    • Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen, de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte van de verwerking.
    • Voorbeelden van grootschalige verwerkingen zijn ziekenhuizen die patiëntgegevens verwerken of cameratoezicht op straat.
  • Wanneer een systematische verwerking van persoonsgegevens uitgebreid de persoonlijke aspecten beoordeelt van de betrokkenen.
    • Sommige organisaties nemen besluiten over mensen op basis van automatisch verwerkte gegevens. Het is dan niet een persoon die het besluit neemt bij bijvoorbeeld sollicitaties, maar de computer die sollicitanten op bepaalde profielgegevens beoordeelt. Deze automatische beoordeling gebaseerd op profielgegevens, ook wel profilering genoemd, kan rechtsgevolgen hebben voor de betrokkenen of hen op vergelijkbare wijze treffen.

DPIA verplicht volgens de Autoriteit Persoonsgegevens

Naast de AVG heeft de AP een lijst opgesteld van verwerkingen waarbij een DPIA moet worden uitgevoerd, voordat er met de verwerking begonnen wordt. Dit is bijvoorbeeld bij fraudebestrijding door sociale diensten of bij samenwerkingsverbanden van overheidsorganisaties.

Ook bij verwerkingen die niet op de lijst van de AP staan kan het zijn dat het uitvoeren van een DPIA vereist is. Dat moet een decentrale overheid zelf beoordelen op basis van de wettelijke criteria en op basis van de lijst van de Europese privacytoezichthouders.

Negen criteria

Europese privacytoezichthouders hebben negen criteria opgesteld die kunnen duiden op een hoog risico voor de persoonlijke levenssfeer van de betrokkene:

  1. Beoordelen van mensen op basis van persoonskenmerken;
  2. Geautomatiseerde beslissingen;
  3. Stelselmatige en grootschalige monitoring;
  4. Gevoelige gegevens;
  5. Grootschalige gegevensverwerkingen;
  6. Gekoppelde databases;
  7. Gegevens over kwetsbare personen;
  8. Gebruik van nieuwe technologieën;
  9. Blokkering van een recht, dienst of contract.

De vuistregel hierbij is dat wanneer een verwerking aan twee van deze criteria voldoet, er waarschijnlijk een DPIA moet worden uitgevoerd.

Wat staat er in een DPIA?

Een DPIA moet ten minste de volgende informatie bevatten (artikel 35 lid 7 AVG):

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
  • Beoordeling van de noodzaak en de evenredigheid van de verwerking;
  • Beoordeling van de risico’s voor de rechten en vrijheden van de betrokkene bij de verwerking;
  • Beoogde maatregelen om deze risico’s aan te pakken.

Mocht uit de DPIA komen dat de verwerking nog steeds een hoog risico inhoudt voor de privacy van de betrokkene, bijvoorbeeld wanneer de verwerkingsverantwoordelijke geen passende technische en organisatorische maatregelen neemt om dit risico te beperken, moet hij de AP raadplegen (artikel 36 AVG). Na deze voorafgaande raadpleging beslist de AP dan of de verwerking een inbreuk maakt op de AVG of niet.