Data Protection Impact Assessment (DPIA)

Wanneer een verwerkingsverantwoordelijke een verwerking van persoonsgegevens met een hoog risico uitvoert, moet hij in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren. Deze term is ook bekend als de data protection impact assessment (DPIA). Met een DPIA maakt een verwerkingsverantwoordelijke vooraf een inschatting van de gevolgen voor de privacy van de verwerking van persoonsgegevens en kunnen passende maatregelen worden genomen om de AVG na te leven.

WANNEER IS EEN DPIA VERPLICHT?

De AVG noemt drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is:

  • Wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaats gaat vinden, zoals bedoeld in artikel 9 lid 1 (bijzondere persoonsgegevens) of artikel 10 (strafrechtelijke persoonsgegevens) AVG.
  • Wanneer er stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten plaatsvindt;
    Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen; de hoeveelheid gegevens; de duur van de verwerking; de geografische reikwijdte van de verwerking. Als voorbeeld van een grootschalige verwerking noemen zij onder andere een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
  • Wanneer er een verwerking plaats gaat vinden waar een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen plaatsvindt. Deze beoordeling moet dan gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor natuurlijke personen rechtsgevolgen zijn verbonden of die deze natuurlijke personen op een vergelijkbare wijze treffen (art. 4 lid 4 AVG geeft de definitie van profilering).

De Autoriteit Persoonsgegevens heeft ook een lijst opgesteld van verwerkingen waarbij een DPIA moet worden uitgevoerd, voordat er met de verwerking begonnen wordt. Bijvoorbeeld bij fraudebestrijding door sociale diensten of bij samenwerkingsverbanden van overheidsorganisaties.

hoog risico

Ook bij verwerkingen die niet op de lijst van de AP staan kan het zijn dat het uitvoeren van een DPIA vereist is. Dat moet een decentrale overheid zelf beoordelen. De Europese privacytoezichthouders hebben negen criteria opgesteld die kunnen duiden op een hoog risico voor de privacyrechten van betrokkenen.

  • Beoordelen van mensen op basis van persoonskenmerken
  • Geautomatiseerde beslissingen
  • Stelselmatige en grootschalige monitoring
  • Gevoelige gegevens
  • Grootschalige gegevensverwerkingen
  • Gekoppelde databases
  • Gegevens over kwetsbare personen
  • Gebruik van nieuwe technologieën
  • Blokkering van een recht, dienst of contract

De vuistregel hierbij is dat wanneer een verwerking aan twee van deze criteria voldoet, er waarschijnlijk een DPIA moet worden uitgevoerd.

wat staat er in een dpia?

Een DPIA moet ten minste de volgende informatie bevatten (artikel 35 lid 7 AVG):

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
  • Beoordeling van de noodzaak en de evenredigheid;
  • Beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • Beoogde maatregelen om deze risico’s aan te pakken.

Mocht uit de DPIA komen dat de verwerking nog steeds een hoog risico inhoudt voor de privacy van de betrokkene, bijvoorbeeld wanneer de verwerkingsverantwoordelijke geen passende technische en organisatorische maatregelen neemt om dit risico te beperken, moet hij op grond van artikel 36 de nationale toezichthouder raadplegen. Na deze voorafgaande raadpleging beslist de Autoriteit Persoonsgegevens (AP) dan of de verwerking een inbreuk maakt op de AVG of niet.

meer weten OVER de dpia?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


X