(Hoe) moeten wij als gemeente de DPIA uitvoeren? (update)

maart 2018

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?

Antwoord in het kort:

Ja, het is mogelijk dat u als gemeente verplicht een zogenoemde ‘gegevensbeschermingseffectbeoordeling’ moet uitvoeren. Deze moet uitgevoerd worden wanneer de verwerking van persoonsgegevens gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen. In de praktijk wordt dit ook wel een Data Protection Impact Assessment (DPIA) genoemd.

(Decentrale) overheden moeten zich vanaf 25 mei 2018 volledig aan de bepalingen in de Algemene verordening gegevensbescherming (AVG) houden. De AVG verplicht de verwerkingsverantwoordelijke en/of verwerker van persoonsgegevens om in bepaalde situaties een DPIA uit te voeren. Een DPIA moet worden uitgevoerd om de oorsprong, de aard, het specifieke karakter en de ernst van het risico te evalueren. Zo kunnen passende maatregelen genomen worden om de Algemene verordening gegevensbescherming (AVG) na te leven.

Gegevensbeschermingseffectbeoordeling

Lid 1 van artikel 35 AVG stelt wanneer in het algemeen een DPIA moet worden uitgevoerd. Bij de verwerking van persoonsgegevens, en in het bijzonder een waarbij nieuwe technologieën gebruikt worden, en die gelet op de aard, omvang context en doeleinden waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet een DPIA uitgevoerd worden. U moet dan voorafgaand aan de verwerking een inschatting doen van de gevolgen met betrekking tot privacy. Wat is de impact van de verwerking, wat zijn de risico’s en is er een aanpak die minder gevolgen heeft voor de privacy van de betrokkenen?

Uit lid 1 blijkt dat een nieuwe technologie voor het verwerken van persoonsgegevens een risico zou kunnen inhouden voor de rechten en vrijheden van natuurlijke personen. Echter, de AVG noemt maar drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is:

Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen; de hoeveelheid gegevens; de duur van de verwerking; de geografische reikwijdte van de verwerking. Als voorbeeld van een grootschalige verwerking noemen zij onder andere een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

Het uitvoeren van een DPIA is momenteel al verplicht bij de ontwikkeling van nieuwe ICT-systemen of de aanleg van grote databestanden door de Rijksoverheid.

Lijst verplichte DPIA Autoriteit Persoonsgegevens

De toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens, heeft het recht om een lijst op te stellen van het soort verwerkingen waarvoor een DPIA verplicht is. Daarnaast kan de AP ook een lijst opstellen van het soort verwerkingen waarvoor geen DPIA vereist is.

Negen toetsingscriteria

Alle Europese toezichthouders, verenigd in de Artikel 29-Werkgroep, hebben richtsnoeren opgesteld over het bepalen van een hoog risico van een verwerking. Hierin noemen zij negen criteria om te toetsen of er een DPIA moet worden uitgevoerd.

Wanneer een verwerking aan twee van deze criteria voldoet, moet er waarschijnlijk een DPIA worden uitgevoerd. Ook als de verwerking slechts aan een criteria voldoet kan het risico voor de rechten en vrijheden van de betrokkenen zo hoog zijn, dat er een DPIA uit moet worden gevoerd. Dit kan per verwerking verschillen.  Het is altijd aan te raden goed te onderbouwen waarom u er voor kiest geen DPIA uit te voeren, zelfs als uw verwerking slechts aan een van deze criteria voldoet.

Eenzelfde PIA voor vergelijkbare projecten 

Wanneer projecten voor het verwerken van persoonsgegevens op elkaar lijken, is het niet nodig om voor elk project een nieuwe DPIA uit te voeren. Eenzelfde DPIA mag gebruikt worden voor verwerkingen die vergelijkbare hoge risico’s tot het schenden van de rechten en vrijheden van de verwerker met zich mee brengen.

Wanneer bijvoorbeeld meerdere overheidsinstanties een applicatie- of verwerkingsplatform willen opzetten, of wanneer meerdere overheidsinstanties van plan zijn om een gemeenschappelijke verwerkingsomgeving in te voeren voor bijvoorbeeld één afdeling, dan kan er ook één DPIA uitgevoerd worden.

verandering bestaande verwerking

Ook voor bestaande verwerkingen kan een DPIA moeten worden uitgevoerd. Dit is het geval wanneer er iets verandert aan het risico van de gegevensverwerking, en de gegevensverwerking vervolgens een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen. Door technologische ontwikkelingen kan bijvoorbeeld een onderdeel van het verwerkingsproces wijzigen.

De Autoriteit Persoonsgegevens raadt hierdoor aan om periodiek een DPIA uit te voeren, bijvoorbeeld elke drie jaar.

Wat moet er in een PIA staan?

Er moet bij elk geval van verwerking apart gekeken worden of en hoe een DPIA moet worden uitgevoerd. De AVG stelt in artikel 35 lid 7 AVG dat een PIA ten minste onderstaande informatie moet bevatten:

Functionaris Gegevensbescherming

Artikel 37 AVG stelt dat overheidsinstanties en overheidsorganen verplicht een Functionaris voor Gegevensbescherming (FG) moeten aanwijzen. U kunt daar hier meer over lezen. Bij het uitvoeren van een DPIA moet de verwerkingsverantwoordelijke ook advies inwinnen van de FG (art. 35 lid 2).

hoog risico? voorafgaande raadpleging ap

De AP moet voorafgaand aan de verwerking geraadpleegd worden, wanneer uit de DPIA blijkt dat de verwerking een hoog risico oplevert wanneer geen maatregelen genomen worden om dit risico in te perken. De verwerkingsverantwoordelijke moet dan onder andere de DPIA toesturen evenals de maatregelen die worden geboden ter bescherming van de rechten en vrijheden van de betrokkene (art. 36 AVG).

Wanneer de verplichting tot het niet uitvoeren van een DPIA niet wordt nageleefd, kan een boete gegeven worden van maximaal  €10.000.000,- of 2% van de wereldwijde omzet (art. 83 lid 4 sub a AVG).

Door:

Femke Salverda en Juliëtte Fredriksz, Europa decentraal

Meer informatie:

Privacy, Themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een
verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679, Artikel 29-Werkgroep
Data Protection Impact Assessment (DPIA), Autoriteit persoonsgegevens
Procedures van Autoriteit Persoonsgegevens aangepast, Nieuwsbericht Europa decentraal
Functionaris voor Gegevensbescherming, Europa decentraal

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X