Stap 3 AVG implementatie: Data Protection Impact Assessment

Gegevensbeschermingseffectbeoordeling
In situaties waarin mogelijk sprake is van een hoog privacy risico zijn organisaties verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Tijdens een DPIA worden privacy risico’s van gegevensverwerking in kaart gebracht om vervolgens maatregelen te kunnen nemen om die risico’s te verkleinen. Van een hoog privacy risico is sprake wanneer een organisatie bijvoorbeeld systematisch en uitvoerig persoonlijke aspecten evalueert waaronder profiling. Ook wanneer bijzondere persoonsgegevens op grote schaal worden verwerkt of wanneer systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht) is sprake van verhoogd risico. 

Bepaal of van toepassing
De werkgroep van Europese privacy toezichthouders (WP29) heeft een lijst van negen criteria opgesteld die kunnen worden gebruikt om vast te stellen of een DPIA moet worden uitgevoerd. Wanneer aan tenminste twee van de volgende criteria wordt voldaan, is het een DPIA verplicht. 

1. Beoordelen van mensen op basis van persoonskenmerken
   Vindt profiling plaats? Worden prognoses gemaakt op basis van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of hobby’s, betrouwbaarheid of gedrag?
   Voorbeelden zijn: kredietwaardigheid vaststellen, gezondheidsrisico’s bepalen door verzekeraars, uitvoeren van DNA-tests.  
2. Geautomatiseerde beslissingen
   Een computerprogramma bepaalt of iemand wordt goedgekeurd of afgewezen op basis van persoonsgegevens. 
3. Stelselmatige en grootschalige monitoring
   Het gaat hier met name om monitoring in openbaar toegankelijke ruimten, bijvoorbeeld in het geval van cameratoezicht. Betrokkenen weten veelal niet wie de gegevens verzamelt, wat er mee gebeurt én ze kunnen zich er niet aan onttrekken.
4. Gevoelige gegevens
   In artikel 9 van de AVG zijn bijzondere categorieën van persoonsgegevens vermeld, zoals politieke voorkeuren, strafrechtelijke gegevens en financiële gegevens. 
5. Grootschalige gegevensverwerking
   De AVG geeft geen goede definitie wat wordt verstaan onder grootschalig, maakt reikt wel enkele criteria aan: het aantal mensen waarvan persoonsgegevens worden verwerkt, de hoeveelheid persoonsgegevens, de duur van de gegevensverwerking en de geografische reikwijdte. Enkele voorbeelden zijn: patiëntgegevens in een ziekenhuis, reisinformatie van mensen die gebruik maken van het openbaar vervoer in een bepaalde stad, marktonderzoek voor een fastfoodketen voor statistische doeleinden, verzekeringsmaatschappij en bank die persoonsgegevens verwerken en zoekmachines die persoonsgegevens verwerken voor gepersonifieerde reclame. 
6. Gekoppelde databases
   Moderne technologie maakt het mogelijk gegevensbestanden te koppelen waardoor verbanden kunnen worden gelegd en conclusies getrokken die de betrokkenen redelijkerwijs niet hoeven en/of kunnen verwachten.
7. Gegevens over kwetsbare personen
   Van kwetsbare personen is sprake in het geval van een ongelijke machtsverhouding. De kwetsbare persoon kan dan niet in volledige vrijheid toestemming weigeren of geven om de persoonsgegevens te verwerken. Dit is bijvoorbeeld het geval bij werknemers, kinderen en patiënten.
8. Gebruik van nieuwe technologieën
   Nieuwe technologieën kunnen gegevens verzamelen en gebruiken met mogelijk grote privacy risico’s. Zo kunnen sommige ‘Internet of Things’-toepassingen serieuze consequenties hebben op de privacy van mensen.
9. Blokkering van een recht, dienst of contract
   Hiervan is sprake indien de gegevensverwerking tot gevolg heeft dat mensen hun recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet afsluiten. 

Voorwaarden waaraan de DPIA dient te voldoen
De DPIA dient tenminste de volgende onderwerpen te bevatten:

1. Een systematische beschrijving van de gegevensverwerkingen en doeleinden daarvan. 
2. De beoordeling van de noodzaak om de persoonsgegevens te verwerken. Hierbij is het van belang dat het doel in een redelijke verhouding staat tot de inbreuk op de privacy van de betrokkenen. 
3. De beoordeling van privacy risico’s voor betrokkenen. 
4. De maatregelen op de risico’s af te dekken en aan te tonen dat aan de AVG wordt voldaan. 

Niet verplicht
Het publiceren van de DPIA is niet verplicht. Overwogen kan worden een samenvatting of conclusie te publiceren.
In voorkomende gevallen is het aan te raden vrijwillig een DPIA uit te voeren. Dit komt niet alleen de gegevensbescherming te goede maar levert ook veel informatie die de organisatie goed kan gebruiken om de kwaliteit van de gegevensverwerking te verbeteren.  

Let op:

• Wanneer is vastgesteld dat een DPIA niet verplicht is, dan dient dit – in het kader van de verantwoordingsplicht – goed te worden onderbouwd.
• Als de DPIA een hoog risico aantoont voor de rechten en vrijheden van natuurlijke personen waarvoor géén afdoende maatregelen (kunnen) worden genomen, dan geldt de verplichting de toezichthoudende autoriteit te informeren. 
• De DPIA dient te worden uitgevoerd door een persoon die met de AVG en de ICT-voorzieningen van de organisatie bekend is.

---

Gerelateerde artikelen

• Templates voor AVG implementatie
• Stap 8 AVG implementatie: Meldplicht datalekken
• Stap 7 AVG implementatie: Functionaris Gegevensbescherming
• Stap 5/6 AVG implementatie: Privacy by Default & Design
• Aanbevolen bronnen m.b.t. de AVG