De Data protection impact assessment binnen de AVG
De Data protection impact assessment binnen de Algemene verordening gegevensbescherming
DPIA
De Algemene verordening gegevensbescherming (AVG) noemt in art. 35 de verplichting om een “gegevensbeschermingseffectbeoordeling” op te stellen. Deze beoordeling staat beter bekend als Data Protection Impact Assessment, afgekort tot DPIA. Kort gezegd is dit een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.
Even wat achtergrond
Een Data Protection Privacy Impact Assessment wordt ook wel aangeduid als Privacy Impact Assessment (PIA). Al sinds 1 september 2013 is het uitvoeren van een PIA binnen de Rijksdienst verplicht bij het ontwikkelen van nieuwe wetgeving en beleid aangaande de realisatie van nieuwe ICT-systemen, of grote databestanden. Vanaf 25 mei 2018 ontstaat er op grond van de AVG voor alle organisaties een verplichting om een DPIA uit te voeren, indien een organisatie persoonsgegevens verwerkt en dit een groot privacy risico oplevert voor de betrokkenen. De Autoriteit Persoonsgegevens zal samen met de andere Europese privacytoezichthouders een lijst opstellen van alle soorten verwerkingen waarbij een organisatie verplicht wordt om een DPIA uit te voeren.
Wat is een Data protection impact assessment?
In Art 35 lid 1 Avg wordt de assessment omschreven als een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het gaat hier dus om een voorafgaande inschatting van de privacy gevolgen van een bepaalde verwerking van persoonsgegevens.
Een DPIA is een hulpmiddel waarmee je als organisatie je privacyrisico’s op een heldere wijze in kaart kunt brengen. Door middel van een DPIA is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen er tijdig passende maatregelen worden genomen om eventuele risico’s te verkleinen. Op grond van art. 35 lid 7 Avg omvat een DPIA tenminste:
- Een systematische beschrijving van de beoogde verwerkingen en de doeleinden hiervan.
- De beoordeling van de noodzaak en van de evenredigheid.
- De beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen.
- De Beoogde maatregelen om deze risico’s aan te pakken.
Wanneer dien je een DPIA uit te voeren?
Als verwerkingsverantwoordelijke moet je een DPIA uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen van wie je de gegevens verwerkt. Dit dient je als verwerkingsverantwoordelijke zelf te bepalen. De werkgroep van Europese privacytoezichthouders (waaronder de Autoriteit Persoonsgegevens), WP29, heeft een aantal criteria opgesteld die kunnen helpen bij het vaststellen van de noodzaak. De werkgroep heeft hierbij 10 situaties omschreven waarbij als richtlijn wordt genomen dat wanneer er twee of meer van deze situaties opgaan bij de betreffende verwerking, er een DPIA dient te worden uitgevoerd. Ik noem ze alle 10 in het kort (in de leidraad worden deze punten uitvoerige behandeld en zijn soms van een voorbeeld voorzien):
- Beoordelen van personen op basis van persoonskenmerken.
- Geautomatiseerde beslissingen.
- Stelselmatige en grootschalige monitoring.
- Gevoelige gegevens (bijzondere categorieën van persoonsgegevens zoals genoemd in art. 9 AVG).
- Grootschalige gegevensverwerkingen.
- Gekoppelde databases.
- Gegevens over kwetsbare personen.
- Gebruiken van nieuwe technologieën.
- Doorgifte van persoonsgegevens buiten de EU.
- Blokkering van een recht, dienst of contract.
Hierboven wordt de term “grootschalig” een aantal keren genoemd. Dit is een open norm waarvoor de AVG geen definitie geeft. Ook hiervoor geeft de WP29 een aantal criteria om zo te beoordelen of hiervan sprake is:
- Het aantal betrokkenen waarvan de gegevens wordt verwerkt.
- De hoeveelheid gegevens die worden verwerkt.
- De duur van de gegevensverwerking.
- De geografische reikwijdte van de verwerking.
De Autoriteit Persoonsgegevens (AP) spreekt op haar site de verwachting uit dat er op den duur een praktische standaard komt waarmee er eenvoudiger bepaalt kan worden of er volgens de AVG op grote schaal (bijzondere) persoonsgegevens worden verwerkt.
Wie dient de DPIA uit te voeren?
Zoals gezegd ontstaat er vanaf 25 mei 2018 op grond van de AVG een verplichting om een Data Protection Impact Assessment uit te voeren, indien een organisatie persoonsgegevens verwerkt en dit een groot privacy risico oplevert voor de betrokkenen.
De verwerkingsverantwoordelijke dient ervoor te zorgen dat de DPIA wordt uitgevoerd. Dit mag worden uitbesteed aan derden. Als verwerkingsverantwoordelijke blijf je wel eindverantwoordelijk. Wanneer er binnen de organisatie een Functionaris Gegevensbescherming is aangesteld moet deze om advies worden gevraagd. Dit advies vormt een onderdeel van DPIA rapportage. Wanneer een verwerker de gegevensverwerking uitvoert heeft deze een actieve rol bij de DPIA. Deze verwerker zal ondersteuning dienen te leveren bij de uitvoering van de DPIA. In bepaalde situaties kan het nodig zijn om ook de betrokkenen van wie de gegevens gaan worden verwerkt te betrekken en hun mening te vragen.
De AP raadt aan om periodiek een DPIA uit te voeren op bestaande gegevensverwerkingen, in ieder geval elke 3 jaar. Wanneer de gegevensverwerking al vóór 25 mei 2018 van start is gegaan, is er geen verplichting geweest om een DPIA uit te voeren. Voer dan uiterlijk 3 jaar na deze datum alsnog een DPIA uit. Deze toetsing komt voort uit art. 35 lid 11 AVG.
De rol van de toezichthouder
In art. 36 AVG is bepaald dat wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat er sprake is van een hoog risico, dat dan de toezichthouder moet worden geraadpleegd. De toezichthouder moet volgens art. 36 lid 2 binnen 8 weken reageren. Die termijn kan eventueel met nog 6 weken worden verlengd. Ook kan de termijn worden opgeschort als de toezichthouder om informatie heeft gevraagd en deze niet (tijdig) wordt verstrekt. In de reactie kan de toezichthouder advies geven over de voorgenomen verwerking. Ook kan de toezichthouder eventueel handhavend optreden.