Data protection impact assessment (DPIA)

De Data Protection Impact Assessment lijst is definitief gemaakt


Organisaties moeten op grond van de AVG zelf beoordelen of er een verplichting bestaat tot het uitvoeren van een DPIA. Deze beoordeling is in de praktijk niet eenvoudig te maken.

De Algemene verordening gegevensbescherming (AVG) noemt in art. 35 de verplichting om een “gegevensbeschermingseffectbeoordeling” op te stellen. Deze beoordeling is beter bekend als de Data Protection Impact Assessment, afgekort tot DPIA. Kort gezegd is dit een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Even wat achtergrond

Een Data Protection Privacy Impact Assessment werd onder de wbp aangeduid als Privacy Impact Assessment (PIA). Al sinds 1 september 2013 is het uitvoeren van een PIA binnen de Rijksdienst verplicht bij het ontwikkelen van nieuwe wetgeving en beleid aangaande de realisatie van nieuwe ICT-systemen, of grote databestanden. Op grond van de AVG is er voor alle organisaties een verplichting ontstaan om een DPIA uit te voeren. Dit indien een organisatie persoonsgegevens verwerkt die een groot privacy risico opleveren voor de betrokkenen. 

Wat is een Data protection impact assessment?

In Art 35 lid 1 Avg wordt de assessment omschreven als een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het gaat hier dus om een voorafgaande inschatting van de privacy gevolgen van een bepaalde verwerking van persoonsgegevens.

Een DPIA is een hulpmiddel waarmee je als organisatie je privacyrisico’s op een heldere wijze in kaart kunt brengen. Door middel van een DPIA is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen er tijdig passende maatregelen worden genomen om eventuele risico’s te verkleinen. Op grond van art. 35 lid 7 Avg omvat een DPIA tenminste:

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden hiervan.
  • De beoordeling van de noodzaak en van de evenredigheid.
  • De beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen.
  • De Beoogde maatregelen om deze risico’s aan te pakken.

Wanneer dien je een DPIA uit te voeren?

Als verwerkingsverantwoordelijke moet je een DPIA uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen van wie je de gegevens verwerkt. Dit dient je als verwerkingsverantwoordelijke zelf te bepalen. De werkgroep van Europese privacytoezichthouders (waaronder de Autoriteit Persoonsgegevens), WP29, heeft een aantal criteria opgesteld die kunnen helpen bij het vaststellen van de noodzaak. De werkgroep heeft hierbij 10 situaties omschreven waarbij als richtlijn wordt genomen dat wanneer er twee of meer van deze situaties opgaan bij de betreffende verwerking, er een DPIA dient te worden uitgevoerd. Ik noem ze alle 10 in het kort (in de leidraad worden deze punten uitvoerige behandeld en zijn soms van een voorbeeld voorzien):

  • Beoordelen van personen op basis van persoonskenmerken.
  • Geautomatiseerde beslissingen. 
  • Stelselmatige en grootschalige monitoring. 
  • Gevoelige gegevens. Het gaat hier om bijzondere categorieën persoonsgegevens zoals genoemd in art. 9 AVG).
  • Grootschalige gegevensverwerkingen.
  • Gekoppelde databases.
  • Gegevens over kwetsbare personen.
  • Gebruiken van nieuwe technologieën.
  • Doorgifte van persoonsgegevens buiten de EU.
  • Blokkering van een recht, dienst of contract.

Hierboven wordt de term “grootschalig” een aantal keren genoemd. Dit is een open norm waarvoor de AVG geen definitie geeft. Ook hiervoor geeft de WP29 een aantal criteria aan de hand waarvan kan worden beoordelen of hiervan sprake is:

  • Het aantal betrokkenen waarvan de gegevens wordt verwerkt.
  • De hoeveelheid gegevens die worden verwerkt.
  • De duur van de gegevensverwerking.
  • De geografische reikwijdte van de verwerking.

Verplichting tot het uitvoeren van een DPIA

De Autoriteit Persoonsgegevens (AP) heeft een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. Op deze lijst staan: verwerkingen in het kader van heimelijk onderzoek, het gebruiken van zwarte- ofwel waarschuwingslijsten, grootschalige en/of de systematische verwerkingen in het kader van fraudebestrijding, kredietwaardigheid, de financiële situatie, genetische- en gezondheidsgegevens, samenwerkingsgegevens zoals in wijkteams, cameratoezicht, controle van werknemers, grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen, grootschalige en /of systematische verwerking van communicatiegegevens, grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door Internet of things (IOT), profilering, en observatie en beïnvloeding van gedrag.

Verwerking van biometrische gegevens toegevoegd

Op 27 november 2019 is deze lijst aangevuld en definitief gemaakt Aan de lijst is de verwerking van biometrische gegevens toegevoegd. Op de website van de AP wprden deze verwerkingen specifiek benoemd en beschreven.

Wie dient de DPIA uit te voeren?

De verwerkingsverantwoordelijke dient ervoor te zorgen dat de DPIA wordt uitgevoerd. Dit mag worden uitbesteed aan derden. Als verwerkingsverantwoordelijke blijf je eindverantwoordelijk. Wanneer er binnen de organisatie een Functionaris Gegevensbescherming (FG) is aangesteld moet deze om advies worden gevraagd. Dit advies vormt een onderdeel van DPIA rapportage. Wanneer een verwerker de gegevensverwerking uitvoert heeft deze een actieve rol bij de DPIA. Deze verwerker zal ondersteuning dienen te leveren bij de uitvoering van de DPIA. In bepaalde situaties kan het nodig zijn om ook de betrokkenen van wie de gegevens gaan worden verwerkt te betrekken en hun mening te vragen.

De AP raadt aan om periodiek een DPIA uit te voeren op bestaande gegevensverwerkingen, in ieder geval elke 3 jaar.

De rol van de toezichthouder

In art. 36 AVG is bepaald dat wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat er sprake is van een hoog risico, dat dan de toezichthouder (de AP) moet worden geraadpleegd. De toezichthouder moet volgens art. 36 lid 2 binnen 8 weken reageren. Die termijn kan eventueel met nog 6 weken worden verlengd. Ook kan de termijn worden opgeschort als de toezichthouder om informatie heeft gevraagd en deze niet (tijdig) wordt verstrekt. In de reactie kan de toezichthouder advies geven over de voorgenomen verwerking. Ook kan de toezichthouder eventueel handhavend optreden.