DPIA zelf uitvoeren

Zo kun je zelf een Data Protection Impact Assessment (DPIA) uitvoeren


Met een DPIA breng je al vooraf eventuele privacyrisico’s van een gegevensverwerking in kaart. Om deze risico’s in kaart te brengen zijn er verschillende DPIA modellen en tools in omloop. Hoe kun je het beste zelf een DPIA uitvoeren?

Even wat achtergrond

Organisaties moeten op grond van de AVG zelf beoordelen of er een verplichting bestaat tot het uitvoeren van een DPIA. Deze beoordeling is in de praktijk niet eenvoudig te maken. De Algemene verordening gegevensbescherming (AVG) noemt in art. 35 de verplichting om een “gegevensbeschermingseffectbeoordeling” op te stellen. Deze beoordeling is beter bekend als de Data Protection Impact Assessment, afgekort tot DPIA. Kort gezegd is dit een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Met een DPIA breng je al vooraf eventuele privacyrisico’s van een gegevensverwerking in kaart.

Een Data Protection Privacy Impact Assessment werd onder de wbp aangeduid als Privacy Impact Assessment (PIA). Al sinds 1 september 2013 is het uitvoeren van een PIA binnen de Rijksdienst verplicht bij het ontwikkelen van nieuwe wetgeving en beleid aangaande de realisatie van nieuwe ICT-systemen, of grote databestanden. Op grond van de AVG is er voor alle organisaties een verplichting ontstaan om een DPIA uit te voeren. Dit indien een organisatie persoonsgegevens verwerkt die een groot privacy risico opleveren voor de betrokkenen. 

Wat is een Data Protection Impact Assessment?

In Art 35 lid 1 Avg wordt de assessment omschreven als een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Het gaat hier dus om een voorafgaande inschatting van de privacy gevolgen van een bepaalde verwerking van persoonsgegevens.

Een DPIA is een hulpmiddel waarmee je als organisatie je privacyrisico’s op een heldere wijze in kaart kunt brengen. Door middel van een DPIA is het mogelijk om inzicht te krijgen in de risico’s van de gegevensverwerking en kunnen er tijdig passende maatregelen worden genomen om eventuele risico’s te verkleinen. Op grond van art. 35 lid 7 Avg omvat een DPIA tenminste:

1. Een systematische beschrijving van de beoogde verwerkingen en de doeleinden hiervan.

2. De beoordeling van de noodzaak en van de evenredigheid.

3. De beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen.

4. De Beoogde maatregelen om deze risico’s aan te pakken.

Wanneer dien je een DPIA uit te voeren?

Als verwerkingsverantwoordelijke moet je een DPIA uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen van wie je de gegevens verwerkt. Dit dien je als verwerkingsverantwoordelijke zelf te bepalen. De European Data Protection Board (EDPB) heeft al vroeg een aantal criteria opgesteld die kunnen helpen bij het vaststellen van de noodzaak. De werkgroep heeft hierbij 10 situaties omschreven waarbij als richtlijn wordt genomen dat wanneer er twee of meer van deze situaties opgaan bij de betreffende verwerking, er een DPIA dient te worden uitgevoerd. Ik noem ze hier alle 10 in het kort (in de leidraad worden deze punten uitvoerige behandeld en zijn soms van een voorbeeld voorzien):

De Autoriteit Persoonsgegevens (AP) heeft vervolgens een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. Op deze lijst staan: verwerkingen in het kader van heimelijk onderzoek, het gebruiken van zwarte- ofwel waarschuwingslijsten, grootschalige en/of de systematische verwerkingen in het kader van fraudebestrijding, kredietwaardigheid, de financiële situatie, genetische- en gezondheidsgegevens, samenwerkingsgegevens zoals in wijkteams, cameratoezicht, controle van werknemers, grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen, grootschalige en /of systematische verwerking van communicatiegegevens, grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door Internet of things (IOT), profilering, en observatie en beïnvloeding van gedrag.

Eind 2019 (27 november) is deze lijst aangevuld en definitief gemaakt. Aan de lijst zijn zaken als Smart Cities toegevoegd. Op de website van de AP worden deze verwerkingen specifiek benoemd en beschreven.

Pre-DPIA

Wanneer je twijfelt of een DPIA nodig is, is het raadzaam een pre-DPIA uit te voeren. Een pre-DPIA biedt een verkorte risico-inventarisatie die aangeeft of het noodzakelijk is een volledige DPIA uit te voeren. 

Een pre-DPIA biedt een verkorte risico-inventarisatie die aangeeft of het noodzakelijk is een volledige DPIA uit te voeren.

Wie dient het uit te voeren?

De verwerkingsverantwoordelijke dient ervoor te zorgen dat de DPIA wordt uitgevoerd. Dit mag worden uitbesteed aan derden. Als verwerkingsverantwoordelijke blijf je eindverantwoordelijk. Wanneer er binnen de organisatie een Functionaris Gegevensbescherming (FG) is aangesteld moet deze om advies worden gevraagd. Dit advies vormt een onderdeel van DPIA rapportage. Wanneer een verwerker de gegevensverwerking uitvoert heeft deze een actieve rol bij de DPIA. Deze verwerker zal ondersteuning dienen te leveren bij de uitvoering van de DPIA. In bepaalde situaties kan het nodig zijn om ook de betrokkenen van wie de gegevens gaan worden verwerkt te betrekken en hun mening te vragen.

De AP raadt aan om periodiek een DPIA uit te voeren op bestaande gegevensverwerkingen, in ieder geval elke 3 jaar.

De rol van de toezichthouder

In art. 36 AVG is bepaald dat wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat er sprake is van een hoog risico, dat dan de toezichthouder (de AP) moet worden geraadpleegd. De toezichthouder moet volgens art. 36 lid 2 binnen 8 weken reageren. Die termijn kan eventueel met nog 6 weken worden verlengd. Ook kan de termijn worden opgeschort als de toezichthouder om informatie heeft gevraagd en deze niet (tijdig) wordt verstrekt. In de reactie kan de toezichthouder advies geven over de voorgenomen verwerking. Ook kan de toezichthouder eventueel handhavend optreden.

Hoe kun je zelf een DPIA uitvoeren

Het uitvoeren van een DPIA is vormvrij. Dit kan op allerlei manieren gebeuren. Het dient tenminste de volgende informatie bevatten:

1. een systematische beschrijving van de beoogde verwerkingen en de doeleinden,

2. de beoordeling van de noodzaak en de evenredigheid,

3. de beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen,

4. en de beoogde maatregelen om deze risico’s aan te pakken.

Er is goede Software waarmee je als organisatie zelf een DPIA kunt uitvoeren.

Er komen steeds meer tools voorhanden die je goed kunt inzetten om eerst een pre-DPIA te kunnen maken en indien nodig ook voor de DPIA zelf. Deze tools zijn commercieel beschikbaar of worden kosteloos beschikbaar gesteld. Zo biedt de Franse privacy autoriteit, de Commission Nationale de l’Informatique et des Libertés (CNIL) een goede set aan specifieke hulpmiddelen om een DPIA te doorlopen. Op deze DPIA pagina op de site van de CNIL kun je software terugvinden die je kan helpen bij het doorlopen van het DPIA proces. Deze software is beschikbaar voor Mac OS, Windows en Linux.

Een meer omvangrijke tool biedt de software van JuriBlox. Met JuriBlox wordt er snel en eenvoudig een volledige privacy administratie opgezet en kunnen DPIA’s worden uitgevoerd. Juriblox onderscheidt in haar software 2 soorten DPIA’s, te weten:

1. Risicoanalayse mbt van een specifieke verwerking of proces. Hiertoe wordt er een uitgebreide maar begrijpelijke vragenlijst aangeleverd die ingevuld dient te worden. Deze genereert automatisch een zeer volledig rapport over de geconstateerde risico’s. Dit rapport kan desgewenst worden aangevuld.

2. Risicoanalayse mbt een gehele afdeling of organisatie. Voor het uitvoeren van een organisatie brede DPIA wordt JuriBlox vaak gebruikt als management systeem. Door het gebruik van slimme software en begrijpelijke vragenlijsten wordt er snel een nulmeting gedaan, nader onderzoek verricht en gerapporteerd. 

Werk aan een cyclus van continu verbeteren.

Zoals je ziet zijn er diverse tools te vinden die je kunnen helpen bij het maken van een (Pre-)DPIA. Een DPIA maakt bij voorkeur deel uit van je privacy administratie zodat je het ook kunt onderhouden en kunt updaten wanneer dit nodig is.

Meer informatie over tal van AVG gerelateerde onderwerpen vindt je op www.juridict.nl