Privacywet: wie moet een impact assessment (DPIA) uitvoeren?

In het kader van de nieuwe privacywet (AVG) kunnen organisaties vanaf 25 mei 2018 verplicht zijn om privacyrisico’s in kaart te brengen. Wat behelst zo’n Data Protection Impact Assessment (DPIA) en voor welke organisaties geldt deze regeling?
Een DPIA, in het Nederlands een ‘gegevensbeschermingseffectbeoordeling’ genoemd, dient alleen te worden opgesteld als bij verwerking van persoonsgegevens een groot privacyrisico ontstaat voor de betrokken mensen.
In de regels van de Europese verordening (AVG) worden geen concrete voorbeelden genoemd van verwerkingen met een hoog risico waarvoor een DPIA benodigd is. Wel is er een lijst met negen criteria opgesteld om een hoog privacyrisico te kunnen bepalen. Organisaties dienen de risicobepaling zelf uit te voeren.

Een DPIA is in elk geval verplicht als:

  • een organisatie uitvoerig en systematisch persoonlijke gegevens beoordeelt; daarbij kan het bijvoorbeeld gaan om beroepsprestaties, prognoses, persoonlijke voorkeuren, gezondheid, of gedrag
  • op een grote schaal bijzondere gegevens van personen worden verwerkt
  • systematisch en op grote schaal mensen worden gevolgd in een publiek toegankelijk gebied, bijvoorbeeld met camera’s.

De Autoriteit Persoonsgegevens (AP) zegt ‘op termijn’ een lijst te zullen publiceren met verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is.
Een DPIA is niet nodig is als de gegevensverwerking waarschijnlijk geen hoog privacyrisico inhoudt, of als voor de verwerking al eerder een onderzoek door de AP is uitgevoerd en de verwerking of de risico’s intussen niet zijn veranderd.
Is de wijze van verwerking van gegevens wel veranderd, bijvoorbeeld door nieuwe technologie, dan kan alsnog een nieuwe DPIA verplicht zijn. Dat geldt ook als de risico’s zijn gewijzigd.
Het kan ook zijn dat de maatschappelijke context verandert, waardoor bij gegevensverwerking nieuwe risicogroepen ontstaan. Gezien de veranderende technologie, de wijze van verwerking en nieuwe maatschappelijke belangen, raadt de AP aan om periodiek een DPIA uit te voeren. Bijvoorbeeld elke drie jaar.

Wanneer beginnen met een DPIA?
De AP beveelt aan om zo vroeg als maar mogelijk is te beginnen met het uitvoeren van een DPIA, ook als nog niet alle details van de gegevensverwerking in de organisatie bekend zijn. Het voordeel daarvan is dat al in de ontwerpfase van de gegevensverwerking rekening kan worden gehouden met de privacyregels.
De AP wijst er ook op dat een DPIA geen eenmalige taak is, maar een doorlopend proces. De verantwoordelijke gegevensverwerker zal permanent moeten blijven controleren of de gegevensverwerking of de risico’s wijzigen en of de DPIA moet worden aangepast.
De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens hoeft een DPIA niet zelf uit te voeren. Wel blijft een de organisatie die de DPIA moet (laten) opstellen altijd eindverantwoordelijk.

Functionaris Gegevensbescherming om advies vragen
Organisaties die verplicht een eigen Functionaris Gegevensbescherming (FG) hebben moeten aanwijzen, dienen deze FG bij een uit te voeren DPIA altijd om advies te vragen. In het rapport over de DPIA moet ook geregistreerd worden wat de FG heeft geadviseerd en wat de eindverantwoordelijke organisatie daarmee heeft gedaan. De FG moet de uitvoering van de DPIA ook zelf blijven controleren.
Moet een organisatie een DPIA opstellen, dan moet de organisatie betrokkenen, van wie de gegevens worden verwerkt, of hun vertegenwoordigders of belangenorganisaties, om advies vragen over de wijze van verwerking.
In de DPIA dient te worden aangegeven welke adviezen van deze organisaties zijn overgenomen en welke adviezen niet zijn verwerkt. De verantwoordelijke organisatie moet ook duidelijk maken waarom adviezen eventueel niet zijn overgenomen.

Waaraan een DPIA moet voldoen
De DPIA moet minimaal de volgende informatie weergeven:

  • Een systematische beschrijving van de door de organisatie gewenste gegevensverwerkingen en de doeleinden hiervan. Ook een eventueel gerechtvaardigd belang voor de gegevensverwerking moet in de beschrijving worden opgenomen
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Aangegeven moet worden of het verwerken van persoonsgegevens op de bedoelde manier noodzakelijk is. En is de te verwachten inbreuk op de privacy van de betrokkenen wel evenredig in verhouding tot het doel?
  • Een beoordeling van de privacyrisico’s voor de betrokkenen
  • De beoogde maatregelen om de risico’s te beperken, zoals waarborgen en veiligheidsmaatregelen, en de maatregelen die aantonen dat de organisatie aan de regels van de AVG voldoet.

Organisaties die geen duidelijkheid kunnen verkrijgen op de vraag of hun beoogde verwerking van persoonsgegevens een hoog risico oplevert, kunnen de AP om een ‘voorafgaande raadpleging’ verzoeken.

Bron: www.ornet.nl

Datum: 29 januari 2018