Moet ik een DPIA uitvoeren?

DPIA’s (data protection impact assessments of gegevensbeschermingseffectbeoordelingen) zijn, kortgezegd, onderzoeken die bedrijven instellen om privacyrisico’s in kaart te brengen, voorafgaande aan een voorgenomen verwerking. Wanneer de privacyrisico’s in kaart zijn gebracht, kun je voorzorgsmaatregelen treffen om de risico’s zoveel mogelijk te beperken. Een DPIA kan bovendien bijdragen aan een groter privacybewustzijn binnen een organisatie. DPIA’s zijn niet enkel een instrument voor grote bedrijven; ook kleine bedrijven kunnen baat hebben bij het uitvoeren van een DPIA als zij van plan zijn nieuwe verwerkingsactiviteiten uit te voeren.

Als verwerkingsverantwoordelijke moet je ervoor zorgen dat een DPIA wordt uitgevoerd, wanneer dit volgens de Algemene Verordening Gegevensbescherming verplicht is. Dit kan worden uitbesteed aan derden, maar jij blijft eindverantwoordelijk. Is er in jouw organisatie een functionaris voor gegevensbescherming (FG) aangesteld? Dan moet je de FG om advies vragen. De FG is ook belast met het toezicht op de uitvoering van de DPIA.

Wanneer moet je een DPIA uitvoeren?

Volgens artikel 35 van de Algemene Verordening Gegevensbescherming zijn DPIA’s in bepaalde gevallen vereist, met name wanneer een verwerkingsactiviteit een hoog risico kan inhouden voor de rechten en vrijheden van personen. Volgens artikel 35, lid 3, van de Algemene Verordening Gegevensbescherming worden bepaalde soorten verwerkingsactiviteiten beschouwd als activiteiten met een hoog risico, waardoor een DPIA vereist is. Deze activiteiten omvatten:

  • een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering;
  • grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
  • stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. 

De AP heeft een lijst opgesteld van verwerkingsactiviteiten waarvoor het uitvoeren van een DPIA altijd vereist is voordat je met de verwerking begint. Houd er rekening mee dat je verwerking moet voldoen aan de Algemene Verordening Gegevensbescherming. Je zult altijd moeten nagaan of je een geldige rechtsgrond hebt voor de door jou voorgenomen verwerking. Als je geen geldige rechtsgrond hebt, mag je de persoonsgegevens niet verwerken.

Een DPIA is niet nodig wanneer de gegevensverwerking hoogstwaarschijnlijk geen hoog risico oplevert voor de privacy van betrokkenen. Dit is bijvoorbeeld het geval wanneer de verwerking sterke overeenkomsten vertoont met een andere verwerking waarvoor al een DPIA is uitgevoerd.

Hoe kun je ervoor zorgen dat jouw DPIA aan alle wettelijke vereisten voldoet?

DPIA’s goed uitvoeren kan in de praktijk best lastig zijn. De meeste organisaties maken daarom gebruik van een DPIA-model. Het DPIA-model dat je kiest moet geschikt zijn voor het doel en voldoen aan de basiseisen uit artikel 35 van de Algemene Verordening Gegevensbescherming. Een DPIA dient in ieder geval de volgende punten te bevatten:

  • een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen; en
  • de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan.

Wat zijn de gevolgen van het niet goed of helemaal niet uitvoeren van een DPIA?

Heb je geen DPIA uitgevoerd, terwijl je dit wel had moeten doen? Of heb je de DPIA niet volgens het bepaalde in artikel 35 van de Algemene Verordening Gegevensbescherming uitgevoerd? Dan kan dit leiden tot een boete van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag geldt. In het modelboetebeleid van de AP is het basismodel voor het niet uitvoeren van een DPIA vastgesteld op 310.000 euro. Overigens gaat dit binnenkort veranderen: De European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders, wil dat alle privacytoezichthouders in de EU dezelfde boetemodelregels gaan hanteren. Aan het nieuwe model wordt nog de laatste hand gelegd, maar naar verwachting zal het later dit jaar worden ingevoerd.

Wat als het resultaat van de DPIA een hoog risico voor de verwerking inhoudt?

Als uit de DPIA blijkt dat de verwerking een hoog risico inhoudt en er geen afdoende maatregelen genomen kunnen worden om dat risico te beperken, moet de verwerkingsverantwoordelijke voorafgaande aan de verwerking de AP raadplegen. De AP heeft maximaal acht weken de tijd om een dergelijk verzoek te bestuderen, met een mogelijke verlenging van 6 weken. Start daarom altijd zo vroeg mogelijk met de DPIA.

Is een DPIA eenmalig?

Het uitvoeren van een DPIA is geen eenmalige taak, maar eerder een continu proces. Wanneer je bijvoorbeeld met nieuwe technologie gaat werken, of wanneer je persoonsgegevens voor een ander doel gaat gebruiken, zul je opnieuw een DPIA moeten uitvoeren. Het is aan te raden om een DPIA minstens elke 3 jaar te herzien. Door je DPIA’s periodiek te controleren en bij te werken, weet je zeker dat je altijd voldoet aan de vereisten uit de Algemene Verordening Gegevensbescherming.

Wil je een DPIA door onze privacy officers laten uitvoeren? Neem dan gerust contact met ons op.

Scroll naar top

Waar kunnen we bij helpen?