Volgens de AVG is het soms verplicht om al van tevoren na te denken over de privacyrisico’s van een bepaalde gegevensverwerking. Dit geldt vooral voor verwerkingen die een hoog privacyrisico met zich meebrengen. Dit ‘nadenken’ doe je in de praktijk door een data protection impact assessment (DPIA) uit te voeren. In deze blog bespreken onze privacy-juristen wanneer het, volgens de Autoriteit Persoonsgegevens, nou verplicht is om zo’n DPIA uit te voeren.
Wat is een DPIA?
Voordat we concreet antwoord geven op de vraag wanneer je nou precies een DPIA moet uitvoeren, eerst een stapje terug: wat is een DPIA nou echt? Het klinkt immers allemaal nogal abstract (zoals wel vaker het geval is in de privacy-wereld) en het is handig om een duidelijker beeld te hebben.
Goed, een DPIA is simpelweg een onderzoek dat gericht is op het identificeren en minimaliseren van privacyrisico’s die verbonden zijn aan een specifiek project dat je wilt uitvoeren. Het helpt je om te zien welke risico’s er zijn bij het verwerken van persoonsgegevens en welke maatregelen je moet nemen om die risico’s te verminderen. Belangrijk is dat een DPIA in de eerste plaats een compliance-instrument is. Met een goed doordachte en voltooide DPIA kun je als organisatie aantonen dat je de nodige stappen hebt genomen om te voorkomen dat individuen schade ondervinden door jouw gegevensverwerkingen.
Is een DPIA verplicht?
In artikel 35 van de AVG lezen we dat een DPIA verplicht is als een verwerkingsverantwoordelijk van plan is om persoonsgegevens te verwerken die ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. Een duidelijk voorbeeld van een project met mogelijk hoog risico is de ontwikkeling en lancering van een nieuwe e-health app, waarbij veel gevoelige gezondheidsgegevens worden verwerkt.
Goed om even bij stil te staan: volgens de AVG is het de verwerkingsverantwoordelijke die verplicht is om een DPIA uit te voeren, niet de verwerker. Als de verwerkingsverantwoordelijke echter verwerkers inschakelt bij de gegevensverwerking, moeten deze verwerkers de verwerkingsverantwoordelijke wel helpen bij het uitvoeren van een DPIA door alle benodigde informatie te verstrekken. Tip: weet je niet zeker of je een verwerker of verwerkingsverantwoordelijke bent onder de AVG? Lees dan eerst eens deze blog.
Wanneer moet ik een DPIA uitvoeren?
Goed, de hamvraag is natuurlijk wanneer je precies verplicht bent om een DPIA uit te voeren. Oftewel: wanneer is er sprake van een dusdanig hoog privacyrisico dat je niet meer om een DPIA heen kunt?
Laten we vooropstellen dat je als organisatie zelf verantwoordelijk bent voor deze beoordeling. Natuurlijk kun je hiervoor een privacy-jurist inschakelen (en dat raden we ook zeker aan), maar je kunt de Autoriteit Persoonsgegevens niet zomaar een mailtje sturen om te vragen of jouw gegevensverwerking een hoog privacyrisico oplevert. Helaas is er ook geen uitputtende lijst of checklist die je kunt afgaan om te bekijken of jouw gegevensverwerking eronder valt of niet. Wel zijn er door verschillende instanties richtlijnen en voorbeelden gegeven die kunnen helpen bij de beoordeling of je wel of niet een DPIA moet uitvoeren. In deze blog kijken we enkel naar wat onze Nederlandse Autoriteit Persoonsgegevens hierover zegt.
Op de website van de Autoriteit Persoonsgegevens lezen we dat de AP een lijst heeft opgesteld van verschillende soorten gegevensverwerkingen waarvoor het uitvoeren van een DPIA verplicht is voordat je begint met het verwerken van persoonsgegevens. De toezichthouder geeft 17 verschillende situaties waarin een DPIA uitgevoerd moet worden:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische persoonsgegevens
- Gezondheidsgegevens
- Samenwerkingsverbanden
- Cameratoezicht
- Flexibel cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things
- Profilering
- Observatie en beïnvloeding van gedrag
- Biometrische gegevens
Let op: bovenstaande lijst is niet uitputtend! Het is dus niet zo dat als jouw specifieke situatie niet op de lijst voorkomt, je nooit verplicht bent om een DPIA uit te voeren. Het blijft cruciaal om zelf een inschatting te maken van de privacyrisico’s van je gegevensverwerking. Zelfs als je situatie niet letterlijk op de lijst staat, kan het alsnog nodig zijn om een DPIA uit te voeren als de verwerking een hoog privacyrisico met zich meebrengt. Dus, blijf alert en zorg ervoor dat je altijd kritisch kijkt naar de mogelijke impact op de privacy van betrokkenen.
Tip van een privacy-jurist: Soms is het overduidelijk wanneer een DPIA verplicht is. Maar als dat niet het geval is, is het verstandig om er toch een uit te voeren. Het laat zien dat je je best hebt gedaan om aan alle regels te voldoen. En vergeet niet: het niet naleven van deze verplichtingen kan leiden tot fikse boetes.
DPIA bij het verwerken van gezondheidsgegevens
Ga je met jouw organisatie of project gezondheidsgegevens verwerken? Dan is het uitvoeren van een DPIA verplicht bij grootschalige verwerkingen. Denk bijvoorbeeld aan zorginstellingen, arbodiensten, onderwijsinstellingen en verzekeraars. Let wel, individuele artsen en zorgprofessionals zijn uitgezonderd van deze verplichting volgens overweging 91 van de AVG.
DPIA bij internet of things-toepassingen
Ga je met jouw organisatie of project aan de slag met ‘internet of things’ (IoT)-toepassingen? Dan moet je serieus overwegen om een DPIA uit te voeren. Bij grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die door IoT-apparaten worden gegenereerd, zoals slimme televisies, huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters en medische hulpmiddelen, is een DPIA verplicht. Deze apparaten versturen en wisselen gegevens uit via internet, wat aanzienlijke privacyrisico’s met zich meebrengt.
DPIA bij het controleren van werknemers
Wanneer een werkgever grootschalige verwerkingen van persoonsgegevens uitvoert of systematisch de activiteiten van werknemers monitort, zoals het controleren van e-mails, internetgebruik, het gebruik van GPS-systemen in (vracht)auto’s van werknemers, of cameratoezicht voor diefstal- en fraudebestrijding, dan vereist de wet dat er eerst een DPIA wordt uitgevoerd. Dit is nodig vanwege de aanzienlijke inbreuk op de privacy van werknemers.
Hoe moet je een DPIA uitvoeren?
Er is niet één correcte manier om een DPIA uit te voeren. Wel zijn er enkele basisvereisten die je moet volgen om ervoor te zorgen dat je voldoet aan de AVG:
- Beschrijf gedetailleerd hoe de persoonsgegevens zullen worden verwerkt en geef aan waarom deze verwerking noodzakelijk is.
- Leg uit waarom de gegevensverwerking noodzakelijk en proportioneel is ten opzichte van de beoogde doeleinden.
- Breng de privacyrisico’s voor betrokkenen in kaart en beoordeel deze op basis van hun omvang en impact binnen de context van de verwerking.
- Benoem de maatregelen die je van plan bent te nemen om deze risico’s aan te pakken, zoals het implementeren van extra beveiligingsmaatregelen.
- Zorg ervoor dat je kunt aantonen dat je aan de AVG voldoet, naast het uitvoeren van de DPIA. Het uitvoeren van een DPIA op zichzelf is namelijk niet voldoende om volledig compliant te zijn. Je zult hoogstwaarschijnlijk aanvullende privacybeschermende maatregelen moeten treffen, zoals het opstellen van een privacyverklaring en het implementeren van passende technische en organisatorische maatregelen.
Privacy-jurist nodig voor het uitvoeren van een DPIA?
Het uitvoeren van een DPIA kan soms best voor wat hoofdbrekens zorgen. Vaak beginnen organisaties zelf aan een DPIA, en merken ze gaandeweg dat er toch wat vraagstukken en twijfels opduiken. Onze privacy-juristen zijn gespecialiseerd in privacyrecht, zoals de AVG en andere relevante regelgevingen. Ze staan klaar om je te helpen bij het correct uitvoeren van een DPIA en kunnen adviseren over de benodigde stappen om te voldoen aan de wetgeving en privacyrichtlijnen.
