Indien een organisatie een nieuwe verwerking gaat uitvoeren waarbij nieuwe technologie wordt gehanteerd, dan is de kans groot dat er een data protection impact assessment (DPIA) moet worden uitgevoerd. Wat is precies een DPIA en wanneer is deze verplicht?
Een privacy impact assessment (PIA) wordt ook wel een Data Protection Impact Assessment genoemd (DPIA). Een PIA wordt verplicht gesteld in artikel 35 AVG. De term die in de wet wordt gehanteerd is: gegevensbeschermingseffectbeoordeling.
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.
Wat is een privacy impact assessment (DPIA)?
Een DPIA is een hulpmiddel om risico’s van verwerkingen van persoonsgegevens in kaart te brengen. Hierbij wordt voornamelijk gekeken naar de risico’s voor de “rechten en vrijheden” van betrokkenen. Aan de hand van (meestal) een vragenlijst worden risico’s geïdentificeerd en tegelijkertijd maatregelen bedacht om die risico’s te beperken of weg te nemen.
Naast het in kaart brengen van risico’s helpt een PIA ook bij het stroomlijnen van (bedrijfs)processen rondom de verwerkingen van persoonsgegevens.
Awareness door uitvoeren DPIA
Naast de inventarisatie van risico’s, heeft het uitvoeren van een DPIA een zeer gunstig neveneffect: creëren van awareness. Wanneer een groep mensen een DPIA uitvoeren, betekent dat dat ze bezig zijn met privacy/gegevensverwerking en deze in het algemeen verder verbeteren voor de betrokkenen.
Na het uitvoeren van het DPIA zie je terug dat de groep mensen die het DPIA heeft uitgevoerd, sneller maatregelen zal nemen in andere processen en kennis over bijv. privacy by design eerder zal delen met collega’s.
Pré-DPIA: moet ik een DPIA uitvoeren?
Weet u niet of u een DPIA moet gaan uitvoeren? Hieronder volgen een aantal vragen. Indien u twee of meer vragen met een “ja” beantwoordt is een DPIA aan te raden.
- Worden er grote hoeveelheden persoonsgegevens van een persoon verwerkt? (Ja/Nee)
-
- Denk bijvoorbeeld aan het elektronisch patiëntendossier.
- Worden er persoonsgegevens van een grote groep personen verwerkt? (Ja/Nee)
-
- Een CRM-systeem met klantgegevens.
- Worden meerdere systemen met persoonsgegevens gekoppeld of samengevoegd? (Ja/Nee)
-
- Het opmaken geavanceerdere profielen door databases aan een te sluiten.
- Bestaat er een risico voor de privacy door gebruik van nieuwe technieken?
- Je kan hierbij denken aan irisscanners, vingerafdrukscanners, camera’s, NFC-toepassingen, Bluetooth, etc.
- Worden er bij de verwerking persoonsgegevens uitgewisseld met andere partijen?
- Persoonsgegevens worden gedeeld met andere commerciële partijen.
- Is data die in het verleden anoniem was, nu te herleiden tot personen?
- Zoals een naamloze cadeaubon, naar een tegoedpas op naam.
Bovenstaande vragen geven slechts een indicatie voor de noodzakelijkheid van een DPIA. Uiteindelijk zal elke situatie apart moeten worden beoordeeld.
Hoe dan ook kan het uitvoeren van een DPIA kan voor een organisatie een goed proces zijn. Er ontstaat meer bekendheid met de privacywetgeving, meer inzicht in de eigen processen en een meer privacyvriendelijk perspectief.
Inhoud DPIA
Waar moet een DPIA precies aan voldoen? De Europese wetgever geeft in het zevende lid van art. 35 AVG een aantal verplichte onderdelen op:
- een stelselmatige uiteenzetting van de geplande verwerkingen en de doelen;
- een inschatting van de urgentie van de doelen;
- een inschatting van de risico’s voor personen waarvan je persoonsgegevens verwerkt;
- de verwachte maatregelen om de risico’s te beperken of weg te nemen.
Model DPIA
Op basis van de pré-DPIA wordt er besloten om een DPIA uit te voeren. Hoe dan te beginnen?
Er bestaan reeds een aantal DPIA-modellen die de verplichte bovenstaande onderdelen bevatten. De volgende DPIA’s zijn kosteloos te downloaden en te gebruiken. Het enkel invullen van de vragen van een DPIA is geen doel an sich. Belangrijk is om conclusies te trekken uit de zogenaamde gegevensbeschermingseffectbeoordeling en daarna te handelen.
Voorbeelden van DPIA templates:
- Model DPIA Norea
- Model DPIA door de ICO (Engelse toezichthouder)
- Starting with a DPIA methodology for human subject research (Rijksuniversiteit Groningen)
- Homeland Security PIA (Engels)
- Datenschutz DPIA (Engels)
- SURF PIA
- DPIA on Google Workspace for Education (Privacy Company)
- Privacy Professor – Rebecca Herold (Engels)
Hulp nodig met het uitvoeren van een DPIA? Neem dan contact op.