Wat is een DPIA-onderzoek en wanneer is dit verplicht?

Artikel 5

Wat is een DPIA-onderzoek en wanneer is dit verplicht?

Wat is de betekenis van de afkorting DPIA?
DPIA staat voor Data Protection Impact Assessment.

Wat is een DPIA?
Een DPIA is een onderzoek om privacy risico’s van een bepaalde (risicovolle) verwerking van persoonsgegevens in kaart te brengen, zodat een organisatie passende maatregelen kan nemen om de risico’s te verkleinen. Een DPIA is tevens een belangrijk instrument om te kunnen aantonen dat een organisatie voldoet aan de verplichtingen van de AVG / GDPR. Het is belangrijk dat een DPIA-onderzoek wordt vastgelegd in een document. Hiermee kan een organisatie aantonen dat er een deugdelijk DPIA-onderzoek is uitgevoerd als bijvoorbeeld de toezichthoudende autoriteit daarom vraagt. Ook kan het DPIA-document indien nodig worden ingebracht in een rechtszaak om aan te tonen dat aan de vereisten van de AVG / GDPR is voldaan.

Wanneer is een DPIA verplicht?
Een DPIA is volgens de AVG / GDPR  verplicht als een organisatie persoonsgegevens verwerkt waarbij een grote kans bestaat op een hoog privacy risico voor de mensen van wie die persoonsgegevens zijn.

Wanneer vormt een verwerking van persoonsgegevens een ‘hoog privacy risico’ en moet er derhalve een DPIA worden uitgevoerd? 
U dient hiervoor naar de alle drie volgende bronnen te kijken, namelijk:

  • Artikel 35 lid 3 GDPR / AVG;
  • De 9 criteria van de Europees Comité voor gegevensbescherming (“EDPB” / voormalig “WP29”);
  • De lijst van de nationale toezichthoudende autoriteit van verwerkingen waarvoor DPIA verplicht is;                                                          

Hieronder worden deze 3 stappen beschreven:

1) Artikel 35 lid 3 AVG / GDPR beschrijft 3 criteria wanneer er (in ieder geval) een DPIA vereist is. Een DPIA moet in ieder geval worden uitgevoerd als een organisatie:

  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht);

Of,

  • Systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profilering en daarop besluiten baseert die gevolgen hebben voor mensen;

Of,

  • Op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt;                                                                                                

1a) Wat zijn bijzondere persoonsgegevens? Bijzondere persoonsgegevens luiden als volgt: gegevens over ras, etnische afkomst, gezondheid, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, iemands seksueel gedrag of geaardheid, of gegevens over strafrechtelijke veroordelingen en strafbare feiten.

2) De Europees Comité voor gegevensbescherming (“EDPB” / voormalig “WP29”) zeggen dat een DPIA verplicht is bij 2 of meer van de volgende 9 situaties:

  • U beoordeelt mensen met behulp van persoonskenmerken. U bepaalt bijvoorbeeld de kredietwaardigheid van klanten of u stelt profielen van mensen op met behulp van bijvoorbeeld hun interesses, gezondheidsgegevens of locatiegegevens.
  • U neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens. Het gaat hier om beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie.
  • Bij stelselmatige en grootschalige monitoring in de openbare ruimte. Bijvoorbeeld bij cameratoezicht verzamelt u persoonsgegevens zonder dat de mensen op beeld precies weten wat er met de beelden gebeurt.
  • U verwerkt gevoelige gegevens. Bijvoorbeeld informatie over politieke voorkeuren of religie. Of financiële en strafrechtelijke gegevens.
  • U gebruikt veel gegevens over een lange periode.
  • U koppelt verschillende databases met persoonsgegevens aan elkaar.
  • U gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen, asielzoekers, geesteszieken, patiënten, enz.
  • U gebruikt nieuwe technologieën met mogelijk nog onbekende maatschappelijke gevolgen.
  • U gebruikt persoonsgegevens op een bepaalde manier waardoor mensen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen.                 

Indien slechts één van de bovenstaande criteria aan de orde is, moet een organisatie zelfstandig beoordelen of er toch dusdanige risico’s zijn dat een DPIA nodig is. 

3) De lijst van de nationale toezichthoudende autoriteit van verwerkingen waarvoor DPIA verplicht is: Op grond van artikel 35 lid 4 GDPR / AVG kan de nationale toezichthoudende autoriteit een lijst opstellen van soorten verwerkingen waarvoor een DPIA verplicht is. Deze lijst vindt u op de website van de nationale toezichthouder. Houd er rekening mee dat deze lijst niet uitputtend is en dat een niet hierop vermelde soort verwerking, mede gelet op de aard, de context en de doeleinden, toch een hoog risico kan inhouden voor de rechten en vrijheden van de betrokkenen. De nationale toezichthoudende autoriteit in Nederland is: de Autoriteit Persoonsgegevens. De nationale toezichthoudende autoriteit in België is: de Gegevensbeschermingsautoriteit.

Advies van een DPO / FG
Heeft u een data protection officer (DPO / FG) in uw organisatie? Dan moet u de DPO / FG om advies vragen en in het onderzoeksrapport melden wat hij heeft geadviseerd.

Een DPIA uitvoeren
Wilt u een DPIA-onderzoek uitvoeren voor een bepaalde verwerking (zoals bijvoorbeeld het gebruik van cameratoezicht). Het verrichten van een DPIA kan zeer ingewikkeld zijn. Wij kunnen u daarbij helpen en deze last ontnemen. Wij hebben namelijk veel kennis en ervaring met het uitvoeren van DPIA-onderzoeken. Neem hiervoor gerust en vrijblijvend contact met ons op!

De AVG / GDPR geldt voor ieder organisatie
Ieder organisatie ongeacht de omvang daarvan is verplicht de AVG / GDPR toe te passen. De AVG / GDPR geldt dus ook voor u als ZZP’er en ook voor al het midden en kleinbedrijf (mkb/KMO(in België)). Als u als ondernemer/bestuurder niet voldoet aan de AVG / GDPR, dan riskeert u hoge boetes, schadevergoedingen en reputatieschade. Wij kunnen u helpen om te voldoen aan de verplichtingen van de AVG / GDPR. Via deze link leest u snel, eenvoudig en stap voor stap hoe wij u kunnen helpen.

Heeft u een FG / DPO, advies of een privacy-specialist nodig?
Bent u een overheidsinstantie of een private organisatie? En bent u op zoek naar een deskundig FG / DPO? Dan bent u bij ons op het juiste adres. Wij hebben zeer ervaren FG’s DPO’s in huis die u voor (on)bepaalde tijd kunt inhuren. Uiteraard kunt u bij ons ook terecht voor advies in het kader van de AVG GDPR. Ook is het mogelijk om onze specialisten in te huren als privacy-medewerker/specialist. Neem hiervoor gerust en vrijblijvend contact met ons op!

Let op: dit artikel bevat algemene informatie die niet gericht is op uw specifieke situatie. Derhalve kunnen er geen rechten aan worden ontleend.

© Privacy Foundation – KVK: 1745689 – Alle rechten voorbehouden | Cookiesverklaring | Algemene Voorwaarden | Privacyverklaring | Disclaimer