Het verwerken van persoonsgegevens kan risico’s meebrengen voor de rechten en vrijheden van natuurlijke personen. In sommige gevallen kunnen de risico’s zo groot zijn, dat u volgens de AVG eerst een data protection impact assessment (DPIA) moet uitvoeren. Wanneer een DPIA verplicht is én waaraan het moet voldoen, leest u in deze blog.

Wat is het doel van een DPIA?

Een DPIA is een instrument om vooraf:

  • de privacyrisico’s van gegevensverwerking te beschrijven;

  • de noodzaak en evenredigheid van de verwerking te beoordelen; en

  • maatregelen te nemen om de risico’s te verkleinen.

Een DPIA is een belangrijk verantwoordingsinstrument. Het helpt de verwerkingsverantwoordelijken om aan de eisen van de AVG te voldoen en om aan te tonen dat passende maatregelen zijn genomen.

Wanneer is een DPIA verplicht?

Door het Europees Comité voor gegevensbescherming is een aantal criteria opgesteld om te bepalen of een data protection impact assessment noodzakelijk is. De begrippen ‘grootschalig’, ‘systematisch’ en ‘stelselmatig’ staan daarbij centraal.

Volgens de AVG moet in ieder geval een DPIA worden uitgevoerd, indien (art 35 lid 3 AVG):

  • een organisatie systematisch en uitgebreid persoonlijke data evalueert gebaseerd op geautomatiseerde verwerking (waaronder profiling) en daarop besluiten baseert die gevolgen hebben voor mensen.

  • een organisatie op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt.

  • een organisatie op grote schaal systematisch mensen volgt in een publiek toegankelijk gebied.

GDPR.jpg

De AVG schept niet altijd duidelijkheid over de verplichting van een DPIA. De Autoriteit Persoonsgegevens (AP) heeft pas geleden een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is. Deze lijst is afgestemd met de andere privacytoezichthouders in de EU en is niet uitputtend.

Staat uw voorgenomen verwerking van persoonsgegevens op deze lijst? Dan heeft u eerst een DPIA nodig.

Wanneer er al eerder een DPIA is uitgevoerd voor eenzelfde soort verwerking, dan is een DPIA niet verplicht. Hier moet het wel echt gaan om vergelijkbare verwerkingen. Als u bijvoorbeeld aanzienlijk meer gegevens wilt verwerken, heeft u een nieuwe DPIA nodig.

DPIA in de rechtspraak

Het uitvoeren van een DPIA kan veel risico’s dekken en zo ook hoge boetes voorkomen. Partijen die een DPIA uitvoeren, handelen namelijk in overeenstemming met de AVG. Kortgeleden zijn er twee uitspraken geweest waarin de DPIA centraal stond.

1. Invoeren vingerscanners door Manfield voor kassamedewerkers

De verwerking van biometrische (bijzondere) persoonsgegevens is in beginsel verboden. Een uitzondering hierop is wanneer dit type verwerking noodzakelijk is voor authenticatie- en beveiligingsdoeleinden.

Noodzakelijk betekent dus dat er geen minder ingrijpende manieren mogelijk zijn. Onder de AVG zijn er strenge eisen voor het verwerken van biometrische persoonsgegevens. Een DPIA is verplicht wanneer grootschalige verwerking plaatsvindt en/of stelselmatig wordt gemonitord.

In het geval van Manfield was er geen deugdelijk DPIA uitgevoerd. Wanneer dit wel was gebeurd, waren ze er op voorhand achter gekomen dat er minder aangrijpende alternatieven zijn. Een vingerscanner is daarmee geen proportionele maatregel.

2. Procedure van verstrekking van medische gegevens door de Nederlandse Zorgautoriteit

Medische gegevens van zorgaanbieders worden verstrekt aan instanties die de gegevens nodig hebben voor het uitvoeren van wettelijke taken. Afgelopen zomer is er echter een handhavingsverzoek ingediend, omdat de Nederlandse Zorgautoriteit niet zorgvuldig met de gegevens zou omgaan.

De Nederlandse Zorgautoriteit heeft na het handhavingsverzoek gekozen om voor elke individuele verwerking een DPIA te verrichten. Zo kan ze beter beoordelen of een bepaald doel voldoende urgent is om medische persoonsgegevens uit de database te verstrekken.

Waar moet een DPIA eigenlijk aan voldoen?

Is het voor u noodzakelijk om een DPIA op te stellen? Dan wilt u natuurlijk weten waar deze aan moet voldoen.

Een DPIA is in principe vormvrij, maar moet in ieder geval voldoen aan het volgende:

  • een systematische beschrijving bevatten van de beoogde verwerkingen en de verwerkingsdoeleinden. Waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd.

  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden.

  • een beoordeling van deze risico’s voor de rechten en vrijheden van betrokkenen.

  • de beoogde maatregelen om de risico’s aan te pakken. Waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan. Daarbij rekening houdend met de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Hulp nodig?

Moet u een DPIA opstellen of wilt u juist weten of een DPIA voor u noodzakelijk is?

Onze ervaren ICT-juristen staan voor u klaar. Neem contact met ons op via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.