Help! Ik verwerk persoonsgegevens. Moet ik nu een “Impact Assessment” uitvoeren?!

Privacyrecht

Met enige regelmaat krijg ik van cliënten de vraag of zij een zogenoemde “Data Protection Impact Assessment”, oftewel: een “DPIA”, moeten uitvoeren. Maar wat is nou een DPIA? En wanneer ben je verplicht om deze uit te voeren? In deze blog geven wij de antwoorden op die vragen.

Wat is een DPIA?

Een DPIA is een Data Protection Impact Assessment. Het is een instrument om ten behoeve van jouw onderneming vooraf privacy risico’s van gegevensverwerking in kaart te brengen. Aan de hand daarvan kun je maatregelen nemen om die risico’s te verkleinen.

Wat wordt verstaan onder “gegevensverwerking”?

Van “verwerking van persoonsgegevens” is kort gezegd sprake als het gaat om een bewerking of geheel van bewerkingen van gegevens die herleidbaar zijn naar een natuurlijk persoon.

Wanneer moet ik een DPIA uitvoeren?

Het uitvoeren van een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor personen waarvan de organisatie gegevens verwerkt. Je moet als ondernemer zelf bepalen of er waarschijnlijk een hoog privacy risico is. Als dat er is mag je niet beginnen met het verwerken van persoonsgegevens vóórdat je een DPIA hebt uitgevoerd.

Een voorbeeld van een situatie waarin het uitvoeren van een DPIA verplicht is, is als op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Ook is een DPIA verplicht wanneer sprake is van “profiling” (het systematisch en uitgebreid evalueren van persoonlijke aspecten gebaseerd op geautomatiseerde verwerking, op basis waarvan besluiten worden genomen die gevolgen hebben voor mensen).

De Autoriteit Persoonsgegevens heeft een lijst opgesteld van soorten verwerkingen waarvoor een DPIA verplicht is. Voor het raadplegen van deze lijst klik op deze link.

Het kan zijn dat jouw verwerking niet op deze lijst staat. Aangezien de lijst niet uitputtend is, moet je steeds zelf beoordelen of uw verwerking een hoog privacy risico oplevert. Je kunt voor deze beoordeling gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel kun je hanteren dat je een DPIA moet uitvoeren als jouw verwerking aan 2 of meer van de 9 criteria voldoet. Wij kunnen samen met jou bepalen of een DPIA verplicht is én die uitvoeren.

Hoe ziet een DPIA er uit?

Er zijn verschillende methodes om een DPIA uit te voeren. In ieder geval moet de DPIA aan de volgende basisvereisten voldoen:

• een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroep je je op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
• een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om jouw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie je gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
• een beoordeling van de privacyrisico’s voor de betrokkenen.
• de beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Heb je vragen naar aanleiding van deze blog, of heb je hulp nodig bij het opstellen van een DPIA of andere vragen over privacy(recht)? Neem dan contact op met Annemarie de Best.