Met ingang van 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (‘AVG’). Onder de AVG wordt het uitvoeren van een data protection impact assessment (‘DPIA’), in het Nederlands een “gegevensbeschermingseffectbeoordeling”, voor organisaties verplicht gesteld bij bepaalde gegevensverwerkingen.
In de Wet bescherming persoonsgegevens (‘Wbp’) bestaat deze assessment reeds onder de afwijkende naam privacy impact assessment (‘PIA’). Onder de Wbp is uitvoering hiervan voor organisaties echter vrijwillig. Dat gaat vanaf 25 mei 2018 dus veranderen.
Wat is een DPIA?
Een DPIA is een instrument waarmee organisaties voorafgaand aan een gegevensverwerking de privacyrisico’s daarvan in kaart kunnen brengen, door met name de oorsprong, de aard, het specifieke karakter en de ernst van de privacyrisico’s te evalueren. Vervolgens kunnen, indien nodig, maatregelen worden getroffen om de privacyrisico’s te verkleinen.
Voor welke gegevensverwerkingen een DPIA uitvoeren?
Niet iedere gegevensverwerking verplicht een organisatie tot het uitvoeren van een DPIA. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor natuurlijke personen. Dit geldt in het bijzonder voor een gegevensverwerking waarbij met name nieuwe technologieën worden gebruikt.
Een DPIA moet in ieder geval worden uitgevoerd als een organisatie:
- systematisch en uitvoerig persoonlijke aspecten evalueert, zoals bij profilering;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).
Voorbeelden van dergelijke gegevensverwerkingen zijn volgens de Europese toezichthouders:
- een ziekenhuis dat patiëntgegevens verwerkt;
- een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen; bijvoorbeeld door hen te volgen via reiskaarten;
- een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden;
- een verzekeringsmaatschappij of bank die klantgegevens verwerkt;
- een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag;
- een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten; zoals inhoud, verkeer en locatie.
Ook andere gegevensverwerkingen kunnen wegens het hoge privacyrisico in aanmerking komen voor een DPIA. Bij het bepalen of daarvan sprake is, moet worden gekeken naar het aantal betrokkenen, de hoeveelheid gegevens die worden verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking.
De Autoriteit Persoonsgegevens (AP) zal op termijn opheldering brengen met een lijst van verwerkingen waarvoor een DPIA verplicht is. Tot die tijd raden de Europese toezichthouders aan om bij twijfel altijd een DPIA uit te voeren.
Waarom een DPIA uitvoeren?
Het uitvoeren van een DPIA kan bevorderlijk zijn voor de gegevensbescherming, maar ook voor een organisatie zelf. Door middel van een DPIA kunnen kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s worden voorkomen. Daarmee geeft een organisatie bovendien invulling aan de op grond van de AVG vereiste principes “privacy by design” en “privacy by default”.
Een DPIA kan daarnaast zorgen voor onder meer verhoging van het privacy bewustzijn binnen een organisatie, verbetering van de dienstverlening en besluitvorming, verbetering van de haalbaarheid van een project en versteviging van het vertrouwen van klanten en werknemers in de wijze waarop persoonsgegevens binnen de organisatie worden verwerkt en privacy wordt gerespecteerd.
Hoe een DPIA uitvoeren?
Een organisatie die onder de AVG verplicht is een functionaris voor de gegevensbescherming (‘FG’) aan te stellen, moet bij de uitvoering van de DPIA advies inwinnen van de FG. Indien een organisatie daarnaast voor de gegevensverwerking gebruik maakt van een bewerker, moet de bewerker de organisatie bij de uitvoering van de DPIA assisteren door onder meer de nodige informatie te verstrekken over bijvoorbeeld de beveiligingsmaatregelen in de door de organisatie gebruikte systemen en software. Ook kan bij de uitvoering van de DPIA advies van de betrokkenen worden ingewonnen.
Een organisatie kan zelf kiezen hoe het een DPIA uitvoert, zolang een DPIA in ieder geval het volgende bevat:
- een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden daarvan;
- een beoordeling van de noodzaak en de proportionaliteit (is de inbreuk op de privacy van de betrokkenen niet onevenredig in verhouding tot het doel?) van de gegevensverwerkingen;
- een beoordeling van de privacyrisico’s voor de betrokkenen;
- de beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat de organisatie aan de AVG voldoet.
De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking voor de uitvoering van een PIA opgesteld. Omdat een PIA onder de Wbp inhoudelijk nagenoeg hetzelfde is als een DPIA onder de AVG, kan deze handreiking waarschijnlijk ook na 25 mei 2018 worden geraadpleegd.
Hoe vaak een DPIA uitvoeren?
Niet alleen voorafgaand aan een gegevensverwerking, maar ook gedurende of na afloop daarvan kan aanpassing of herhaalde uitvoering van een DPIA nodig zijn. Dat is bijvoorbeeld het geval als de uitkomst van de eerdere DPIA (mogelijk) verandert door verandering van de gegevensverwerking of de omstandigheden die aan de gegevensverwerking ten grondslag liggen. Een organisatie moet dit altijd (blijven) monitoren.
Raadpleging Autoriteit Persoonsgegevens
Als uit een DPIA blijkt dat de gegevensverwerking inderdaad een hoog privacyrisico oplevert als een organisatie geen maatregelen treft om het privacyrisico te beperken, moet een organisatie voorafgaand aan de gegevensverwerking de AP raadplegen. De AP beoordeelt vervolgens of de voorgenomen gegevensverwerking in strijd is met de AVG en zal, als dat het geval is, een organisatie hierover adviseren.