Een gegevensbeschermingseffectbeoordeling, ook wel een Data Protection Impact Assessment (DPIA) genoemd, is een instrument uit de Algemene Verordening Gegevensbescherming (“AVG”) waarmee vooraf de privacyrisico’s van een gegevensverwerking in kaart kunnen worden gebracht. Op basis van deze beoordeling kunnen passende maatregelen genomen worden om deze risico’s af te dekken. Een DPIA dient in beginsel uitgevoerd te worden door de partij die volgens de AVG als “verwerkingsverantwoordelijke” kan worden aangemerkt.
Een DPIA ziet in beginsel op een enkele gegevensverwerking, maar het kan ook nuttig zijn om de privacyrisico’s van een technologisch product (bijvoorbeeld een applicatie) in kaart te brengen. Hierbij kan worden gedacht aan een applicatie die door meerdere partijen in gebruik zal worden genomen.
In het geval de productaanbieder (als “verwerker” zijnde) een DPIA uitvoert, dan blijft de verwerkingsverantwoordelijke zelf verplicht om dit uit te voeren, maar de verwerkingsverantwoordelijke kan zich wel baseren op de DPIA die de productaanbieder (verwerker) heeft uitgevoerd.
Een DPIA is volgens de AVG verplicht indien er sprake is van een verwerking die een hoog risico inhoudt voor de rechten en vrijheden van personen. De European Data Protection Board (EDPB) heeft negen criteria opgesteld om te bepalen of er sprake is van een hoog risico. Wanneer aan twee of meer van de onderstaande criteria wordt voldaan, dient er een DPIA uitgevoerd te worden. Het gaat om de volgende criteria:
De Autoriteit Persoonsgegevens heeft een lijst met verwerkingen opgesteld waarvoor het uitvoeren van een DPIA in ieder geval verplicht is gesteld. De lijst met 17 verwerkingen kan worden teruggevonden op de website van de AP: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-64418.pdf.
Om te voldoen aan de voorwaarden die worden genoemd in de AVG kunnen de volgende stappen worden gevolgd bij het uitvoeren van een DPIA:
Ten eerste is het van belang om de verschillende gegevensverwerkingen in kaart te brengen en deze onder te brengen in een overzicht. In het overzicht kan worden omschreven welke gegevens worden gedeeld met welke partijen, oftewel: de verschillende gegevensstromen. Het maken van een stroomschema is hierbij verstandig. Tevens dient beoordeeld te worden of het gaat om normale gegevens (denk aan NAW-gegevens) of gevoelige gegevens (denk aan gezondheidsgegevens).
Bij het uitvoeren van een DPIA is het belangrijk om de scope van de DPIA vast te stellen.
Op welke verwerking richt de DPIA zich en waarop ligt de focus? Zo kan de focus bijvoorbeeld liggen op een rechtmatige grondslag, het beginsel van dataminimalisatie en/of het nemen van passende beveiligingsmaatregelen. De scope dient vastgesteld te worden door de Functionaris voor de Gegevensbescherming (FG) van de betrokken organisaties (indien deze aanwezig is).
Door middel van het invullen van een DPIA-vragenlijst kunnen de risico’s van de gegevensverwerking voor de organisaties en betrokkenen in kaart worden gebracht. NOREA, de beroepsorganisatie van IT-auditors, heeft een standaardmodel van een DPIA-vragenlijst opgesteld. Er zijn ook andere modellen, bijvoorbeeld de DPIA-vragenlijst van de Informatiebeveiligingsdienst (onderdeel van de VNG).
In het DPIA-rapport dient uiteengezet te worden hoe de geïnventariseerde risico’s zullen worden ingeperkt (met welke maatregelen?). Hieruit dienen concrete aanbevelingen te volgen.
Uiteindelijk zal de verwerkingsverantwoordelijk aan de hand van de uitgevoerde DPIA moeten bepalen of de risico’s voldoende zijn ingeperkt. In het geval er geen voldoende maatregelen getroffen kunnen worden om de risico’s in te perken, dan dient de organisatie conform de AVG de Autoriteit Persoonsgegevens te raadplegen (voorafgaande raadpleging). Bij een voorafgaande raadpleging geeft de AP advies over hoe de risico’s van de voorgenomen verwerking kunnen worden afgedekt. Wanneer deze maatregelen zijn geïmplementeerd, kan er alsnog worden gestart met de verwerking. Ook kan de AP adviseren om helemaal van de verwerking af te zien.
Een DPIA is geen eenmalige handeling. Een DPIA dient bij voorkeur periodiek uitgevoerd te worden (c.q. geactualiseerd te worden).
Een DPIA dient in ieder geval opnieuw uitgevoerd te worden in het geval (1) de gegevensverwerking verandert; (2) het risico verandert; en/of (3) de omgeving/context verandert.
Wilt u graag een DPIA door ons laten uitvoeren? Onze CIPP/E en CIPM gecertificeerde privacy advocaat ondersteunt u graag.