AVG - DPIA: Beoordeling van gegevensbescherming

Het doel van de AVG is om persoonsgegevens van betrokkenen te beschermen, maar wanneer is er sprake van voldoende bescherming en hoe wordt dit beoordeelt? Het effect van de bescherming van gegevens wordt beoordeeld met de zogenaamde Data Protection Impact Assessment (afgekort met DPIA en letterlijk naar het Nederlands vertaalt als gegevensbeschermingseffectbeoordeling). In deze blog beantwoorden we de vragen wat een DPIA is, wanneer en waarom een DPIA verplicht is, wat de vorm van een DPIA is, en wat de gevolgen zijn van de verschillende resultaten van de DPIA.

Wat is een gegevensbeschermingseffectbeoordeling?

Een gegevensbeschermingseffectbeoordeling (verder aangeduid als assessment) is een beoordeling voor organisaties om de risico van een privacy inbreuk vast te stellen voordat de inbreuk kan plaatsvinden. Hierbij wordt de oorsprong, de aard, het specifieke karakter en de ernst van te risico geëvalueerd. Organisaties zijn verplicht regelmatig assessments uit te voeren, met als doel de kans op een privacy inbreuk te minimaliseren.

Wanneer wel en wanneer niet beoordelen?

In beginsel dient een assessment uitgevoerd te worden wanneer een nieuwe verwerking plaatsvindt en deze, gelet op de aard, omvang en context van de doeleinden van de verwerking, waarschijnlijk een hoog risico voor de gegevensbescherming vormt. Een ‘hoog risico’ is breed geformuleerd, maar wat wordt daarmee precies bedoelt? De Europese privacy toezichthouders hebben samen negen criteria opgesteld zodat organisaties efficiënter kunnen beoordelen of een assessment, wegens hoog gegevensbescherming risico, noodzakelijk is bij een nieuwe verwerking. Volgens de Autoriteit Persoonsgegevens kunnen organisaties ervan uitgaan dat een assessment noodzakelijk is wanneer er bij een nieuwe verwerking aan twee of meer van deze criteria wordt voldaan.

Indien minstens twee van de volgende situaties van toepassing zijn bij de nieuwe verwerking, is het noodzakelijk om een assessment uit te voeren:

1. Bij grootschalige verwerkingen waarbij rekening gehouden moet worden met de hoeveelheid verwerkte gegevens, hoeveelheid betrokkenen, de duur van de verwerking en de geografische reikwijdte van de verwerking. 
2. Bij verwerking van bijzondere persoonsgegevens zoals gegevens over politieke opvattingen, medische gegevens of bijvoorbeeld strafrechtelijke verleden van de betrokkene.
3. Bij verwerkingen met als gevolg waarbij de betrokkene niet meer een dienst kan gebruiken, recht kan uitoefenen of een contract sluiten. 
4. Bij persoonsgegevens van kwetsbare individuen die de weigering of juist toestemming van de verwerking niet kunnen geven, zoals minderjarigen.
5. Bij geautomatiseerde beslissingen waarbij er wezenlijke gevolgen voor de betrokkene ontstaan.
6. Bij gebruik van nieuwe technologieën. Dit komt doordat het gebruik maken van nieuwe technologieën ervoor kan zorgen dat er opnieuw gekeken moet worden naar de gegevensbescherming om deze te waarborgen. Daarnaast is een assessment handig bij verzamelingen van twee of meer databases waarbij de verwerking voor verschillende doeleinden plaatsvindt of uitgevoerd wordt door twee verschillende organisaties. Verder bij verwerkingen waarbij betrokkenen beoordeeld worden aan de hand van persoonskenmerken, zoals bij het sluiten van een huurovereenkomst waarbij een profiel van een persoon (profilering) gemaakt wordt, om te beoordelen of diegene zijn huur in de toekomst zal betalen.
7. Tot slot bij monitoring van openbare ruimtes zoals een plein, waarbij persoonsgegevens van personen worden verwerkt, mogelijk zonder dat diegene er bewust van is dat persoonsgegevens worden verwerkt. Dit kan bijvoorbeeld gebeuren bij camerabewaking van een plein.

Naar aanleiding van de bovenstaande specifieke situaties, heeft de Autoriteit Persoonsgegevens, een lijst opgesteld van specifieke verwerkingen waarbij het maken van een assessment altijd noodzakelijk is.

Samengevat, moet een assessment plaatsvinden wanneer een nieuwe verwerking in de lijst van de Autoriteit Persoonsgegevens opgesomd staat, of de verwerking een hoog privacy risico vormt. Echter, hoeft in deze gevallen toch geen assessment plaats te vinden, indien de nieuwe verwerking erg lijkt op een eerdere verwerking waarbij al een assessment is uitgevoerd. Daarnaast hoeft er geen assessment uitgevoerd worden als er al een assessment over dezelfde type gegevensverwerking is uitgevoerd bij de totstandkoming van een Europese of Nederlandse wetgeving.

Hoe ziet een assessment eruit?

De AVG vereist niet dat er bij de uitvoering van het assessment gebruik moet worden gemaakt van een specifieke sjabloon of vorm, maar vereist dat er minstens vier zaken aan bod komen. Allereerst moet er in het assessment een systematische beschrijving van de verwerkingen, de verwerkingsdoeleinden, en indien van toepassing, belangen die een rol spelen. Daarnaast moet de noodzakelijkheid en de evenredigheid van de verwerking in het assessment terugkomen. Verder moet het assessment de risico’s voor de rechten en vrijheden van de betrokkenen meewegen en tot slot moeten maatregelen genomen worden om de persoonsgegevens te beschermen. Deze maatregelen moeten aantoonbaar zijn.

Gevolgen resultaten assessment

Nadat het assessment is afgerond, kunnen er mogelijk twee conclusies worden genomen. Deze conclusies kunnen zijn dat de verwerking van gegevens een groot of klein risico voor gegevensbescherming vormt. Indien uit het assessment blijkt dat er heel weinig tot geen risico voor gegevensbescherming bestaat, is het assessment afgerond en mag de verwerking geschieden. Indien uit het assessment blijkt dat er een hoge risico voor een privacy inbreuk aanwezig is, moeten maatregelen genomen worden om deze risico te minimaliseren. Als de maatregelen toch niet genoeg blijken te zijn om gegevens te beschermen, moet er een zogenaamde ‘voorafgaande raadpleging’ aangevraagd worden bij de Autoriteit Persoonsgegevens. Aan de hand van het invullen van het formulier van de Autoriteit Persoonsgegevens, kan er samen met de AP overlegd worden over de mogelijke gevolgen van de verwerking.

In deze blog werd besproken wat de Data Protection Impact Assessment is, wanneer deze assessment uitgevoerd moet worden, en wat de verschillende gevolgen van het assessment zijn. Wilt u meer weten over de AVG? In de volgende blog worden datalekken besproken.