DPIA: Data Protection Impact Assessment
Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA) is een beoordeling van een proces of verwerkingsactiviteit waarbij persoonsgegevens worden verwerkt. Een DPIA is in het bijzonder van belang wanneer bij de verwerking nieuwe technologieën worden gebruikt. Het doel van een DPIA is te bepalen wat precies bij het verwerken van persoonsgegevens de impact is op het gebied van privacy en om maatregelen voor te stellen om deze risico’s te beperken. Een DPIA wordt ook wel een privacy impact assessment of PIA genoemd.De Nederlandse term gegevensbeschermingseffectbeoordeling wordt in de praktijk weinig gebruikt.
Uit bovengenoemde omschrijving blijkt dat een DPIA een instrument is om (privacy)risico's in kaart te brengen en te beheren. Daarnaast kan een DPIA zeer nuttige zijn als accountability-instrument. Hiermee wordt bedoeld dat je, door een DPIA uit te voeren, aan je verantwoordingsplicht voldoet: je toont aan dat je tegemoetkomt aan de eisen die de AVG van je verwacht met betrekking tot je verwerkingen.
Een DPIA moet worden uitgevoerd vóórdat de verwerking in gang wordt gezet. De resultaten van de privacybeoordeling bepalen namelijk of - en welke - aanpassingen nodig zijn om aan de privacyregelgeving te voldoen. Wordt een DPIA op bestaande processen of verwerkingsactiviteiten uitgevoerd, dan moeten deze worden aangepast als de DPIA daartoe aanleiding geeft.
Is een DPIA verplicht? / Bepaling risico
Een DPIA moet worden uitgevoerd als de verwerking waarschijnlijk een hoog risico inhoudt. Met 'risico' wordt bedoeld risico voor de personen van wie de gegevens zullen worden verwerkt. Deze risico's hebben vooral betrekking op het recht op privacy en gegevensbescherming. Hierbij kun je denken aan schade in de vorm van identiteitsdiefstal of -fraude, financieel verlies, reputatieschade, discriminatie of een ander aanzienlijk economisch of maatschappelijk nadeel.Hoe bepaal je nu of er waarschijnlijk een hoog privacyrisico verbonden is aan de verwerking die je wilt gaan uitvoeren? En dus of je een DPIA moet uitvoeren? In artikel 35 lid 3 van de AVG worden drie omstandigheden genoemd waaronder het uitvoeren van een DPIA in elk geval verplicht is:
- Bij profilering.
- Bij grootschalige verwerking van bijzondere (= extra gevoelige) persoonsgegevens.
- Bij stelselmatige en grootschalige monitoring van publieke ruimten.
Er zijn echter meer omstandigheden denkbaar waaronder je een DPIA moet uitvoeren. Bronnen die je hiervoor kunt raadplegen:
- De Europese privacytoezichthouder (EDPB) heeft DPIA-richtlijnen gepubliceerd om organisaties te helpen bepalen wanneer ze een DPIA moeten uitvoeren.
- Ook de Autoriteit Persoonsgegevens heeft een lijst met activiteiten gepubliceerd waarvoor een DPIA verplicht is.
Quickscan / pre-assessment
Bovengenoemde lijsten stellen organisaties in staat een eerste inventarisatie (quick scan of pre-assessment) uit te voeren. De uitkomst van dit vooronderzoek bepaalt of een compleet assessment nodig is. Alleen als de verwerking waarschijnlijk een hoog privacyrisico voor natuurlijke personen oplevert, is een DPIA verplicht.Wat moet er in een DPIA staan
Een DPIA bevat in elk geval de hieronder genoemde onderdelen.- Een systematische beschrijving van de verwerking.
- Een beoordeling van de noodzaak en evenredigheid van de verwerking met betrekking tot de doeleinden. Kortgezegd wordt hiermee bedoeld dat je onderbouwt dat er niet meer persoonsgegevens worden verwerkt dan je nodig hebt voor het doel waarvoor je ze wilt verwerken, dat je geen gevoelige gegevens gebruikt als je je doel ook met minder gevoelige gegevens kunt bereiken enz.
- Een beoordeling van de risico's voor natuurlijke personen.
- De maatregelen die je van plan bent te nemen om de geïdentificeerde risico's te beperken.
De uitkomst van de DPIA
Blijkt uit de DPIA dat er hoge risico's aan je verwerkingsactiviteit verbonden zijn die je niet kunt wegnemen of mitigeren (beperken), dan mag je de verwerkingsactiviteit niet uitvoeren. Gaat het om een activiteit die heel belangrijk is voor jouw organisatie of waarmee een groot maatschappelijk belang wordt gediend, dan kun je ervoor kiezen de Autoriteit Persoonsgegevens te raadplegen. Dit heet een voorafgaande raadpleging.Hoe voer je een DPIA uit?
De Algemene Verordening Gegevensbescherming schrijft niet een bepaalde methode voor om een DPIA uit te voeren. Veel organisaties werken met vragenlijsten in Word of Excel. Deze vragenlijsten zijn vaak gebaseerd op de checklist in bijlage 2 van de eerder genoemde DPIA-richtlijnen van de Europese toezichthouder. Andere geven de voorkeur aan een speciale tool. Dit kan een aparte tool zijn of een onderdeel van een privacysoftwarepakket.Ongeacht de methode waar je voor kiest, zorg ervoor:
- Dat je organisatie kan aantonen dat voor elke verwerking is onderzocht of een DPIA verplicht is.
- Dat een DPIA is uitgevoerd voor alle verwerkingen waaraan (waarschijnlijk) een hoog risico verbonden is.
- Dat elke DPIA regelmatig opnieuw wordt uitgevoerd.
- Dat je regelmatig controleert of de verwerking (nog) wordt uitgevoerd in lijn met de maatregelen die in de bijbehorende DPIA zijn voorgesteld.