30 oktober 2017

AVG: Wanneer moet ik als webshop een Data Protection Impact Assessment uitvoeren?

Privacy website

Onder de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt, moet je als webwinkelier onder bepaalde omstandigheden een Data Protection Impact Assessment (DPIA, of gegevensbeschermingseffectbeoordeling) uitvoeren. Dit is in ieder geval noodzakelijk als een verwerking van persoonsgegevens binnen je organisatie een hoog privacyrisico oplevert. Of dit het geval is, moet je als webshop zelf inschatten. De Artikel 29-werkgroep (WG29), een samenwerkingsverband van Europese toezichthouders, heeft richtlijnen opgesteld met hierin criteria om ondernemers te helpen om dit zo goed mogelijk te kunnen overzien. Hieronder geven we een korte uitleg van wat de DPIA inhoudt en bespreken we kort de criteria van de WG29.

Wat houdt de DPIA in?

Een DPIA helpt bij het ontdekken van privacyrisico’s bij nieuwe en bestaande verwerkingen van persoonsgegevens, en vermindert zo de kans dat deze risico’s zich in de praktijk voordoen. Een DPIA geeft inzicht in de mogelijke negatieve gevolgen voor personen van wie gegevens worden verwerkt. Daarnaast maakt hij op systematische wijze overzichtelijk hoe groot de kans is dat deze negatieve gevolgen tot uiting komen en waar de risico’s zich voordoen. Aan de hand van een DPIA wordt het effect van de verwerking van persoonsgegevens vooraf beoordeeld. Op basis van de uitkomst(en) kun je gericht acties ondernemen om deze risico’s te verminderen. Een DPIA stimuleert je als webwinkelier om goed na te denken over de volgende vragen:

  • Wat is de impact van het beoogde project op de privacy van de betrokkenen?
  • Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
  • Is er, op basis van de doelstellingen van het project, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy?

Verwerkingen met hoog risico

Onder de AVG moeten organisaties een DPIA opstellen als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is in ieder geval vereist als je:

  • personen van wie je de gegevens verwerkt op systematische en uitgebreide basis beoordeelt (of evalueert) op grond van persoonlijke aspecten en als daar dan besluiten op worden gebaseerd, met rechtsgevolgen voor deze persoon (bijvoorbeeld een verandering in zijn rechtspositie). Hierbij kan aan besluitvorming op basis van profilering worden gedacht;
  • ·op een grootschalige manier bijzondere persoonsgegevens verwerkt (bijvoorbeeld wat iemands politieke voorkeur of ras is);
  • ·openbaar toegankelijke ruimten stelselmatig en grootschalig monitort.

Dit zijn de enige omstandigheden die de AVG specifiek geeft voor verwerkingen met een groot privacyrisico. De WG29 geeft ter verduidelijking criteria aan de hand waarvan je het risico van de verwerking kan bepalen. Zo hoef je geen DPIA uit te voeren als een verwerking erg lijkt op een eerdere gegevensverwerking waarvoor je al een DPIA hebt uitgevoerd.

In de huidige situatie in Nederland hoef je onder de Wet bescherming persoonsgegevens (Wbp) niet verplicht een Privacy Impact Assessment (PIA) uit te voeren, al wordt dit wel aangeraden. Een PIA houdt ongeveer hetzelfde in als een DPIA, maar onder de AVG heeft dit instrument een andere naam gekregen.

De criteria van de WG29

Als de verwerking van jouw webshop aan minstens twee van de onderstaande tien criteria voldoet, ben je volgens de WG29 verplicht om een DPIA uit te voeren.

  1. Personen worden beoordeeld op basis van persoonlijke aspecten

    Bijvoorbeeld het maken van prognoses op grond van iemands persoonlijke voorkeuren, economische situatie of gezondheid.

  2. Er vindt geautomatiseerde besluitvorming plaats waaraan rechtsgevolgen zijn verbonden

    Een besluit dat ervoor kan zorgen dat mensen bijvoorbeeld worden uitgesloten of gediscrimineerd.

  3. Personen worden systematisch gemonitord

    Het gaat hierbij om de monitoring van openbaar toegankelijke ruimten, waarbij personen niet weten dat hun persoonsgegevens worden vastgelegd.

  4. Er worden gevoelige gegevens verwerkt

    Het verwerken van bijzondere persoonsgegevens, zoals iemands seksuele voorkeur of geloofsovertuiging.

  5. Er worden gegevens op grote schaal verwerkt

    De AVG definieert niet wat gegevensverwerking op grote schaal inhoudt, maar de WG29 geeft aan dat de volgende criteria hierbij relevant zijn:

    • Het aantal betrokken personen.
    • De hoeveelheid gegevens.
    • De duur van de gegevensverwerkingsactiviteit.
    • De geografische omvang van de verwerkingsactiviteit.
  6. Er worden datasets gecombineerd

    Persoonsgegevens worden aan elkaar gekoppeld of gecombineerd, zoals bij gegevens van twee verschillende gegevensverwerkingen.

  7. Er worden gegevens over kwetsbare personen verzameld

    Er bestaat een machtsverhouding met degene van wie je gegevens verzamelt (bijvoorbeeld als dat je werkgever is) of het betreffen kwetsbare groepen zoals kinderen of patiënten.

  8. Er worden nieuwe technologieën gebruikt

    Deze technologieën kunnen nieuwe methoden van gegevensverwerking met zich meebrengen, waarvan je de risico’s nog niet goed kunt inschatten.

  9. Er worden gegevens naar buiten de EU doorgegeven

    Je moet beoordelen of het land waarnaar je de gegevens doorgeeft een goed beschermingsniveau biedt.

  10. De gegevensverwerking blokkeert de uitoefening van een recht, service of contract
  11. Bijvoorbeeld een bank die de kredietwaardigheid van een persoon evalueert.

Handreiking

Voor meer informatie over de (D)PIA verwijzen we net als de Autoriteit Persoonsgegevens (AP) graag naar de handreiking die is uitgegeven door NOREA, de beroepsorganisatie van ict-auditors. Omdat er tussen een PIA of DPIA inhoudelijk weinig verschil is, kan deze handreiking waarschijnlijk ook na inwerkingtreding van de AVG worden gebruikt als handvat.

Meer weten?

Vincent Romviel Wil je meer weten over de (D)PIA of andere privacygerelateerde onderwerpen? Neem dan contact op met Vincent Romviel (), jurist bij Thuiswinkel.org.