Data Protection Impact Assessment (DPIA)

Een Data Protection Impact Assessment (DPIA, of gegevensbeschermingseffectbeoordeling) moet (onder voorwaarden) worden uitgevoerd als de verwerking van persoonsgegevens een hoog risico oplevert voor de betrokkene. Aan de hand van dit instrument wordt het effect van de verwerking van deze gegevens vooraf beoordeeld.

Een DPIA geeft bedrijven inzicht in hoe groot de kans is dat de privacy van de betrokkenen wordt geschaad, waar deze risico’s zich bevinden en welke gevolgen daaraan verbonden zijn voor hen. Op basis van de uitkomsten van de DPIA kun je gericht acties ondernemen om deze risico’s te verminderen.

Een DPIA stimuleert bedrijven om goed na te denken over de volgende vragen:

• Wat is de impact van het beoogde project op de privacy van de betrokkenen?
• Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
• Is er, op basis van de doelstellingen van het project, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy?

Onder de AVG moeten organisaties een DPIA opstellen als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is in ieder geval vereist als je:

• personen van wie je de gegevens verwerkt op systematische en uitgebreide basis beoordeelt (of evalueert) op grond van persoonlijke aspecten en als daar dan besluiten op worden gebaseerd, met rechtsgevolgen voor deze persoon (bijvoorbeeld een verandering in zijn rechtspositie). Hierbij kan aan besluitvorming op basis van profilering worden gedacht;
• ·op een grootschalige manier bijzondere persoonsgegevens verwerkt (bijvoorbeeld wat iemands politieke voorkeur of ras is);
• ·openbaar toegankelijke ruimten stelselmatig en grootschalig monitort.

Dit zijn de enige omstandigheden die de AVG specifiek geeft voor verwerkingen met een groot privacyrisico. De WG29 geeft ter verduidelijking criteria aan de hand waarvan je het risico van de verwerking kan bepalen. Zo hoef je geen DPIA uit te voeren als een verwerking erg lijkt op een eerdere gegevensverwerking waarvoor je al een DPIA hebt uitgevoerd.

De criteria van de WG29

Als de verwerking van jouw webshop aan minstens twee van de onderstaande tien criteria voldoet, ben je volgens de WG29 verplicht om een DPIA uit te voeren.

1. Personen worden beoordeeld op basis van persoonlijke aspecten

   Bijvoorbeeld het maken van prognoses op grond van iemands persoonlijke voorkeuren, economische situatie of gezondheid.

2. Er vindt geautomatiseerde besluitvorming plaats waaraan rechtsgevolgen zijn verbonden

   Een besluit dat ervoor kan zorgen dat mensen bijvoorbeeld worden uitgesloten of gediscrimineerd.

3. Personen worden systematisch gemonitord

   Het gaat hierbij om de monitoring van openbaar toegankelijke ruimten, waarbij personen niet weten dat hun persoonsgegevens worden vastgelegd.

4. Er worden gevoelige gegevens verwerkt

   Het verwerken van bijzondere persoonsgegevens, zoals iemands seksuele voorkeur of geloofsovertuiging.

5. Er worden gegevens op grote schaal verwerkt

   De AVG definieert niet wat gegevensverwerking op grote schaal inhoudt, maar de WG29 geeft aan dat de volgende criteria hierbij relevant zijn:

   • Het aantal betrokken personen.
   • De hoeveelheid gegevens.
   • De duur van de gegevensverwerkingsactiviteit.
   • De geografische omvang van de verwerkingsactiviteit.
6. Er worden datasets gecombineerd

   Persoonsgegevens worden aan elkaar gekoppeld of gecombineerd, zoals bij gegevens van twee verschillende gegevensverwerkingen.

7. Er worden gegevens over kwetsbare personen verzameld

   Er bestaat een machtsverhouding met degene van wie je gegevens verzamelt (bijvoorbeeld als dat je werkgever is) of het betreffen kwetsbare groepen zoals kinderen of patiënten.

8. Er worden nieuwe technologieën gebruikt

   Deze technologieën kunnen nieuwe methoden van gegevensverwerking met zich meebrengen, waarvan je de risico’s nog niet goed kunt inschatten.

9. Er worden gegevens naar buiten de EU doorgegeven

   Je moet beoordelen of het land waarnaar je de gegevens doorgeeft een goed beschermingsniveau biedt.

10. De gegevensverwerking blokkeert de uitoefening van een recht, service of contract

Bijvoorbeeld een bank die de kredietwaardigheid van een persoon evalueert.

Wat moeten webwinkeliers doen?

Een Data Protection Impact Assessment kan in vier stappen worden uitgevoerd:

1. Geef een overzicht van alle verwerkingen en de doelen waarvoor deze verwerkingen worden uitgevoerd.
2. Beoordeel of de verwerkingen gerechtvaardigd zijn. Is er een rechtvaardigingsgrond voor het verwerken van deze gegevens op basis van het doel waarvoor je ze verwerkt? Een rechtvaardigingsgrond kan zijn:
   1. De verwerking is noodzakelijk voor de uitvoering van de overeenkomst.
   2. De verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de ondernemer en het privacybelang van de betrokkene prevaleert niet.
   3. Je hebt toestemming van de consument om deze gegevens te verwerken.
3. Beoordeel het effect van de verwerking op de betrokkenen.
4. Bepaal maatregelen om de risico’s voor betrokkenen te beperken..

Handreiking

Voor meer informatie over de DPIA verwijzen we net als de Autoriteit Persoonsgegevens (AP) graag naar de handreiking die is uitgegeven door NOREA, de beroepsorganisatie van ict-auditors. Omdat er tussen een PIA of DPIA inhoudelijk weinig verschil is, kan deze handreiking waarschijnlijk ook na inwerkingtreding van de AVG worden gebruikt als handvat.