Een DPIA is een handige administratieve tool om privacyrisico’s van gegevensverwerking in kaart te brengen, waar nodig te handelen om die risico’s te verkleinen en daarmee de regels van de AVG te volgen. Om die reden is het uitvoeren van een DPIA- net als het aanstellen van een FG – ook interessant voor organisaties die dat niet verplicht zijn.

Het stimuleert namelijk om in een vroeg stadium na te denken over de impact van het project op de privacy, maakt inzichtelijk wat de risico’s zijn voor de personen wiens gegevens verwerkt worden en voor de organisatie zelf, en of er wellicht een aanpak is die minder gevolgen heeft voor de privacy van alle betrokkenen.

Als uit de DPIA naar voren komt dat de beoogde verwerking een hoog risico oplevert, dan moet je als organisatie de juiste maatregelen treffen om daar mee om te gaan. Lukt het niet om die maatregelen te vinden, dan ben je verplicht om met de Autoriteit Persoonsgegevens (AP) te overleggen voordat je met de verwerking start. Dat heet een voorafgaande raadpleging, waarbij de AP beoordeelt of de geplande verwerking in strijd is met de AVG. Als dat zo is, ontvang je daar een schriftelijk advies over.

Er zijn verschillende manieren om een DPIA uit te voeren. Een organisatie is daar vrij in, mits voldaan wordt aan de voorwaarden van de assessment zoals beschreven in de AVG. Die stelt dat een DPIA in ieder geval moet bestaan uit een systematische beschrijving van de beoogde gegevensverwerkingen, de doelen daarvan en eventueel de betreffende grondslag voor de verwerking.

Vervolgens dien je in een tweetal beoordelingen uiteen te zetten wat de noodzaak (noodzakelijk voor het doel?) en proportionaliteit (in verhouding tot het doel?) van de verwerking is, en wat de privacyrisico’s zijn voor de betrokkenen.

De laatste stap is een beschrijving van de beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat je aan de regels van de AVG voldoet wat de bescherming van de gegevens betreft.

Stel, je bent een ondernemer met een webshop. Dan kunnen die stappen er als volgt uitzien.

1. Een overzicht van alle verwerkingen en de doelen van deze verwerkingen
2. Een beoordeling van noodzaak en proportionaliteit: de verwerking is bijvoorbeeld noodzakelijk voor de uitvoering van de overeenkomst (de online aankoop), en de benodigde gegevens zijn beperkt tot het strikt noodzakelijke. Daarnaast is er toestemming van de consument.
3. Een beoordeling van het effect van de verwerking op de betrokkenen: de gegevens van de consument die nu in handen zijn van jou als ondernemer voor de beschreven doelen.
4. Een beschrijving van de maatregelen om de risico’s voor die consument te beperken, zoals de beveiliging van het klantenbestand en de betaalmethoden.

Het uitvoeren van een DPIA is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dat klinkt behoorlijk subjectief, en dat is het in principe ook: je bent zelf verantwoordelijk om te bepalen of de verwerking een hoog risico draagt.

Dat is in ieder geval zo als een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling, op grote schaal bijzondere persoonsgegevens verwerkt of mensen systematisch volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

Daarnaast heeft de werkgroep van Europese privacytoezichthouders een lijst van 9 criteria opgesteld om je te helpen bij de inschatting van de risico’s. Als vuistregel geldt dat verwerking van persoonsgegevens een hoog privacyrisico draagt als er aan twee of meer van onderstaande criteria wordt voldaan:

1. Beoordelen van mensen op basis van persoonskenmerken

Denk aan profiling op basis van kenmerken als locatie, gezondheid, economische situatie of persoonlijke interesses. Voorbeeld: tracking op websites om profielen van bezoekers te maken.

2. Geautomatiseerde beslissingen

Beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

3. Stelselmatige en grootschalige monitoring

Bij monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht, kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt.

4. Gevoelige gegevens

Verwerking van bijzondere categorieën van persoonsgegevens, zoals informatie over iemands politieke voorkeuren of strafrechtelijke gegevens en informatie die over het algemeen als privacygevoelig wordt beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. Grootschalige gegevensverwerking

Afhankelijk van de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens, de tijdsduur van de gegevensverwerking en de geografische reikwijdte van de gegevensverwerking.

6. Gekoppelde database

Verzamelingen van gegevens die aan elkaar gekoppeld of met elkaar gecombineerd zijn, bijvoorbeeld in een database voortgekomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Specifiek als er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke, waarbij betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Denk bijvoorbeeld aan werknemers, patiënten en kinderen.

8. Gebruik van nieuwe technologieën

Persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen nog onbekend zijn, en een nieuwe technologie kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

9. Blokkering van een recht, dienst of contract

Gegevensverwerkingen die tot gevolg hebben dat betrokkenen een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten. Denk aan een bank die persoonsgegevens verwerkt om te bepalen of iemand wel of geen lening verstrekt krijgt.