Overzicht
Actueel
18 May 2018
DPIA: Data Protection Impact Assessment

De DPIA of Data Protection Impact Assessment is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen. Onder de Algemene verordening gegevensbescherming (AVG) kan het voor organisaties verplicht zijn om een DPIA uit te voeren.

In de aanloop naar 25 mei lichten we steeds een aspect van de AVG uit om je verder over deze belangrijke onderdelen te informeren. In deze serie vind je onder meer tekst en uitleg over de FG, de Functionaris voor de gegevensbescherming, en alles wat je moet weten over het verwerkingsregister, onderdeel van de verantwoordingsplicht van de AVG.

DPIA: Data Protection Impact Assessment

Een DPIA is een handige administratieve tool om privacyrisico’s van gegevensverwerking in kaart te brengen, waar nodig te handelen om die risico’s te verkleinen en daarmee de regels van de AVG te volgen. Om die reden is het uitvoeren van een DPIA- net als het aanstellen van een FG - ook interessant voor organisaties die dat niet verplicht zijn.

Het stimuleert namelijk om in een vroeg stadium na te denken over de impact van het project op de privacy, maakt inzichtelijk wat de risico's zijn voor de personen wiens gegevens verwerkt worden en voor de organisatie zelf, en of er wellicht een aanpak is die minder gevolgen heeft voor de privacy van alle betrokkenen.

Als uit de DPIA naar voren komt dat de beoogde verwerking een hoog risico oplevert, dan moet je als organisatie de juiste maatregelen treffen om daar mee om te gaan. Lukt het niet om die maatregelen te vinden, dan ben je verplicht om met de Autoriteit Persoonsgegevens (AP) te overleggen voordat je met de verwerking start. Dat heet een voorafgaande raadpleging, waarbij de AP beoordeelt of de geplande verwerking in strijd is met de AVG. Als dat zo is, ontvang je daar een schriftelijk advies over.

Hoe moet je een DPIA uitvoeren?

Er zijn verschillende manieren om een DPIA uit te voeren. Een organisatie is daar vrij in, mits voldaan wordt aan de voorwaarden van de assessment zoals beschreven in de AVG. Die stelt dat een DPIA in ieder geval moet bestaan uit een systematische beschrijving van de beoogde gegevensverwerkingen, de doelen daarvan en eventueel de betreffende grondslag voor de verwerking.

Vervolgens dien je in een tweetal beoordelingen uiteen te zetten wat de noodzaak (noodzakelijk voor het doel?) en proportionaliteit (in verhouding tot het doel?) van de verwerking is, en wat de privacyrisico's zijn voor de betrokkenen.

De laatste stap is een beschrijving van de beoogde maatregelen om de risico's aan te pakken en aan te tonen dat je aan de regels van de AVG voldoet wat de bescherming van de gegevens betreft.

Stel, je bent een ondernemer met een webshop. Dan kunnen die stappen er als volgt uitzien.

  1. Een overzicht van alle verwerkingen en de doelen van deze verwerkingen.
  2. Een beoordeling van noodzaak en proportionaliteit: de verwerking is bijvoorbeeld noodzakelijk voor de uitvoering van de overeenkomst (de online aankoop), en de benodigde gegevens zijn beperkt tot het strikt noodzakelijke. Daarnaast is er toestemming van de consument.
  3. Een beoordeling van het effect van de verwerking op de betrokkenen: de gegevens van de consument die nu in handen zijn van jou als ondernemer voor de beschreven doelen.
  4. Een beschrijving van de maatregelen om de risico’s voor die consument te beperken, zoals de beveiliging van het klantenbestand en de betaalmethoden.
Wanneer zijn organisaties verplicht om een DPIA uit te voeren?

Het uitvoeren van een DPIA is verplicht als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dat klinkt behoorlijk subjectief, en dat is het in principe ook: je bent zelf verantwoordelijk om te bepalen of de verwerking een hoog risico draagt.

Dat is in ieder geval zo als een organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling, op grote schaal bijzondere persoonsgegevens verwerkt of mensen systematisch volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

Daarnaast heeft de werkgroep van Europese privacytoezichthouders een lijst van 9 criteria opgesteld om je te helpen bij de inschatting van de risico's. Als vuistregel geldt dat verwerking van persoonsgegevens een hoog privacyrisico draagt als er aan twee of meer van onderstaande criteria wordt voldaan:

1. Beoordelen van mensen op basis van persoonskenmerken

Denk aan profiling op basis van kenmerken als locatie, gezondheid, economische situatie of persoonlijke interesses. Voorbeeld: tracking op websites om profielen van bezoekers te maken.

2. Geautomatiseerde beslissingen

Beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

3. Stelselmatige en grootschalige monitoring

Bij monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht, kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt.

4. Gevoelige gegevens

Verwerking van bijzondere categorieën van persoonsgegevens, zoals informatie over iemands politieke voorkeuren of strafrechtelijke gegevens en informatie die over het algemeen als privacygevoelig wordt beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. Grootschalige gegevensverwerking

Afhankelijk van de hoeveelheid mensen van wie gegevens worden verwerkt, de hoeveelheid gegevens, de tijdsduur van de gegevensverwerking en de geografische reikwijdte van de gegevensverwerking.

6. Gekoppelde database

Verzamelingen van gegevens die aan elkaar gekoppeld of met elkaar gecombineerd zijn, bijvoorbeeld in een database voortgekomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Specifiek als er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke, waarbij betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Denk bijvoorbeeld aan werknemers, patiënten en kinderen.

8. Gebruik van nieuwe technologieën

Persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen nog onbekend zijn, en een nieuwe technologie kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

9. Blokkering van een recht, dienst of contract

Gegevensverwerkingen die tot gevolg hebben dat betrokkenen een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken of een contract niet kunnen afsluiten. Denk aan een bank die persoonsgegevens verwerkt om te bepalen of iemand wel of geen lening verstrekt krijgt.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman
Neem contact op
Is jouw organisatie klaar voor de AVG?

Awareways heeft een breed programma met e-learnings gefocust op de gebruikers; de medewerkers die uiteindelijk de keuze maken wat ze wel of niet met privacygevoelige informatie doen. Binnen dat aanbod van online trainingen is er specifiek voor de nieuwe privacywetgeving ook een AVG-module, volledig op maat in te richten, om ervoor te zorgen dat het kennisniveau van alle medewerkers op het juiste niveau ligt om aan de regels en verantwoordelijkheden te voldoen.

Daarnaast heeft Awareways de Mobile Escape Room gelanceerd: de eerste escape room in Nederland waar je de beginselen van security en privacy in een real life spel ervaart. Dé manier om de AVG op een educatieve en inspirerende wijze op te pakken. De mobiele oplossing is bovendien ideaal voor trainingen op kantoor. Kijk voor meer informatie op awareways.com/escaperoom of neem contact op met Arthur Timmerman via arthur@awareways.com.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.