Per 25 mei 2018 heeft de Algemene Verordening Gegevensbescherming (AVG) de ‘gegevensbeschermingseffectbeoordeling’ – of in de volksmond: de Data Protection Impact Assessment (DPIA) – in het leven geroepen. De DPIA was al bekend bij de Rijksoverheid en werd door sommige bedrijven vrijwillig ingezet, maar de AVG heeft nu een bredere verplichting geïntroduceerd. De DPIA is een, soms verplicht, instrument om vooraf na te denken over de privacyrisico’s die een bepaalde gegevensverwerking met zich meebrengt. Waar mogelijk dient de verwerking vervolgens ‘privacyvriendelijker’ gemaakt te worden.
Ben ik verplicht om een DPIA te doen?
Op grond van de AVG dient de verwerkingsverantwoordelijke een DPIA uit te voeren wanneer de voorgenomen verwerking waarschijnlijk een hoog risico oplevert voor de mensen van wie gegevens worden verwerkt. Als de verwerkingsverantwoordelijke hierbij een verwerker inschakelt, dient de verwerker te helpen door alle benodigde informatie te verstrekken. Denk hierbij aan het doorgeven van welke beveiligingsmaatregelen zijn genomen voor de geleverde software.
Wanneer moet ik een DPIA doen?
Het Europees Comité voor Gegevensbescherming, het samenwerkingsverband van privacytoezichthouders in de EU, heeft in 2017 al richtlijnen gepubliceerd voor wanneer je nou precies een DPIA moet uitvoeren. Daarvoor is het vaak nodig om te weten of een verwerking ‘grootschalig’, ‘systematisch’ of ‘stelselmatig’ is. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft in november 2019 een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA nodig is. De toezichthouder heeft 17 specifieke situaties aangegeven waarvoor een DPIA verplicht is:
- heimelijk onderzoek
- zwarte lijsten
- fraudebestrijding
- creditscores
- financiële situatie
- genetische persoonsgegevens
- gezondheidsgegevens
- samenwerkingsverbanden
- cameratoezicht
- flexibel cameratoezicht (bijvoorbeeld camera’s op de kleding of helm van brandweer- of ambulancepersoneel, of het gebruik van dashcams door hulpdiensten)
- controle werknemers (bijvoorbeeld door het monitoren van internetgebruik)
- locatiegegevens
- communicatiegegevens
- internet of Things
- profilering
- observatie en beïnvloeding van gedrag (bijvoorbeeld bij online behavioral advertising)
- biometrische gegevens
De toezichthouder heeft overigens (nog) geen gebruikgemaakt van de mogelijkheid om een lijst te maken van verwerkingen waarvoor geen DPIA hoeft te worden uitgevoerd.
Gezondheidsgegevens
Onder overweging 91 van de AVG was het al bekend dat individuele artsen en zorgprofessionals (en individuele advocaten) geen DPIA’s hoeven uit te voeren. Daardoor was het onduidelijk of bijvoorbeeld een huisartsenpraktijk met twee of drie huisartsen weer wel een DPIA moest doen. De AP geeft nu een aantal voorbeelden van wanneer een grootschalige verwerking van gezondheidsgegevens een DPIA vereist, namelijk voor ziekenhuizen, arbodiensten, reïntegratiebedrijven, (speciaal) onderwijsinstellingen, verzekeraars, en onderzoeksinstituten.
Controle van werknemers
Ook grootschalige en/of systematische monitoring van werknemers vereist een DPIA. Denk daarbij aan het loggen van netwerkverkeer, scannen van e-mails en internetgebruik, en cameratoezicht ten behoeve van diefstal- en fraudebestrijding. Vanwege de grote inbreuk op de privacy van werknemers, mag de werkgever in ieder geval maar beperkt monitoren en alleen voor een strikt afgebakend doel. Door het uitvoeren van de DPIA zal de werkgever regelmatig moeten reflecteren op het toezicht dat hij over zijn werknemers houdt.
Financiële situatie en creditscores
Daarnaast zullen organisaties die – wederom grootschalig en/of systematisch – overzichten van bankafschrijvingen, van saldi van bankrekeningen of van mobiele of pinbetalingen maken, een DPIA moeten uitvoeren. Dat geldt ook indien een en ander gebruikt wordt om iemands kredietwaardigheid te bepalen, zoals bij het bepalen van een creditscore gebeurt.
Biometrische gegevens
Deze categorie heeft de AP als laatste toegevoegd aan de definitieve lijst. Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. Nederland heeft aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet AVG. Alleen wanneer de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan. Daar is dus wel een DPIA voor vereist, zo bleek ook uit een uitspraak van de rechtbank Amsterdam. In deze zaak werd Manfield op de vingers getikt nadat ze een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s hadden ingevoerd bij al haar filialen, zonder hiervoor een DPIA uit te voeren.
Uitvoeren van DPIA’s
Hoe de DPIA moet worden uitgevoerd, is in principe vormvrij, zolang er maar aan een aantal basisvereisten wordt voldaan:
- Beschrijf hoe persoonsgegevens verwerkt zullen worden, en waarom op deze manier.
- Beschrijf waarom dit noodzakelijk en proportioneel is. Breng hierbij de mogelijke privacyrisico’s voor betrokkenen in kaart.
- Beoordeel of deze risico’s niet onredelijk groot zijn tegenover het te bereiken doel.
- Benoem de voorgenomen maatregelen om deze risico’s aan te pakken (zoals bijvoorbeeld extra beveiligingsmaatregelen, een autorisatiebeleid, of data-minimalisatie) en om aan te tonen dat aan de AVG wordt voldaan. Alle verwerkingen van persoonsgegevens dienen immers in lijn met de verordening te zijn. Als de risico’s niet goed beperkt kunnen worden, is voorafgaande raadpleging bij de AP nodig.
De Franse privacytoezichthouder – de CNIL – biedt een tool aan voor het uitvoeren van DPIA’s (ook beschikbaar in het Nederlands!). De DPIA kan natuurlijk ook door een externe partij worden uitgevoerd. Die keuze is aan de verwerkingsverantwoordelijke.
Meer vragen over dit onderwerp?
Wij helpen je graag verder. Bel T +31 (0)20 663 1941 of nee direct contact op via het contactformulier.
