De Algemene Verordening Gegevensbescherming (AVG / GDPR) introduceert een aantal nieuwe mechanismen om de bescherming van de privacy van Europese burgers te versterken. Een daarvan is de verplichting om in bepaalde gevallen een privacy impact assessment (PIA) uit te voeren. Daarin beschrijft een organisatie een gegevensverwerkingsproces dat risicovol is voor de personen wiens gegevens verwerkt worden.
De Artikel 29-werkgroep (WP29), waarin de privacytoezichthouders van alle EU-lidstaten verenigd zijn, heeft recentelijk richtlijnen over dit onderwerp gepubliceerd (o.a. te vinden op de website van de Autoriteit Persoonsgegevens). In deze blog wordt behandeld in welke gevallen het verplicht is om zo’n beoordeling te voltooien en wat de inhoud daarvan is. De richtlijnen zullen daarbij in beschouwing worden genomen, omdat deze belangrijke aanwijzingen geven omtrent de te verwachten toepassingspraktijk.
Wanneer is een Privacy Impact Assessment verplicht?
Alleen wanneer een verwerking een hoog risico inhoudt voor de rechten en vrijheden van personen is het op grond van artikel 35 AVG verplicht om een PIA te voltooien. De AVG geeft aanwijzingen wanneer dit geacht wordt aan de orde te zijn: bij geautomatiseerde beoordeling van personen, de grootschalige verwerking van bijzondere persoonsgegevens (bijvoorbeeld gezondheidsgegevens) en het grootschalig monitoren van gebruikers.
Zwarte en witte lijst van gegevensverwerkingen
De richtlijnen van WP29 geven nog aanvullende aanwijzingen wanneer sprake kan zijn van een hoog risico, bijvoorbeeld bij het combineren van datasets, of wanneer de gegevens gaan over kwetsbare groepen betrokkenen. In de toekomst zal de Autoriteit Persoonsgegevens (AP) een zwarte lijst moeten opstellen met verwerkingen die als zo risicovol worden beschouwd dat het uitvoeren van een PIA verplicht is. Daarnaast kan de toezichthouder een witte lijst opstellen met verwerkingen waarvoor geen beoordeling vereist is. Welke verwerkingen op de zwarte of witte lijst worden opgenomen, is voor nu onbekend.
Criteria voor gegevensverwerkingen met een groot risico
WP29 heeft in de richtlijn een lijst met criteria opgenomen waaraan verwerkingen kunnen worden getoetst. Op basis van die criteria kan worden bepaald of een verwerking een groot risico inhoudt. Het op grote schaal opstellen van gedragsprofielen van websitebezoekers vormt volgens deze criteria bijvoorbeeld een groot risico. De organisatie die hiervoor verantwoordelijk is, zal een PIA moeten uitvoeren.
Ook na publicatie van de zwarte en witte lijst zullen er grensgevallen zijn waarin er onduidelijkheid bestaat over of het uitvoeren van PIA vereist is. De benadering die door de toezichthouders in dergelijke gevallen wordt aangeraden, kan worden samengevat als ‘beter voorkomen dan genezen’. Een PIA kan namelijk een nuttig gereedschap zijn om te waarborgen dat aan de databeschermingswetgeving wordt voldaan.
Een organisatie die voornemens is een risicovolle persoonsgegevensverwerking uit te gaan voeren, is vanaf 25 mei 2018 verplicht om van tevoren een PIA uitgevoerd te hebben. Hoe zit het met risicovolle verwerkingen die nu al worden uitgevoerd, en waarmee wordt doorgegaan nadat de AVG van toepassing wordt? In de richtlijn raadt WP29 aan een PIA uit te voeren voordat het verplicht is, zodat de verwerking ongestoord kan continueren.
Hoe wordt een Privacy Impact Assessment uitgevoerd?
In een PIA wordt op systematische wijze een gegevensverwerkingsproces beschreven. Daarbij moet worden stilgestaan bij de doeleinden waarvoor de gegevens verkregen zijn, en of de gegevens ook alleen voor die doelen zullen worden verwerkt. Verder worden de noodzakelijkheid en evenredigheid van de verwerking beoordeeld. Tot slot wordt een inschatting gemaakt van de risico’s die de verwerking met zich meebrengt, en worden maatregelen ontworpen om die risico’s zo goed mogelijk te ondervangen.
In de AVG is de verplichting neergelegd voor organisaties om in bepaalde gevallen advies in te winnen wanneer een PIA wordt uitgevoerd. Wanneer een organisatie een functionaris gegevensbescherming heeft aangewezen, zal zijn advies ingewonnen moeten worden. Daarnaast moet de organisatie beoordelen of het wenselijk is om de personen wiens gegevens verwerkt worden (of hun vertegenwoordigers) te raadplegen voor advies. WP29 adviseert om, wanneer van een advies wordt afgeweken, dit beargumenteerd op te nemen in de beoordeling.
Na het voltooien van een Privacy Impact Assessment
Een PIA is een momentopname. Wanneer het risico dat de verwerking meebrengt verandert, is een herziening verplicht. Het risico kan veranderen wanneer wijzigingen worden doorgevoerd in de manier waarop de verwerking plaatsvindt, maar ook organisatorische veranderingen kunnen een herziening noodzakelijk maken. De hiervoor genoemde organisatie, die op grote schaal gedragsprofielen van websitezoekers opstelt, zal bijvoorbeeld opnieuw een PIA moeten uitvoeren wanneer zij die profielen gaat combineren met nieuwe datasets. In dat geval is het risico dat de gegevensverwerking inhoudt voor de privacy van websitebezoekers groter, doordat een completer beeld van hun gedrag ontstaat.
In sommige gevallen is een PIA een continu proces, bijvoorbeeld wanneer de verwerking dynamisch is ingericht en onderhevig is aan constante verandering. Als good practice wordt door WP29 aangeraden ten minste elke drie jaar opnieuw een PIA uit te voeren.
De AVG verplicht organisaties niet om de beoordelingen die zij hebben uitgevoerd te publiceren. WP29 raadt dit echter wel aan, omdat het bijdraagt aan het opbouwen van vertrouwen en omdat het verantwoordelijkheid en transparantie toont.
Dit artikel is geschreven door Karel Benjamins in samenwerking met Fay Kartner.
Meer weten over onze privacyadviezen & -diensten?
ICTRecht Academy
