DPIA

8 maart 2018

scrabble

De Gegevensbeschermingseffectbeoordeling (DPIA)

Met de komst van de Algemene Verordening Gegevensbescherming is de Nederlandse taal een woord rijker: ‘de Gegevensbeschermingseffectbeoordeling’. Het woord is geschikt voor het spelletje Galgje, maar wat minder voor Scrabble en het is ook nog niet ingeburgerd in het dagelijkse taalgebruik. De Gegevensbeschermingseffectbeoordeling wordt vaak aangeduid als DPIA (de afkorting van Data Protection Impact Assessment), en in dit artikel zal die afkorting ook worden gebruikt. In dit artikel zal worden uitgelegd waarom de DPIA is ingevoerd en wanneer de DPIA moet worden uitgevoerd. Ook zal kort worden stilgestaan bij de rol van de Functionaris Gegevensbescherming (hierna: ‘de FG’) bij de DPIA en bij de uitvoering van de DPIA.

Waarom?

Eén van de verplichtingen uit de AVG is het beheren van de risico’s die verbonden zijn met de verwerking van persoonsgegevens. Als een DPIA wordt uitgevoerd, worden de risico’s in kaart gebracht. Dat wordt gedaan vóórdat een aanvang wordt gemaakt met de verwerking van de persoonsgegevens. Door de risico’s vooraf in kaart te brengen, worden de risico’s mogelijk beperkt en kunnen er voor aanvang van de gegevensverwerking extra maatregelen worden genomen.

Wanneer?

Wanneer moet een organisatie een DPIA uitvoeren? Uit artikel 35 van de AVG blijkt het antwoord. De DPIA moet worden uitgevoerd als een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene. Uit de wet volgt dat er in ieder geval sprake is van een hoog risico als:

  • Bijzondere persoonsgegevens op grote schaal worden verwerkt;
  • Er stelselmatige en grootschalige monitoring plaatsvindt in openbaar toegankelijke ruimten; en
  • als er systematisch en uitgebreid persoonlijke aspecten van natuurlijke personen worden geëvalueerd.

In de zorgsector zal bijvoorbeeld vaak sprake zijn van een hoog risico en zal de DPIA ook vaak moeten worden uitgevoerd. Gegevens over de gezondheid van mensen kwalificeren immers als ‘bijzondere persoonsgegevens’. Als een individuele arts of een andere zorgprofessional gegevens van patiënten of cliënten verwerkt, wordt dat niet gezien als verwerking op grote schaal. In grotere verbanden, denk aan zorginstellingen en ziekenhuizen, zal dat al snel wel het geval zijn.

De FG

Als er eenmaal geconcludeerd is dat de DPIA moet worden uitgevoerd, moet de FG (waarover we in de vorige nieuwsbrief schreven) worden ingeschakeld. Uit artikel 39 van de AVG blijkt dat een FG desgevraagd advies mag verstrekken met betrekking tot de DPIA en dat de FG moet toezien op de uitvoering van de DPIA.

De uitvoering

Vervolgens moet de DPIA worden uitgevoerd. De DPIA bevat ten minste:

  • een beschrijving van de beoogde verwerkingen en de doelen die met de verwerkingen worden nagestreefd;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen;
  • een beoordeling van de risico’s voor de betrokkenen;
  • de maatregelen die worden genomen om risico’s aan te pakken.

Nadat de DPIA is uitgevoerd, zijn de risico’s van een voorgenomen verwerking in kaart gebracht. Als de verantwoordelijke tot de conclusie komt dat er een hoog risico is verbonden aan de verwerking, dient hij de Autoriteit Persoonsgegevens te raadplegen. De Autoriteit Persoonsgegevens zal dan binnen een termijn van acht weken schriftelijk advies geven. Ook kan de Autoriteit Persoonsgegevens haar andere bevoegdheden gebruiken. Zo kan de Autoriteit Persoonsgegevens een verbod opleggen.

Tot slot

De DPIA is één van de nieuwe verplichtingen onder de AVG. Een verplichting die niet per se negatief hoeft te zijn. Door de DPIA uit te voeren, kunt u al vroegtijdig risico’s in kaart brengen. U kunt op die manier al in een vroeg stadium aanpassingen verrichten en de privacy binnen uw organisatie verbeteren. Neem voor meer informatie contact op met een van onze privacy specialisten of meld u hier aan voor de subsessie hierover op het congres Business Ethics & Legal.

Lees ook onze artikelen over de betekenis van de AVG/GDPR voor werkgevers, het verwerkingsregister en de rol van de OR bij de AVG/GDPR.