Een DPIA… Uitbesteden of zelf doen?
De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing. Volgens deze wet bent u verplicht een Data Protection Impact Assessment (DPIA) – in het Nederlands ‘gegevensbeschermingseffectbeoordeling’ (snel vergeten) – uit te voeren als uw gegevensverwerkingen een (vermoedelijk) hoog risico opleveren.
Als verwerkingsverantwoordelijke moet u zelf bepalen of dit het geval is. Als u geen DPIA – en indien nodig een voorafgaande raadpleging – heeft uitgevoerd, mag u niet met de hoog-risico-verwerkingen beginnen.
Wat is een DPIA?
Een DPIA is een manier waarmee uw organisatie, voorafgaand aan een gegevensverwerking, de privacyrisico’s in kaart brengt. Dit doet u door met name de oorsprong, de aard, het specifieke karakter en de ernst van de privacyrisico’s te beoordelen. Indien nodig kunnen vervolgens maatregelen worden getroffen om de privacyrisico’s te verkleinen.
Voor welke gegevensverwerkingen een DPIA uitvoeren?
Niet iedere gegevensverwerking verplicht uw organisatie tot het uitvoeren van een DPIA. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor natuurlijke personen. Dit geldt in het bijzonder voor een gegevensverwerking waarbij met name nieuwe technologieën worden gebruikt.
Een DPIA moet in ieder geval worden uitgevoerd als uw organisatie:
- Systematisch en uitvoerig persoonlijke aspecten beoordeelt.
- Op grote schaal bijzondere persoonsgegevens verwerkt.
- Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld door cameratoezicht.
Voorbeelden van dergelijke gegevensverwerkingen zijn:
- Een zorgverlener die patiëntgegevens verwerkt.
- Een marktonderzoeksbureau dat in opdracht locatiegegevens van klanten verwerkt voor statistische doeleinden.
- Een recruitmentbureau dat heel veel cv’s – en dus persoonlijke informatie – verwerkt.
Ook andere gegevensverwerkingen kunnen wegens het hoge privacyrisico in aanmerking komen voor een DPIA. Bij het bepalen of daarvan sprake is, moet worden gekeken naar het aantal betrokkenen, de hoeveelheid gegevens die worden verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking.
De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.
Waarom een DPIA uitvoeren?
Het uitvoeren van een DPIA kan bevorderlijk zijn voor de gegevensbescherming, maar ook voor uw organisatie zelf. Door middel van een DPIA kunnen kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacyrisico’s worden voorkomen. Hiermee geeft een organisatie bovendien invulling aan de op grond van de AVG vereiste principes ‘Privacy by Design’ en ‘Privacy by Default’.
Een DPIA kan daarnaast zorgen voor onder meer verhoging van het privacybewustzijn binnen een organisatie, verbetering van de dienstverlening en besluitvorming, verbetering van de haalbaarheid van een project en versteviging van het vertrouwen van klanten en werknemers in de wijze waarop persoonsgegevens binnen de organisatie worden verwerkt en privacy wordt gerespecteerd.
Hoe een DPIA uitvoeren?
Een organisatie die onder de AVG verplicht is een Functionaris voor de gegevensbescherming (FG) aan te stellen, moet bij de uitvoering van de DPIA advies inwinnen van de FG. Indien een organisatie daarnaast voor de gegevensverwerking gebruik maakt van een verwerker, moet deze verwerker de organisatie bij de uitvoering van de DPIA assisteren door onder meer de nodige informatie te verstrekken over bijvoorbeeld de beveiligingsmaatregelen in de door de organisatie gebruikte systemen en software. Ook kan bij de uitvoering van de DPIA advies van de betrokkenen worden ingewonnen.
Een organisatie kan zelf kiezen hoe een DPIA wordt uitgevoerd, zolang de DPIA in ieder geval het volgende bevat:
- Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden daarvan.
- Een beoordeling van de noodzaak en de proportionaliteit (is de inbreuk op de privacy van de betrokkenen niet onevenredig in verhouding tot het doel?) van de gegevensverwerkingen.
- Een beoordeling van de privacyrisico’s voor de betrokkenen.
- De beoogde maatregelen om [1] de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en [2] aan te tonen dat de organisatie aan de AVG voldoet.
Ondersteunt door een AVG compliance tool
DPOrganizer is een ultieme AVG compliance tool waarmee u onder meer Data Protection Impact Assessments (DPIA’s) kunt registreren en uitvoeren. Vraag vrijblijvend een demo aan en ervaar hoe de eenvoudige software uw organisatie kan helpen om AVG compliant te worden.
Hoe vaak een DPIA uitvoeren?
Een DPIA uitvoeren is geen eenmalig iets, maar een continu proces. U moet altijd blijven monitoren of uw gegevensverwerkingen veranderen. Bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek – bijvoorbeeld een keer per twee jaar – een DPIA uit te voeren. Dit doet u ook als de gegevensverwerking zelf niet is veranderd.
Raadpleeg de Autoriteit Persoonsgegevens
Als uit een DPIA blijkt dat de gegevensverwerking inderdaad een hoog privacyrisico oplevert als uw organisatie geen maatregelen treft om het privacyrisico te beperken, moet uw organisatie voorafgaand aan de gegevensverwerking de toezichthouder raadplegen. Deze beoordeelt vervolgens of de voorgenomen gegevensverwerking in strijd is met de AVG. Als dat het geval is, zal de AP uw organisatie hierover adviseren.
Moja Rada ondersteunt
Moja Rada ondersteunt u bij het uitvoeren van DPIA’s en helpt u wijzigingsprocessen zodanig aan te passen dat een DPIA een standaard onderdeel wordt.
Bij het aanpassen van uw bedrijfsprocessen of bij ingebruikname van nieuwe applicaties of IT systemen is het mogelijk noodzakelijk een DPIA uit te voeren. Hiermee kan uw organisatie aantonen dat u voldoende beveiligingsmaatregelen treft bij het verwerken van persoonsgegevens in de nieuwe situatie.