Wat is een DPIA (Data Protection Impact Assessment)?
Een Data Protection Impact Assessment (of in het Nederlands: Gegevensbeschermingseffectbeoordeling) is een soort verplichte risicoanalyse. Het draait om het in kaart brengen van risico’s bij het verwerken van persoonsgegevens in specifieke situaties. Een DPIA gaat namelijk verder dan een gewone risicoanalyse: het is een wettelijk verplichte variant voor situaties waarin de risico’s rond de persoonsgegevens die je verwerkt extra hoog zijn.
Heel kort samengevat ga je in een DPIA onderzoeken:
- Welke gegevens je verwerkt
- Waarom je die verwerkt
- Welke risico’s dit met zich meebrengt
- Of er gepaste maatregelen zijn genomen om deze risico’s af te dekken
- Indien die is aangesteld, wat je Data Protection Officer (DPO) ervan vindt
Een DPIA verplicht je in die zin om verantwoord om te gaan met privacyrisico’s.
Wanneer moet je een DPIA uitvoeren?
Alleereerst kun je kijken naar de lijsten die zijn opgesteld door gegevensbeschermingsautoriteiten zoals die van de GBA in België of de AP in Nederland. Deze lijsten bevatten criteria om te bepalen of een DPIA verplicht is, of dat een DPIA aangewezen is. Bijvoorbeeld
- Als je verwerking voldoet aan één van de 8 verplichte punten op de lijst van de GBA, moet je in België altijd een DPIA uitvoeren.
- De Europese Data Protection Board (EDPB) heeft ook richtlijnen opgesteld. Als je aan meerdere criteria voldoet, is het sterk aan te raden een DPIA uit te voeren.
Wat als je buiten deze situaties valt
Daarnaast moet je ook kijken naar de algemene omschrijving uit artikel 33 van de GDPR. De wet schrijft namelijk ook contexten voor waarin een DPIA uitgevoerd moet worden, maar die zijn aanzienlijk algemener dan die uit het vorige hoofdstuk:
1. Bij systematische en uitgebreide evaluatie van personen
Dit geldt vooral als je gebruik maakt van geautomatiseerde processen die een belangrijk effect kunnen hebben op betrokkenen. Denk bijvoorbeeld aan een bank die een geautomatiseerde tool gebruikt om hypotheekaanvragen te beoordelen. Zo’n systeem bepaalt met één druk op de knop of een aanvraag wordt goedgekeurd.
Omdat dit grote gevolgen heeft voor de betrokkenen, is een DPIA hier verplicht. Het doel? Zeker weten dat je zorgvuldig met de gegevens en de rechten van betrokkenen omgaat.
2. Bij verwerking van bijzondere categorieën van gegevens op grote schaal
Sommige persoonsgegevens zijn extra gevoelig. Denk aan gezondheidsgegevens, seksuele geaardheid, politieke overtuiging of strafrechtelijke gegevens. Als je deze gegevens op grote schaal verwerkt, is een DPIA noodzakelijk.
Maar wat is ‘grote schaal’? Dat hangt enorm af van de context:
- Bij een verwerking waarbij alle medewerkers van een klein bedrijf met 200 medewerkers zijn betrokken kan dit al grote schaal zijn.
- Voor een verwerking op niveau van een overheid hoeft een paar duizend inwoners nog steeds geen grote schaal te zijn.
Omdat dit nogal subjectief is, is het verstandig om hierover te overleggen met je privacycollega’s of je DPO.
3. Bij systematische monitoring van publiek toegankelijke plaatsen
Gebruik je bijvoorbeeld bewakingscamera’s of gezichtsherkenning? Dit soort monitoring valt onder de derde verplichte situatie voor een DPIA. Denk aan een winkelcentrum dat beveiligingscamera’s heeft die elke beweging registreren.
Deze toepassingen raken direct de privacy van mensen en vereisen daarom extra aandacht.
Hoe voer je een DPIA uit?
Een DPIA is niet zomaar een checklist die je afvinkt, in de schuif achterlaat en dan nooit meer bekijkt. Een DPIA bestaat uit een heel proces dat meerdere afdelingen binnen je organisatie raakt. Denk aan:
- Privacycollega’s of je DPO: Zij geven advies en bewaken de naleving van de wet.
- Afdelingen zoals IT, HR of Marketing
De stappen in een DPIA:
- Beschrijven van de verwerking: Welke gegevens worden verwerkt en waarom?
- Beoordeling van de noodzaak en proportionaliteit: kan het doeleinde op een minder privacy-invasieve manier worden bereikt? Zijn alle persoonsgegevens echt noodzakelijk?
- Analyseer de risico’s voor de rechten van individuen: Wat kan er misgaan, en wie loopt welk risico?
- Neem maatregelen: Hoe behandel je deze je deze risico’s?
- Documenteer je bevindingen: Zorg dat alles duidelijk en transparant is vastgelegd.
- Volg goed op: een DPIA is geen statisch document, verwerkingen en situaties zijn onderhevig aan veranderingen en het is dus belangrijk periodiek eens te beoordelen of de informatie in je DPIA nog actueel is.
Samenvattend
Een DPIA is een krachtige tool om risico’s bij het verwerken van persoonsgegevens te beperken. Hoewel het niet altijd verplicht is, is het een onmisbaar hulpmiddel om privacyregels na te leven.
Onthoud:
- Raadpleeg altijd de lijsten van je autoriteit of de adviezen van je DPO als je twijfelt of een DPIA verplicht is
- Vergeet niet dat er ook nog andere situaties kunnen zijn die de wet omschrijft, waarbij een DPIA sterk aangewezen of nuttig kan zijn.
Door op tijd een DPIA uit te voeren, bescherm je niet alleen je organisatie, maar ook de privacy van alle betrokkenen. Succes!