Is een Data Protection Impact Assessment voor u verplicht?

25 augustus 2021
Artikel

De luchthaven van Bologna kreeg een boete van € 40.000 van de Italiaanse gegevensbeschermingsautoriteit. Reden: zij hadden geen passende technische en organisatorische maatregelen genomen voor een klokkenluidersapplicatie. De luchthaven had opgeslagen en verzonden meldingen binnen dat systeem niet versleuteld en had ook geen Data Protection Impact Assessment uitgevoerd. Maar wat is een DPIA? Waarom is deze van belang en wanneer bent u verplicht deze toe te passen?

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
Documenten van Data Protection Impact Assessment

Wat is een Data Protection Impact Assessment?

Een Data Protection Impact Assessment (DPIA), ook wel gegevensbeschermingseffectbeoordeling genoemd, is een instrument om voorafgaand aan de verwerking van persoonsgegevens de eventuele privacyrisico’s van gegevensverwerking in kaart te brengen. Op basis van de uitkomsten van de DPIA kunnen organisaties vervolgens passende maatregelen nemen om de privacyrisico’s van de verwerking zoveel mogelijk te verkleinen. Een DPIA is ook een belangrijk instrument om te kunnen aantonen dat de organisatie voldoet aan de verplichtingen van de Algemene verordening gegevensbescherming (AVG). Het is hierbij van groot belang dat u de DPIA correct uitvoert en de gevolgde methodiek en de uitkomsten voldoende vastlegt en documenteert.

Wanneer is een DPIA verplicht?

U bent verplicht een DPIA uit te voeren als de beoogde verwerking van persoonsgegevens hoogstwaarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen van wie u gegevens verwerkt. Als organisatie of verwerkingsverantwoordelijke moet u zelf een dergelijke afweging maken. Als blijkt dat er een potentieel hoog privacyrisico aan de beoogde verwerking kleeft, dan moet u voor aanvang van de verwerking een DPIA uitvoeren. Ook stelt de AVG dat een DPIA verplicht is als een organisatie:

  • Systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen.
  • Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Daarnaast heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld van diverse verwerkingen van persoonsgegevens, waarvoor een DPIA verplicht is. Het gaat hierbij om een niet-limitatieve lijst van verwerkingen. Het kan dus voorkomen dat een beoogde verwerking niet in de lijst staat. In voorkomend geval moet u zelf de beoordeling en vaststelling maken of de verwerking mogelijk een hoog privacyrisico oplevert voor betrokkenen.

Negen criteria DPIA

Voor wat betreft het maken van deze beoordeling kunt u gebruikmaken van de negen criteria die de Europese privacytoezichthouders hebben opgesteld. In de regel geldt dat wanneer de beoogde verwerking aan twee of meer van deze criteria voldoet, een DPIA verplicht is. Let op: een DPIA is niet verplicht als de beoogde verwerking van persoonsgegevens:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere gegevensverwerking, waarvoor al een DPIA is uitgevoerd.
  • Wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is.
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen gebruik gemaakt van de mogelijkheid een dergelijke lijst op te stellen.

Uitvoering DPIA

De uitvoering van de DPIA is vormvrij. Wel moet u conform de AVG voldoen aan een aantal basisvereisten.

  • U moet beschrijven hoe u persoonsgegevens gaat verwerken en waarom u voor deze manier van verwerking kiest.
  • U moet beschrijven waarom de verwerking noodzakelijk en proportioneel is. Voorgaande met dien verstande dat u hierbij tevens de potentiële privacyrisico’s voor betrokkenen beschrijft.
  • U moet beoordelen of de potentiële privacyrisico’s niet onredelijk groot zijn ten opzichte van het met de verwerking te bereiken doel.
  • U moet benoemen welke maatregelen u neemt om de privacyrisico’s zoveel mogelijk te beperken.

Periodiek herhalen

Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet te allen tijde blijven monitoren of de gegevensverwerking verandert. Bijvoorbeeld wanneer u besluit nieuwe technologie te gebruiken. Of als u de persoonsgegevens voor een ander doel wilt gebruiken. Zorg er daarom voor dat u de DPIA verankert in uw interne privacybeleid.

Boete als u niet voldoet aan de verplichting DPIA

Als u niet aan de eisen van de DPIA-verplichting voldoet, kan dat tot een boete leiden van maximaal
€ 10 miljoen of maximaal 2% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag geldt. In de boetebeleidsregels van de AP is de basisboete voor het niet uitvoeren van een DPIA gesteld op een bedrag van € 310.000.

Meer weten?

De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht, en kunnen u bijstaan bij het opmaken van privacybeleid. Met behulp van onze juristen kunt u checken of uw organisatie voldoet aan de voorwaarden en bepalingen van de AVG. Neem voor meer informatie of advies over privacywetgeving contact op met Niels Ista, jurist ondernemingsrecht en ICT- recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail.

Wilt u meer weten over DPIA? Onze jurist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180