Een DPIA, of te wel een Data Privacy Impact Assessment, is bedoeld om op voorhand in kaart te brengen of een bepaalde verwerking van persoonsgegevens risico’s met zich meebrengt én om die risico’s te beperken. Het is een belangrijk instrument om persoonsgegevens op een veilige manier te verwerken. Een DPIA is verplicht wanneer een voort verwerking waarschijnlijk een hoog risico inhoudt voor de betrokkenen. Dat is vooral het geval wanneer nieuwe technieken worden toegepast, of als er een grote hoeveelheid persoonsgegevens wordt verwerkt. Maar ook als u cameratoezicht wilt toepassen is een DPIA verplicht. In dit artikel leg ik uit wanneer een DPIA verplicht is en hoe deze uitgevoerd moet worden.
Wat is een DPIA?
De AVG is risico-gebaseerde wetgeving. Dat betekent dat steeds gekeken wordt welk risico een bepaalde verwerking met zich meebrengt. Naar aanleiding daarvan worden redelijke maatregelen genomen om dat risico te beperken. Die maatregelen moeten steeds in verhouding staan tot het risico. Bijvoorbeeld op grond van artikel 32 AVG moet een verwerkingsverantwoordelijke beveiligingsmaatregelen die passen bij het risico.
Met de DPIA analyseert een verwerkingsverantwoordelijke op voorhand welk risico kleven aan een bepaalde verwerking en weegt dat in feite af tegen de voordelen van die verwerking. Op basis van die analyse kan worden vastgesteld of het risico in verhouding staat tot de voordelen én welke maatregelen genomen kunnen worden om het risico te beperken.
De DPIA is vaak een uitvoerig document, waarin een zeer zorgvuldige risicoafweging gemaakt wordt (Bijvoorbeeld deze DPIA voor Google Workspaces omvat 175 pagina’s. In ieder geval moet de DPIA de volgende elementen bevatten.
- Omschrijving van het proces: In deze stap wordt de beoogde verwerking zorgvuldig omschreven. Zo wordt gekeken welke soorten persoonsgegevens verwerkt worden, wie de verwerkersverantwoordelijken zijn, wie de betrokkenen zijn, welke technieken gebruikt worden, voor welk doel, etc. etc.
- Noodzaak en proportionaliteit: Hier gaat de DPIA in op de noodzaak en proportionaliteit van een bepaalde verwerking. Het voordeel van een verwerking moet namelijk altijd in verhouding staan tot de impact die de verwerking heeft of de betrokkenen. Ook wordt in deze stap vaak gekeken naar de juridische basis van de verwerking (Is er een grondslag, etc.)
- Beoordeling van de risico’s: Er wordt gekeken welke risico’s de beoogde verwerking met zich meebrengt.
- Beoogde risicobeperkingsmaatregelen: Als de risico’s in kaart gebracht zijn, dan wordt gekeken welke maatregelen genomen kunnen worden om de risico’s te beperken. Bijvoorbeeld: toegangsbeperking, encryptie, dataminimalisatie, privacy by design etc. Hieronder vallen ook maatregelen die nodig zijn om aan de AVG te voldoen, zoals verwerkingsovereenkomsten.
Als de organisatie een functionaris gegevensbescherming (FG) heeft, dan is het verplicht diens advies te vragen over een DPIA.
De DPIA is een voortdurend proces. Dat wil zeggen dat het verstandig is om in het begin van de ontwerpfase te beginnen met de DPIA en deze steeds bij te werken naarmate het project vordert. Ook nadat de gegevensverwerking is aangevangen moet de DPIA regelmatig geüpdatet worden, zodat steeds een actueel beeld bestaat van de risico’s.
Het is niet verplicht om de DPIA te publiceren. Echter, het is wel verstandig om dat (in ieder geval gedeeltelijk) te doen. Daarmee laat de verwerkingsverantwoordelijke namelijk zien dat zij voldoet aan de AVG en bescherming van persoonsgegevens serieus neemt. Als de DPIA bedrijfsgevoelige informatie bevat, dan kan er ook voor worden gekozen om de DPIA slechts gedeeltelijk te publiceren.
Raadplegen van de Autoriteit Persoonsgegevens
Een DPIA kan als uitkomst hebben dat de verwerking (ondanks de risicobeperkingsmaatregelen) nog steeds een hoog risico met zich meebrengt. In zo’n geval is de verwerkingsverantwoordelijke verplicht de Autoriteit Persoonsgegevens vooraf te raadplegen.
De Autoriteit Persoonsgegevens brengt vervolgens binnen acht weken advies uit en mag ook handhavend optreden, bijvoorbeeld in de vorm van een waarschuwing of een verbod. De termijn van acht weken kan eenmaal worden verlengd met zes weken.
In haar advies maakt de Autoriteit Persoonsgegevens een afweging tussen de noodzaak van de verwerking aan de ene kant. Aan de andere kant kijkt de Autoriteit Persoonsgegevens naar de risico’s die niet afgedekt kunnen worden. In deze benadering komt de risico benadering van de AVG wederom naar voren. Ook risicovolle verwerkingen kunnen onder omstandigheden toegestaan zijn als de verwerkingsverantwoordelijke maar een groot genoeg belang heeft bij die verwerking.
Wanneer is een DPIA verplicht?
De DPIA is verplicht als het waarschijnlijk is dat een verwerking een hoog risico inhoudt voor de rechten van natuurlijke personen. In dit artikel ga ik nader in op de vraag wanneer een DPIA verplicht is.
Stephan Mulders is privacy recht advocaat te Amsterdam. Voor meer vragen over de DPIA kunt u met hem contact opnemen via [email protected].
