In dit artikel omschrijf ik wanneer organisaties verplicht zijn een DPIA uit te voeren. Zo omschrijf ik hoe kan worden bepaald of sprake is van een hoog risico en bespreek ik de verplichte DPIA lijsten van de Autoriteit Persoonsgegevens en de EDPS. Daarnaast noem ik enkele praktijkvoorbeelden waarin een DPIA nodig is.

Wat is een DPIA

Een Data Protection Impact Assessment (DPIA) is een instrument waarmee de verwerkingsverantwoordelijke op voorhand een beeld krijgt van de risico’s van die bij een verwerking kunnen ontstaan. De verwerkingsverantwoordelijke maakt in feite een afweging tussen de risico’s en de baten van een bepaalde verwerking en bekijkt welke maatregelen genomen kunnen worden om de risico’s te beperken. Lees ook dit artikel over wat een DPIA is.

Wanneer moet ik een DPIA uitvoeren?

Organisaties mogen altijd een DPIA uitvoeren. Dat kan een goed middel zijn om aantoonbaar te kunnen voldoen aan de AVG (“verantwoordingsplicht”). Een DPIA is echter alleen verplicht als het waarschijnlijk is dat een verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De verwerkingsverantwoordelijke dient dus bij iedere verwerking een schriftelijke analyse te maken of een DPIA verplicht is. De AVG bepaalt dat bij die analyse, onder meer, rekening moet worden gehouden met: de aard, omvang, context en doeleinden van de verwerking.

Een DPIA is in beginsel verplicht als een verwerking waarschijnlijk een hoog risico met zich meebrengt tenzij:

• Er al eerder een DPIA is uitgevoerd voor een vergelijkbare verwerking.
• Als de verwerking is gebaseerd op een wettelijke bepaling en er al een DPIA is uitgevoerd bij de totstandkoming van die wettelijke bepaling.

Bij twijfel of een DPIA verplicht is, is het vaak verstandig voor de zekerheid een DPIA uit te voeren. Dan weet de verwerkingsverantwoordelijke namelijk zeker dat hij voldoet aan de AVG. Non-compliance kan namelijk leiden tot een AVG boete.

De verplichte DPIA lijst van de EDPS

De European Data Protection Supervisor (EDPS), de Europese toezichthouder, heeft een lijst gepubliceerd waarmee kan worden vastgesteld of een DPIA nodig is. Als sprake is van in ieder geval één criterium op de lijst, dan moet de verwerkingsverantwoordelijke motiveren waarom een DPIA niet nodig is. Als twee of méér criteria op de lijst van toepassing zijn, dan zal een DPIA in het algemeen nodig zijn. De lijst omvat de volgende criteria:

1. Systematische en uitgebreide evaluatie van persoonlijke aspecten of scoring, waaronder profiling en voorspellen: Hieronder vallen bijvoorbeeld kredietchecks of het automatisch controleren van banktransacties op mogelijke fraude. De begrippen systematisch Und uitgebreid zijn belangrijke elementen. Bijvoorbeeld een standaard beoordelingsformulier valt doorgaans niet onder dit criterium, maar wanneer een werkgever het gedrag van werknemers monitort met automatisch software weer wel.
2. Automatische besluitvorming met een juridisch of vergelijkbaar aanmerkelijk effect: Dit criterium ziet op automatische besluitvorming in de zin van artikel 22 AVG. Voorbeeld is het automatische beoordelingssysteem van Uber chauffeurs. Hieronder valt niet een lijst met aanbevolen artikelen in een webshop.
3. Systematisch monitoren, vooral in publieke ruimtes: Hieronder valt camerabewaking (CCTV), maar ook andere vormen van monitoring zoals WiFi-tracking, of het bijhouden van gebruikersgegevens van IT-systemen, en het bijhouden van locatiedata.
4. Gevoelige persoonsgegevens of persoonsgegevens die zeer persoonlijk zijn: Bijvoorbeeld gegevens over: ras, politieke voorkeuren, seksualiteit, religie, strafrechtelijke gegevens, levensovertuiging. Foto’s zijn doorgaans geen gevoelige gegevens, tenzij ze gebruikt worden in combinatie met gezichtsherkenning, of om andere gevoelige gegevens te verkrijgen (bijvoorbeeld als met software in een database specifiek gezocht wordt op personen van een bepaald ras).
5. Grootschalige verwerking: Dit kan gebaseerd zijn op het aantal betrokkenen, de hoeveelheid data per betrokkene, tijdsduur, of geografische spreiding.
6. Het combineren van datasets met een verschillend doel: Bijvoorbeeld locatiedata van vertegenwoordigers cross checken met een lijst van de bezochte klanten.
7. Persoonsgegevens met betrekking tot kwetsbare personen: bijvoorbeeld kinderen, asielzoekers, maar vaak ook werknemers omdat er een gezagsverhouding bestaat.
8. Innovatief gebruik van nieuwe technieken: bijvoorbeeld machine learning, internet of things
9. Weerhouden van betrokkenen om gebruik te maken van een recht, dienst of contract: bijvoorbeeld een creditcheck.

De DPIA lijst van de Autoriteit Persoonsgegevens

De Nederlandse Autoriteit Persoonsgegevens heeft ook een lijst uitgebracht van situaties waarin een DPIA verplicht is:

1. Heimelijk onderzoek: Grootschalige verwerking van persoonsgegevens voor onderzoek zonder dat de betrokkene daarvan op de hoogte is, bijvoorbeeld door particuliere recherchebureaus. Hieronder valt ook heimelijk cameratoezicht in het kader van diefstal of fraudebestrijding van werknemers.
2. Zwarte lijsten: Lijsten van personen die (verdacht worden van) strafrechtelijke veroordelingen, strafbare feiten, hinderlijk gedrag of slecht betalingsgedrag.
3. Fraudebestrijding: Grootschalige verwerking van bijzondere persoonsgegevens en-/of stelselmatige monitoring in het kader van fraudebestrijding
4. Creditscores: Grootschalige verwerkingen of stelselmatige monitoring om een inschatting te maken van de kredietwaardigheid van een persoon.
5. Financiële situatie: Grootschalige verwerking en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden.
6. Genetische persoonsgegevens: Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens, bijvoorbeeld DNA analyses of biodatabanken.
7. Gezondheidsgegevens: Grootschalige verwerkingen van gezondheidsgegevens, waaronder ook de uitwisseling van deze gegevens. Let wel, individuele artsen hoeven dat niet volgens overweging 91 AVG
8. Samenwerkingsverbanden: Het delen van persoonsgegevens door samenwerkingsverbanden tussen overheden met andere publieke of private partijen. Vooral als sprake is van bijzondere of gevoelige persoonsgegevens.
9. Cameratoezicht: Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s webcams of drones.
10. Flexibel cameratoezicht: Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht, zoals camera’s op kleding en dashcams.
11. Controle van werknemers: Grootschalige verwerking van persoonsgegevens en/of stelselmatig monitoren van activiteiten van werknemers. Bijvoorbeeld controle van computergebruik, GPS-systemen of cameratoezicht voor fraudebestrijding
12. Locatiegegevens: Grootschalige verwerking van locatiegegevens die herleidbaar zijn naar natuurlijke personen, bijvoorbeeld door scanauto’s, navigatiegegevens, Wifitracking
13. Communicatiegegevens: De grootschalige verwerking van communicatiegegevens, waaronder metadata. Dit is niet van toepassing als de verwerking nodig is in het kader van netwerkbeveiliging
14. Internet of Things: Grootschalige verwerking van gegevens die worden gegenereerd door apparaten die verbonden zijn met internet, zoals slimme koelkasten, meters, televieis.
15. Profilering: Systematische en uitgebreide beoordeling van de persoonlijke aspecten van natuurlijke personen op basis van automatische verwerking. Bijvoorbeeld de prestaties van leerlingen, gezondheid, persoonlijke voorkeuren.
16. Observatie en beïnvloeding van gedrag: De grootschalige observatie van personen met als doel hen te beïnvloeden. Bijvoorbeeld in de vorm van online behaviourial advertising.
17. Biometrische gegevens: Op grote schaal verwerken van biometrische gegevens om een natuurlijk persoon te identificeren.

Praktijksituaties waarin een DPIA verplicht is

Enkele praktijkvoorbeelden, waarin een DPIA (waarschijnlijk) wel of niet verplicht is:

• (Wel) een bezorgservice die het gedrag van haar bezorgers zorgvuldig monitort en volgt (geolocatie met algoritmes en op basis daarvan nieuwe opdrachten toewijst. (criteria: 1,2,3,5,8)
• (soms) Videobewaking: Voor videobewaking in beperkte vorm hoeft geen DPIA opgesteld, bijvoorbeeld alleen toegangswegen en niet in de openbare ruimte. Systematische inzet in de openbare ruimte vereist meestal wel een DPIA, vooral als nieuwe technieken worden gebruikt zoals gezichtsherkenning. Videobewaking op de werkvloer vereist meestal wel een DPIA, bijvoorbeeld als het systematisch gebeurt of bij verborgen camera’s.
• (Wel) vingerafdrukscanners als toegangscontrole: In dit geval in een fitnessclub, waarbij zowel de vingerafdrukken van zowel de medewerkers als klanten gebruikt worden .
• (Wel) gebruik van Strava voor een gymles op school: Een Noorse school is beboet omdat zij studenten vroeg om Strave te downloaden en vervolgens allerlei oefeningen uit te voeren.
• (wel) Grootschalig fraudeonderzoek met publieke bronnen: De Italiaanse overheid voerde een onderzoek uit naar misbruik van subsidies en combineerde openbare databases met subsidieaanvragen.
• (Wel) Corona quarantaineapp: Vanwege het gebruik van medische gegevens en de hoeveelheid personen.
• (Wel) E-health innovaties: Vanwege het gebruik van medische gegevens, innovatieve technieken en hoeveelheid personen.
• (Wel) monitoringsoftware voor online examens: Vanwege een datatransfer,  gebruik van nieuwe technieken en een gezagsverhouding.
• (Wel) locatiemonitoring bij medewerkers: Omdat sprake is van een gezagsverhouding en systematische monitoring.
• (Wel) gebruik Google workspaces in het onderwijs: Omdat Google metadata verzamelt en persoonsgegevens exporteert en vanwege de gezagsverhouding. Dergelijke afwegingen kunnen ook spelen in werksituaties, vooral bij grote organisaties.
• (Niet) het verwerken van medische gegevens door een enkele arts: hier is wél sprake van medische gegevens, maar deze worden niet op grote schaal verwerkt.

Stephan Mulders is privacy recht advocaat te Amsterdam. Neem gerust contact op met Stephan als u vragen heeft over de DPIA [email protected].