Zoals u wellicht op onze website reeds gezien heeft, biedt Cuccibu een ‘DPIA-workshop aan’. Het doel van deze workshop is om organisaties de tools te geven die nodig zijn om een zogenoemde Data Protection Impact Assessment (DPIA), – in Nederland ook wel bekend als gegevensbeschermingseffectbeoordeling (GEB) – uit te voeren, op grond van de Algemene Verordening Gegevensbescherming (AVG). De eerste resultaten van deze workshop zijn zeer positief, de deelnemers geven aan veel aan de workshop te hebben. Naast het volgen van de workshop is het uiteraard ook mogelijk om de uitvoering van een DPIA volledig aan Cuccibu uit te besteden. Voordat u een DPIA gaat uitvoeren, zult u eerst moeten beslissen of een DPIA wel of niet verplicht of noodzakelijk is. In dit blog gaan wij in op de vragen: wat is een DPIA, wanneer voer je nu eigenlijk een DPIA uit en welke andere tools zijn er om risico’s bij verwerking van persoonsgegevens in kaart te brengen wanneer een DPIA niet verplicht of noodzakelijk is?

Een DPIA? Wat is dat nou weer?

Met inwerkingtreding van de AVG is ook de Data Protection Impact Assessment geïntroduceerd (artikel 35). Kort gezegd is een DPIA een tool waarmee een risicoanalyse op een (beoogde) verwerking van persoonsgegevens wordt uitgevoerd. Het doel is om de (beoogde) gegevensverwerking systematisch in kaart te brengen, privacyrisico’s hierbij te detecteren en de noodzakelijke maatregelen te nemen om deze risico’s te beperken en aan te tonen dat aan de AVG wordt voldaan. Het uitvoeren van een DPIA biedt dus enorm veel inzicht en mogelijkheden om AVG-compliant te werken.

De verwerkingsverantwoordelijke dient ervoor te zorgen dat de DPIA uitgevoerd wordt, dit mag intern of extern belegd worden. Wanneer de verwerking van persoonsgegevens wordt uitbesteed aan verwerkers, dan dienen deze de verwerkingsverantwoordelijke te ondersteunen. Als een organisatie een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, dan moet de verwerkingsverantwoordelijke diens advies inwinnen. Blijkt dat er hoge privacyrisico’s zijn waarvoor er geen maatregelen te vinden zijn, dan dient ook de Autoriteit Persoonsgegevens (AP) voorafgaand aan de gegevensverwerking te worden geraadpleegd.

Wanneer is een DPIA noodzakelijk?

De AP heeft enkele schema’s gepubliceerd, welke moeten helpen bij beantwoording van de vraag of een Data Protection Impact Assessment nodig is of niet. Kort gezegd zijn er twee scenario’s te onderscheiden: verwerkingen die al plaatsvonden voor inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) en verwerkingen die van start zijn gegaan op of na 25 mei 2018.

Verwerkingen van voor inwerkingtreding AVG

Om te kunnen beoordelen of een DPIA op verwerkingen welke al plaatsvonden voor 25 mei 2018 nodig is of niet, heb je ook de voorganger van de AVG nodig: de Wet bescherming persoonsgegevens (Wbp). De AP geeft namelijk aan dat er geen Data Protection Impact Assessment uitgevoerd hoeft te worden, als het een verwerking betreft waarvoor de AP onder de Wbp geen voorafgaand onderzoek hoefde te doen en de verwerkingen en de risico’s hierbij niet zijn veranderd.

In artikel 31 van de oude Wbp worden de situaties uiteengezet waarbij er een voorafgaand onderzoek uitgevoerd moest worden, wegens specifieke risico’s van de gegevensverwerkingen voor betrokkenen:

  • Verwerking van een nummer dat gebruikt wordt ter identificatie van personen (bijvoorbeeld het BSN) voor een ander doel dan waarvoor dit nummer eigenlijk bedoeld is, met het oogmerk om deze in verband te kunnen brengen met gegevens die worden verwerkt door een andere verwerkingsverantwoordelijke (bijvoorbeeld om gegevens samen te brengen van allerlei partijen in de zorgsector). Voorafgaand onderzoek is niet nodig wanneer er een wettelijke bevoegdheid voor een dergelijke uitwisseling van gegevens bestaat;
  • Vastlegging van persoonsgegevens op basis van eigen onderzoek waarbij gericht informatie wordt verzameld, zonder de betrokkene daarvan op de hoogte te stellen (bijvoorbeeld heimelijke waarneming in het kader van fraudeonderzoek bij uitkeringen), behoudens bij openbare registers die bij de wet zijn ingesteld;
  • Op verzoek van andere partijen strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag verwerken, behalve wanneer hiervoor een wettelijke bevoegdheid bestaat of er een verklaring omtrent rechtmatigheid van gegevensverwerking is afgegeven.

Let op: Vaak wordt gedacht dat voor alle bestaande verwerkingen van voor 25 mei 2018, waarop een DPIA uitgevoerd zou moeten worden als de verwerking na 25 mei 2018 was gestart, alsnog een DPIA uitgevoerd moet worden. Wettelijk gezien hoeft dit dus enkel als er een verandering plaatsvindt aan de verwerking, welke invloed heeft op de risico’s. Het is natuurlijk wel verplicht is om een DPIA uit te voeren wanneer er op basis van de Wbp voor 25 mei 2018 reeds een voorafgaande raadpleging plaats had moeten vinden, maar deze nooit is gedaan.

Verwerkingen van na inwerkingtreding AVG

Voor verwerkingen gestart na 25 mei 2018 wordt in artikel 35 van de AVG aangegeven wanneer er – verplicht – een Data Protection Impact Assessment uitgevoerd dient te worden. Dit is het geval wanneer een verwerking van persoonsgegevens, gelet op de aard, omvang, context en doeleinden, waarschijnlijk een hoog risico inhoudt voor inbreuk op de rechten en vrijheden van betrokkenen.

In Nederland kan een DPIA verplicht zijn op basis van de lijst zoals opgesteld door de AP of doordat een verwerking voldoet aan 2 of meer criteria zoals opgesteld door de Europese toezichthouders.

In artikel 35 lid 3 staan daarnaast een aantal situaties opgenomen waarvoor altijd een DPIA uitgevoerd zal moeten worden:

  • Geautomatiseerde besluitvorming (bijvoorbeeld beoordeling van een aanvraag voor een voorziening, waarbij deze beoordeling uitgevoerd wordt door een geautomatiseerd systeem zonder tussenkomst van een persoon);
  • Verwerking van bijzondere of strafrechtelijke persoonsgegevens op grote schaal;
  • Stelselmatig en op grootschalige wijze volgen van mensen in de openbare ruimte (bijv. cameratoezicht).

Let op: wanneer er al een DPIA is uitgevoerd op een gegevensverwerking die sterk lijkt op de gegevensverwerking die geëvalueerd wordt, dan hoeft er geen nieuwe DPIA uitgevoerd te worden. Dit geldt ook wanneer bij de totstandkoming van een wet al een DPIA is uitgevoerd op hetzelfde type gegevensverwerking en deze niet op de lijst met verplichte DPIA’s van de AP voorkomt, tenzij de AP oordeelt dat dit alsnog nodig is.

DPIA niet verplicht? Leun niet achterover!

Dat een Data Protection Impact Assessment niet wettelijk verplicht is, betekent niet dat er helemaal niet meer naar de risico’s van de betreffende gegevensverwerkingen gekeken hoeft te worden.. Zeker wanneer het verwerkingen van gevoelige/bijzondere persoonsgegevens, of persoonsgegevens van kwetsbare personen betreft, is het zaak om de risico’s hiervan in kaart te brengen en de nodige mitigerende maatregelen te nemen om deze risico’s te beperken.

Welke middelen kan je hiervoor gebruiken?
  • Een mogelijkheid is het alsnog uitvoeren van een volledige DPIA ook als deze niet verplicht is. Dit moet zelfs worden toegejuicht, omdat een DPIA bij uitstek het middel is om gegevensverwerkingen op diepgaande wijze te analyseren en om dus alle risico’s volledig en juist in kaart te brengen.
  • Wanneer een DPIA als een te vergaand middel wordt ervaren maar het toch gewenst is om naar risico’s binnen bepaalde werkprocessen te kijken, is het ook mogelijk om een AVG-nulmeting uit te voeren (ook wel bekend als een Privacy Impact Assessment of PIA). Hierbij wordt globaal beoordeeld in hoeverre een organisatie (onderdeel) aan de basisvereisten van de AVG voldoet.
  • Bij organisaties met een FG kan deze in het kader van de toezichthoudende taken meekijken bij verschillende werkprocessen en de daarbij behorende verwerkingen van persoonsgegevens. De FG zal hierbij mogelijke risico’s signaleren. Vervolgens kan de FG een onafhankelijk advies uitbrengen over welke aanpassingen eventueel nodig zijn om de gesignaleerde risico’s te beperken. Zie één van onze eerdere blogs voor meer informatie over wat de rol van de FG precies inhoudt (Privacy: wie doet wat?).
  • Wanneer een organisatie een Privacy Officer of andere privacy functie heeft, kan deze natuurlijk ook inhoudelijk meekijken en advies uitbrengen met betrekking tot voorgenomen nieuwe processen of het voorgenomen gebruik van nieuwe applicaties.

Hulp of advies nodig?

Wilt u verdere informatie ontvangen over het uitvoeren van een Data Protection Impact Assessment, de DPIA-workshop van Cuccibu, of over andere mogelijkheden om de privacyrisico’s in uw organisatie in kaart te brengen? Onze privacy consultants helpen u hier graag bij. U kunt contact opnemen met ons via info@cuccibu.nl of +31 (0) 85 303 2984.