Een DPIA (Data Protection Impact
Assessment) of PIA (Privacy Impact Assessment), hierna DPIA, is verplicht onder de AVG
voor verwerkingen die waarschijnlijk een verhoogd privacyrisico met zich meebrengen voor
de betrokkenen (meer info). Dit roept de vraag op wanneer er sprake is van een
‘verhoogd’ risico en hoe de term ‘waarschijnlijk’ te interpreteren.
De toezichthouder heeft ons enige
houvast gegeven door het opstellen van een lijst van gegevensverwerkingen die altijd
een DPIA behoeven:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische
persoonsgegevens
- Gezondheidsgegevens (zorgprofessionals
uitgezonderd)
- Samenwerkingsverbanden
- Cameratoezicht
- Flexibel cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things
- Profilering
- Observatie en beïnvloeding
van gedrag
Ter aanvulling op bovenstaande
lijst verdient het vermelding dat de verwerkingen grootschalig, systematisch
en/of stelselmatig moeten zijn. Over de interpretatie van deze open
normen bestaat nog veel onduidelijkheid. Vanuit Europa en de
toezichthouders zal hier in de nabije toekomst meer duidelijkheid over verschaft moeten worden. Dit
wordt uiteraard vervolgd.
Vorenstaande lijst is niet uitputtend
bedoeld en onderhevig aan verandering. Zo heeft de EDPB (European Data
Protection Board) recentelijk, op 26 september 2018, een voorstel aangenomen (zie link), waardoor de lijst uitgebreid zal worden. Zodra hierover meer bekend is berichten wij u uiteraard nader.
Hoe lang en uitgebreid de lijst
ook wordt, uitputtend zal deze naar alle waarschijnlijkheid nooit
worden. Het is dan ook de taak en verantwoordelijkheid van de verwerker van persoonsgegevens
om zelf te beoordelen of er een DPIA uitgevoerd dient te worden. Dit kan soms
moeilijk zijn om in te schatten en binnen een organisatie tot onrust en kopzorgen leiden.
Om de verwerker tegemoet te komen hebben de Europese toezichthouders 9 criteria omschreven, aan de hand waarvan
vastgesteld moet worden of voor een verwerking een DPIA uitgevoerd dient te
worden:
- Beoordelen van mensen op
basis van persoonskenmerken
- Geautomatiseerde
beslissingen (profilering)
- Stelselmatige en
grootschalige monitoring
- Gevoelige gegevens
- Grootschalige verwerkingen
- Gekoppelde databases
- Gegevens van kwetsbare
personen
- Gebruik van nieuwe
technologieën
- Blokkering van een recht,
dienst of contract
Mocht uw (beoogde) verwerking
binnen twee of meer van bovenstaande criteria te vatten zijn dan is een DPIA
verplicht en moet mogelijk de Autoriteit Persoonsgegevens voorafgaand
geraadpleegd worden.
Kiest u ervoor geen DPIA uit te
voeren? Let er dan wel op dat u, op basis van uw verantwoordingsplicht, moet
kunnen onderbouwen waarom u deze keuze heeft gemaakt.
Vanwege de veranderlijkheid van de
privacywetgeving en omstandigheden van de betreffende verwerking is het
raadzaam om periodiek een DPIA uit te
voeren. Ook als de gegevensverwerking zelf onveranderd is.
Wilt u meer weten over de (D)PIA,
het uitvoeren hiervan of hulp bij uw privacyvraagstukken? Neem dan gerust
contact met ons op. Wij helpen u graag verder!
Maurits & Hömann | Legal
Professionals
