Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Factsheets / Data Protection Impact Assessment (DPIA)

Gaat u een nieuw ICT-systeem opzetten, of een nieuwe manier van werken met persoonsgegevens, zoals klantgegevens invoeren? Dan bent u in sommige gevallen verplicht een DPIA uit te voeren. Dat bepaalt de Algemene Verordening Gegevensbescherming (AVG, of: GDPR). Wat houdt een DPIA nu precies in?

> DOWNLOAD FACTSHEET ‘DATA PROTECTION IMPACT ASSESSMENT (DPIA)’

> MEER LEZEN OVER ONZE DIENST ‘DATA PROTECTION IMPACT ASSESSMENT (DPIA)’

> VOLG EEN PRIVACYTRAINING VIA ICTRECHT ACADEMY

Wat is een DPIA?

Een DPIA is een voorafgaand onderzoek naar de privacy-effecten van een project zoals een nieuw ICT-systeem voor klantinformatie of een nieuwe manier van analyseren of profileren van mensen. Het doel is om risico’s ten aanzien van privacyrechten van personen in een vroeg stadium in kaart te brengen, en maatregelen te bedenken waarmee deze kunnen worden geminimaliseerd.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht wanneer het project hoge risico’s ten
aanzien van privacyrechten oplevert. Voorbeelden daarvan zijn wanneer u automatisch besluiten laat nemen over personen (zoals het weigeren van klanten of het detecteren van fraude), wanneer u op grote schaal bijzondere gegevens zoals over gezondheid of etnische afkomst gaat gebruiken
of wanneer u de openbare ruimte gaat monitoren, bijvoorbeeld met cameratoezicht. Ook het op grote schaal combineren van bestanden (zoals bij big data-analyses) en het grootschalig en/of systematisch monitoren van uw werknemers vereist een DPIA.

Door het Europees Comité voor gegevensbescherming zijn een aantal criteria opgesteld waarmee u gemakkelijk kunt beslissen of u een DPIA moet uitvoeren. De begrippen ‘grootschalig’, ‘systematisch’ en ‘stelselmatig’ staan daarbij centraal. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft daarnaast een lijst van 16 situaties gepubliceerd, waarin een DPIA in ieder geval verplicht is. Ga ervan uit dat u aan de bak moet als u aan twee of meer van de volgende criteria voldoet:

1 | U evalueert of beoordeelt personen op basis van persoonsgegevens zoals locatie, gedrag of economische situatie.

2 | U neemt geautomatiseerde besluiten op basis van persoonsgegevens met juridische of soortgelijke belangrijke gevolgen voor betrokkenen.

3 | Er is sprake van stelselmatige monitoring, zoals door cameratoezicht of het gebruik van (tracking) cookies die de betrokken personen blijven volgen tijdens het websurfen.

4 | Er is sprake van verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens of informatie over ras of godsdienst.

5 | Er is sprake van verwerking op grote schaal: kijk hiervoor naar het aantal betrokkenen, het volume en het bereik van de gegevens, de duur van de verwerking en de geografische omvang van de verwerking.

6 | Er is sprake van matching: het samenvoegen van gegevens uit verschillende bestanden, die voor verschillende doeleinden zijn verzameld.

7 | Het gaat om gegevens van kwetsbare groepen personen, zoals gehandicapten of patiënten.

8 | U wilt een nieuwe technologie ontwikkelen om persoonsgegevens te verwerken.

9 | Er is sprake van verwerking waarna personen bepaalde rechten niet meer kunnen uitoefenen of geen gebruik meer kunnen maken van een dienst, bijvoorbeeld weigering van leningen na kredietwaardigheidsonderzoeken.

Een DPIA moet vóór de aanvang van het nieuwe project worden uitgevoerd. Dat u de DPIA waarschijnlijk gaandeweg nog zult moeten aanpassen, ziet de Autoriteit Persoonsgegevens niet als excuus om de uitvoering ervan uit te stellen.

Wanneer is een DPIA niet verplicht?

Een DPIA is niet verplicht wanneer er al eerder een DPIA is uitgevoerd voor een verwerking die vergelijkbaar is met de beoogde nieuwe verwerking. Let op: als de betreffende verwerking bijvoorbeeld aanzienlijk meer gegevens zal verwerken of gebruik maakt van een innovatievere technologie, gaat een vergelijking tussen die verwerkingen hoogstwaarschijnlijk niet op.

Ook is een DPIA niet verplicht als de verwerking een wettelijke basis heeft, en er in het kader van deze basis al een DPIA is uitgevoerd. Dat geldt bijvoorbeeld voor sommige overheidsinstellingen.

Hoe en door wie wordt een DPIA uitgevoerd?

Een DPIA wordt uitgevoerd door de verantwoordelijke (degene die bepaalt dat er gegevens verwerkt worden, met welk doel en met welke middelen). Deze dient advies in te winnen bij de Functionaris Gegevensbescherming (als die is aangesteld). Als de verantwoordelijke delen van een project uitbesteedt, moeten alle betrokken partijen (zogeheten verwerkers) hun medewerking aan de DPIA verlenen.

Gesprekken met medewerkers kunnen een belangrijk onderdeel zijn van DPIA’s. Allereerst wordt bekeken welke persoonsgegevens er verwerkt gaan worden en waarom. Zijn alle gegevens die worden gebruikt ook noodzakelijk? Wie heeft er toegang? Waar worden gegevens opgeslagen en zijn ze op de juiste wijze beveiligd?

Worden er gegevens aan derden doorgegeven, en hoe is er dan voor gezorgd dat zij er zorgvuldig mee omgaan? Soms is het ook nodig de betrokkenen (degenen van wie de gegevens verwerkt worden) te raadplegen.

Wat gebeurt er na een DPIA?

Naar aanleiding van een DPIA moeten vaak maatregelen worden genomen om een project ‘privacyvriendelijker’ te maken, bijvoorbeeld door minder gegevens op te vragen of deze beter te beveiligen. Risico’s kunnen na verloop van tijd veranderen. DPIA’s zijn daarom een doorlopend proces.

Een bedrijf kan bijvoorbeeld op een andere wijze persoonsgegevens gaan verwerken, of het kan voorkomen dat er technisch meer mogelijk wordt. Wanneer een bedrijf bijvoorbeeld profielen van klanten gaat koppelen aan een andere verzameling van gegevens, ontstaat een completer beeld van deze personen. Dit kan leiden tot nieuwe risico’s, doordat het gemakkelijker wordt een onderscheid te maken tussen personen.

Het kan dan nodig zijn opnieuw een DPIA uit te voeren. Ziet u geen mogelijkheden om risico’s te beperken naar aanleiding van een DPIA, dan bent u verplicht de Autoriteit Persoonsgegevens in te schakelen voor een bindend advies (‘voorafgaande raadpleging’). U mag het project dan niet verder uitvoeren totdat dit advies is verkregen.

>> Wilt u meer weten over een DPIA of heeft u advies nodig bij een ander privacyvraagstuk?

Neem dan contact op met de privacy juristen van ICTRecht: Lisette Chew-Meij (l.meij@ictrecht.nl), Peter Kager (p.kager@ictrecht.nl) of Mathieu Paapst (m.paapst@ictrecht.nl) of bel: 020 663 1941.

Andere factsheets

  • Het registreren van datalekken

    Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht dit te melden, als het een relatief groot datalek was. Maar vanaf 25 mei 2018 moet u intern documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.

  • Het recht voor startups

    Voor startups gelden uiteraard geen andere regels dan voor anderen maar de benadering kan wel anders zijn. Zo is een onderneming in het begin nog flexibel in het onderbrengen van bedrijfsonderdelen. Speciaal voor jou als beginnende ondernemer hebben wij deze factsheet samengesteld. We bespreken niet alleen juridische regeltjes maar geven ook praktische tips.