Wanneer is een DPIA verplicht

In de AVG wordt vermeld dat in bepaalde situaties een organisatie verplicht is een DPIA (Data Protection Impact Assesment) uit te voeren. In de AVG wordt de term gegevensbeschermingseffectbeoordeling (GEB) gehanteerd. Het doel van een DPIA is het vastleggen van de (rechtmatigheid van) verwerking van persoonsgegevens, de mogelijke risico’s en bijhorende maatregelen. Een DPIA geeft aan of een organisatie persoonsgegevens conform de AVG verwerkt. Maar wanneer is een DPIA verplicht?

Wanneer is een DPIA verplicht volgens AVG

In de AVG staat dat een DPIA verplicht is indien een verwerking “waarschijnlijk een hoog risico inhoudt voor de natuurlijke personen”. Dit betreft de volgende situaties:

  • Bij profilering.
  • Op grote schaal verwerken van bijzondere of strafrechtelijke gegevens.
  • Op grote schaal mensen volgen in publiek toegankelijk gebied (cameratoezicht).

Wat zijn de vuistregels volgens de EU

Als een organisatie aan 2 van de 9 onderstaande criteria verwerkt, dan is een DPIA verplicht:

  • Beoordelen van mensen op basis van persoonskenmerken (profilering).
  • Geautomatiseerde beslissingen welke als resultaat kunnen hebben dat mensen worden uitgesloten of gediscrimineerd.
  • Stelselmatig monitoring (cameratoezicht).
  • Verwerken van gevoelige gegevens.
  • Grootschalige gegevensverwerkingen.
  • Gekoppelde databases met verschillende doelen.
  • Gegevens over kwetsbare personen.
  • Gebruik van nieuwe technologieën.
  • Blokkering van een recht, dienst of contract.

Voorbeelden nieuwe verwerkingen waarbij DPIA verplicht is

De autoriteit persoonsgegevens heeft een lijst opgesteld, waarbij het uitvoeren van verwerkingen verplicht is vóórdat er met verwerken gestart wordt:

  1. Geheim onderzoek door particuliere recherchebureaus en verborgen cameratoezicht door werkgevers op werknemers.
  2. Bijhouden van zwarte lijsten met betrekking tot onwenselijk gedrag en strafbare feiten.
  3. Gegevens t.b.v. fraudebestrijding door bijvoorbeeld verzekeraars of sociale diensten.
  4. Inschatten van kredietwaardigheid van personen en daarbij horende creditscores.
  5. Financiële gegevens waaruit inkomens, vermogens en/of bestedingspatroon zijn op te maken.
  6. Genetische gegevens, zoals DNA-analyses.
  7. Grootschalige verwerking van gegevens over de gezondheid (m.u.v. verwerking door individuele professionals).
  8. Het delen van bijzondere persoonsgegevens of gegevens van gevoelige aard in samenwerkingsverbanden.
  9. Cameratoezicht in openbare ruimtes en flexibele cameratoezicht zoals dash- en bodycams.
  10. Controleren van werknemers door het monitoren van activiteiten, zoals internetgebruik, GPS systemen in auto’s en cameratoezicht.
  11. Verwerken van locatie- en communicatiegegevens voor zover deze herleidbaar zijn naar natuurlijke personen.
  12. Internet of things
  13. Profilering zoals beoordeling beroepsprestaties en prestaties van leerlingen.
  14. Observeren en beïnvloeden van (surf-)gedrag

Wanneer is een DPIA niet verplicht

Voor bestaande verwerkingen is een DPIA niet altijd verplicht. Indien één van onderstaande situaties van toepassing is, is een DPIA niet verplicht:

  • Verwerking levert waarschijnlijk géén hoog risico op.
  • Er is voorafgaand door de AP een onderzoek gedaan en verwerking is niet gewijzigd.
  • Risico’s van de verwerking zijn niet veranderd.

Wat is de toegevoegde waarde van een DPIA

De overheid is al jaren verplicht om bij projecten een DPIA uit te voeren. Een DPIA wijst enerzijds uit of de overheid aan de privacywet voldoet. Daarnaast is het een onderdeel van besluitvorming in voorgenomen regelgeving en ICT projecten.  De overheid laat hier best wat privacy-steken vallen:

  • De Belastingdienst verwerkt onterecht BSN nummers (dat wist de zzp-er al enige tijd).
  • Gemeentes (ook bekend met PIA’s) vragen meer persoonsgegevens op dan nodig (dit tot ergernis van de burgers).
  • Ministeries schenden massaal de privacywet.
  • En laten we het maar niet hebben over de extra kosten en ICT problemen bij de overheid, laat staan van de veiligheid van onze persoonsgegevens in de verouderde systemen.

Op basis van bovenstaande voorbeelden heeft m.i. de DPIA zich nog niet bewezen als toegevoegde waarde voor organisaties en personen op naleving van de privacywetten. Het lijkt veel weg te hebben van een nieuwe papieren privacy-tijger. Het verbaast me dat er tot nu toe relatief weinig aandacht aan is besteed. De AP heeft wel een lijst opgesteld waarbij een DPIA verplicht is. Maar er is nog geen lijst met uitzonderingen. Zo’n lijst met uitzonderingen kan het MKB tijd en geld besparen. De opmerking: “het uitvoeren van een DPIA kan geen kwaad” vind ik een zwakke reden om een DPIA uit te voeren. Op basis van recente nieuwsartikelen ben ik juist op zoek naar de werkelijke “toegevoegde waarde”, het nut voor de ondernemer en voor de personen.

Wat te doen als (mkb-)ondernemer

Terug naar de praktijk. De meeste MKB-ers verwerken persoonsgegevens van bijvoorbeeld personeel of klanten. Een DPIA is niet verplicht indien:

  • De verwerking géén hoog risico oplevert.
  • Het risico van een bestaande verwerking niet is veranderd.

Met andere woorden:

  • Je verandert van systeem waarin je leden registreert (naam, adres en contactgegevens). Deze verwerking levert geen hoog risico op.
  • Je verandert van systeem waarin je bijvoorbeeld producten of bestellingen verwerkt. Dit zijn geen persoonsgegevens.
  • Je besteed debiteurenbeheer uit, indien business tot business. We hebben het niet over wijziging van risico van personen.

Wanneer is een DPIA dan wel verplicht:

  • Je verandert van systeem waarin je financiële gegevens, zoals inkomen, vermogen en bestedingspatroon van personen verwerkt. Veranderen van systeem wordt gezien als nieuwe verwerking. En verwerken van financiële gegevens vind je terug in punt 5 in de verplichte voorbeelden van nieuwe verwerkingen.
  • Je verandert van salarisadministrateur en start daarmee in feite een nieuwe verwerking in een andere omgeving met hoge risico’s.
  • Een webwinkel die het surfgedrag van websitebezoekers wil gaan monitoren om zo het winkelgedrag van de bezoeker te beïnvloeden (het customer experience gedrag wil verhogen). Dit valt onder profileren en gebruik van nieuwe technologie.
  • Je besteed debiteurenbeheer uit, indien business to consumer. Een onderdeel van het verwerkingsproces verandert en het uitbesteden kan nadelige (financiële) risico’s opleveren voor de consument.
  • Een werkgever verdenkt een werknemer van diefstal en wil derhalve in het geheim de werknemer monitoren op bijv. e-mail, internetgebruik en/of cameratoezicht. Zie punt 10 in de lijst van nieuwe verwerkingen.

Alle andere praktische voorbeelden zijn welkom om hier te delen. De verplichte DPIA is m.i. een grijs gebied waarbij het belangrijk is je besluit en onderbouwing ervan goed vast te leggen. Op de site van NOREA is een voorbeeld van een DPIA te downloaden.  Alle informatie is terug te lezen op de website van de Autoriteit Persoonsgegevens. Elke input om een DPIA de toegevoegde waarde te geven die het hoort te hebben is van harte welkom. Delen is fijn!

Privacy proof

Hulp nodig? Ik kan je vast wel helpen. Neem gerust contact met mij op!

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Menu