Het uitvoeren van een DPIA (Data Protection Impact Assessment) kan verplicht zijn vanaf het moment dat de GDPR (General Data Protection Regulation) op 25 mei 2018 van kracht wordt. DPIA is een beoordeling. Met deze beoordeling breng je van tevoren de privacyrisico’s van een gegevensverwerking in kaart. In de Nederlandse AVG wordt de DPIA gegevensbeschermingseffectbeoordeling genoemd.
Een DPIA voer je uit, omdat je bijvoorbeeld op grote schaal persoonsgegevens gaat verwerken. Denk hierbij aan het ziekenhuis dat patiëntengegevens verwerkt. Maar dit kan ook zijn wanneer je persoonsgegevens verwerkt met het gebruik van een nieuwe technologie. Zoals bijvoorbeeld een CRM-systeem.
Bij veranderingen met een hoog risico voor de verwerking van persoonsgegevens is een DPIA verplicht onderdeel van het project. Het is van belang om de DPIA zo vroeg mogelijk uit te voeren, om zo het beste rekening te kunnen houden met uitkomsten. Zo kun je op basis van de DPIA-resultaten maatregelen treffen, als dat nodig is.
WP29
Wanneer een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, is een DPIA verplicht. De Working Party art.29 (De WP29) is een werkgroep van Europese privacytoezichthouders. Deze werkgroep heeft criteria opgesteld om het risico van de gegevensverwerking te bepalen en daarmee of je een DPIA moet uitvoeren. Ook stellen zij enkele ‘Guidelines’; richtlijnen op, over hoe bepaalde begrippen uit de GDPR uitgelegd moeten worden. Deze richtlijnen voor een DPIA vind je terug op https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf
Advies van de FG
Als er binnen jouw organisatie een Functionaris voor de Gegevensbescherming actief is, moet de verantwoordelijke bij het uitvoeren van een DPIA advies vragen van de FG. Je moet in het rapport opnemen wat de FG geadviseerd heeft omtrent het verwerken van persoonsgegevens. Bijvoorbeeld wanneer een DPIA uitgevoerd moet worden bij een nieuw CRM-systeem. De FG ziet toe op bijvoorbeeld vragen als: waar staat de data opgeslagen? En wie heeft er toegang tot deze data? Dit zijn vragen waar rekening mee gehouden moet worden. De Functionaris voor de Gegevensbescherming kijkt of deze onderdelen aanwezig zijn bij het uitvoeren van de DPIA. De FG houdt ook in de gaten of de DPIA daadwerkelijk wordt uitgevoerd. Wanneer je het advies van de FG negeert, hoeft dat geen probleem te zijn, maar je moet wel aangeven waarom je dit doet.
Inhoud van de DPIA
De DPIA is vormvrij, maar dient wel de volgende onderdelen te bevatten:
- Een systematische beschrijving over wat je gaat verwerken en wat het doel is van deze verwerking
- Waarom je deze verwerking moet doen. Is het verwerken persoonsgegevens op deze manier echt noodzakelijk om je doel te bereiken?
- Een beoordeling van de risico’s voor de betrokkenen
- Maatregelen om deze risico’s aan te pakken
Resultaten DPIA
Je hebt een DPIA uitgevoerd, maar wat nu? Mocht er geen risico zijn, dan kun je van start gaan met je voorgenomen verwerking. Wanneer blijkt dat de voorgenomen verwerking toch een hoog risico oplevert en je neemt geen maatregelen, dan moet je de Autoriteit Persoonsgegevens (AP) raadplegen voor advies. Autoriteit Persoonsgegevens raadt aan om, zelfs wanneer je dit niet verplicht bent, vrijwillig een DPIA te doen en dit proces om de drie jaar te herhalen. Dit komt de bescherming van de persoonsgegevens en daarmee jouw organisatie ten goede.
Wil je graag meer weten over een DPIA? Of over de GDPR in het algemeen? Neem contact met ons op of bezoek ons GDPR-dossier op gdpr.eshgro.nl.