Gedetailleerde Gids voor het DPO Privacyplan volgens de AVG

By /

De verplichting om een Data Protection Impact Assessment (DPIA), in de Nederlandse wetgeving ook wel aangeduid als gegevensbeschermingseffectbeoordeling (GEB), uit te voeren, is vastgelegd in verschillende wetten:

  • Algemene verordening gegevensbescherming (AVG)
  • Wet politiegegevens (Wpg)
  • Wet justitiële en strafvorderlijke gegevens (Wjsg)

Wanneer een DPIA noodzakelijk is, hangt af van de beoordeling van uw organisatie. U dient zelf te bepalen of uw gegevensverwerking een hoog privacyrisico oplevert. Hierbij kunnen de volgende criteria helpen:

De AVG zelf geeft duidelijke richtlijnen over wanneer een DPIA vereist is.

De Autoriteit Persoonsgegevens (AP) heeft een specifieke lijst opgesteld met soorten verwerkingen waarvoor een DPIA verplicht is.

De European Data Protection Board (EDPB), het orgaan van Europese privacytoezichthouders, heeft 9 criteria opgesteld die helpen bij het inschatten van de noodzaak van een DPIA.

Schema dat de verschillende wettelijke grondslagen voor het uitvoeren van een DPIA weergeeft.

DPIA volgens de AVG

Een DPIA kan met name nodig zijn bij het toepassen van nieuwe technologieën. De AVG stelt dat u in ieder geval een DPIA moet uitvoeren indien uw organisatie:

  • Systematisch en uitgebreid persoonlijke aspecten van personen beoordeelt op basis van geautomatiseerde verwerking, inclusief profilering, en op basis hiervan besluiten neemt die significante gevolgen hebben voor deze personen. Een voorbeeld hiervan is creditscoring, waarbij beslissingen over leningverstrekking worden genomen.
  • Op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens omvatten onder andere gegevens over ras, etniciteit, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, en gegevens over gezondheid, seksueel leven of seksuele geaardheid.
  • Strafrechtelijke gegevens verwerkt. Dit betreft gegevens over strafrechtelijke veroordelingen en strafbare feiten.
  • Op grote schaal en systematisch personen volgt in een publiek toegankelijk gebied, bijvoorbeeld door middel van cameratoezicht.

De DPIA-lijst van de AP

De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld met specifieke soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is, nog voordat de verwerking begint. U kunt de DPIA-lijst raadplegen als webpagina op Overheid.nl of als pdf-document.

Belangrijke opmerkingen over de DPIA-lijst:

  • De lijst is niet uitputtend. Als uw verwerking niet op de lijst staat, bent u alsnog verplicht zelf te beoordelen of er een hoog privacyrisico is.
  • Begrippen als 'grootschalig', 'systematisch' en 'stelselmatig' zijn cruciaal. Verwerkingen die ad hoc of incidenteel plaatsvinden, worden doorgaans niet als systematisch of stelselmatig beschouwd.
  • De lijst is afgestemd binnen EU-verband en wordt periodiek geëvalueerd door de EU-privacytoezichthouders.
  • Uw verwerking moet te allen tijde voldoen aan de AVG. Als uw voorgenomen verwerking op de lijst staat, dient u na te gaan of u een geldige grondslag heeft voor de verwerking. Zonder geldige grondslag mag u de persoonsgegevens niet verwerken, ongeacht de uitkomst van een DPIA.

De 9 criteria van toezichthouders voor DPIA

Indien uw verwerking niet op de DPIA-lijst van de AP staat en u zelf moet beoordelen of een DPIA noodzakelijk is, kunt u gebruikmaken van de 9 criteria die door de EU-privacytoezichthouders zijn opgesteld. Als algemene vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan twee of meer van deze criteria voldoet.

Let op: Deze 9 criteria zijn een hulpmiddel. Ook als u aan geen of slechts één criterium voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest geen DPIA uit te voeren. Dit valt onder uw verantwoordingsplicht.

De 9 criteria voor het uitvoeren van een DPIA:

  1. Beoordelen van mensen op basis van persoonskenmerken

    Dit omvat onder meer profilering en het maken van prognoses.

  2. Geautomatiseerde besluiten

    Dit betreft besluiten met rechtsgevolgen of vergelijkbare wezenlijke gevolgen voor personen, zoals uitsluiting of discriminatie. Besluiten zonder significante gevolgen vallen hier niet onder. Raadpleeg de Guidelines over geautomatiseerde besluitvorming en profilering van de EDPB voor meer details.

  3. Stelselmatige en grootschalige monitoring

    Hierbij kan gedacht worden aan monitoring van openbaar toegankelijke ruimten, zoals met cameratoezicht, waarbij personen mogelijk niet op de hoogte zijn van de gegevensverzameling en de verwerking, en het onmogelijk kan zijn zich aan deze verwerking te onttrekken.

  4. Gevoelige gegevens

    Dit omvat bijzondere persoonsgegevens, strafrechtelijke gegevens en andere gegevens die algemeen als privacygevoelig worden beschouwd.

  5. Grootschalige gegevensverwerkingen

    De AVG definieert 'grootschalige gegevensverwerkingen' niet expliciet, maar de Europese privacytoezichthouders hebben dit begrip verder ingevuld.

  6. Gekoppelde databases

    Dit betreft gegevensverzamelingen die aan elkaar gekoppeld of gecombineerd zijn, bijvoorbeeld door het samenvoegen van data uit verschillende verwerkingen met verschillende doelen of door verschillende organisaties, op een manier die personen niet redelijkerwijs kunnen verwachten.

  7. Gegevens over kwetsbare personen

    Bij het verwerken van dit soort gegevens kan een DPIA nodig zijn vanwege een ongelijke machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, waardoor betrokkenen niet vrijelijk toestemming kunnen geven of weigeren. Voorbeelden zijn werknemers, kinderen en patiënten.

  8. Gebruik van nieuwe technologieën

    De AVG erkent dat een DPIA noodzakelijk kan zijn bij het gebruik van nieuwe technologieën, vanwege potentiële nieuwe manieren van gegevensverzameling en -gebruik met aanzienlijke privacyrisico's. De persoonlijke en maatschappelijke gevolgen kunnen zelfs nog onbekend zijn. Een DPIA helpt deze risico's te begrijpen en te mitigeren. Toepassingen zoals bepaalde Internet of Things (IoT) apparaten kunnen een grote impact hebben op het dagelijks leven en de privacy.

  9. Blokkering van een recht, dienst of contract

    Dit ziet op gegevensverwerkingen die ertoe leiden dat personen een recht niet kunnen uitoefenen, een dienst niet kunnen gebruiken, of een contract niet kunnen afsluiten. Een bank die persoonsgegevens verwerkt om de kredietwaardigheid te bepalen, is hiervan een voorbeeld.

Infographic die de 9 criteria voor het uitvoeren van een DPIA visueel weergeeft.

Tip: De gegevensbeschermingsgids voor het mkb van de EDPB bevat een interactief stroomschema dat u kan helpen bij het bepalen of u een DPIA moet uitvoeren.

Wanneer is een DPIA niet nodig?

U hoeft geen DPIA uit te voeren wanneer uw gegevensverwerking:

  • Waarschijnlijk geen hoog privacyrisico oplevert.
  • Sterk lijkt op een andere gegevensverwerking waarvoor al een DPIA is uitgevoerd.
  • Geregeld wordt door een andere Europese of nationale wet waarvoor tijdens de totstandkoming al een DPIA is uitgevoerd, tenzij de privacytoezichthouder anders oordeelt.
  • Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG staat privacytoezichthouders toe zo'n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen dergelijke lijst opgesteld.

Uitvoering van de DPIA

Er zijn verschillende methoden om een DPIA uit te voeren. U kunt zelf een methode kiezen, zolang u voldoet aan de basisvereisten van de AVG. Deze vereisten omvatten in ieder geval de volgende elementen in uw DPIA:

  • Een systematische beschrijving van de voorgenomen gegevensverwerking en de bijbehorende doeleinden. Indien u zich beroept op een gerechtvaardigd belang als grondslag, dient dit ook in de beschrijving te worden opgenomen.
  • Een beoordeling van de noodzaak en proportionaliteit van de verwerking.
  • Een beoordeling van de privacyrisico's voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u voldoet aan de AVG.

Let op: Uw voorgenomen gegevensverwerking moet te allen tijde rechtmatig zijn.

Restrisico's inschatten

Bij de beoordeling van de privacyrisico's is het cruciaal om in te schatten of er sprake is van hoge restrisico's. Dit zijn ernstige situaties die ondanks uw voorzorgsmaatregelen nog steeds kunnen optreden. Besteed in uw DPIA aandacht aan de volgende punten:

  • Identificeer de hoge privacyrisico's die u niet volledig kunt voorkomen.
  • Specificeer in welke situaties of bij welke onderdelen er sprake is van een hoog restrisico.
  • Beoordeel de waarschijnlijkheid dat de omschreven situatie zich voordoet, ondanks de genomen maatregelen.
  • Beschrijf de schade die ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt.

Zo vroeg mogelijk starten met DPIA

Het is aan te raden om de DPIA te starten in de ontwerpfase van de gegevensverwerking, zo vroeg als praktisch mogelijk is, zelfs als nog niet alle details bekend zijn. Door vroeg te beginnen, kunt u gemakkelijker voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default.

Let op: Het feit dat de DPIA mogelijk gaandeweg aangepast moet worden, is geen reden om de DPIA uit te stellen of achterwege te laten. Een DPIA is een continu proces. U dient voortdurend te monitoren of uw gegevensverwerking wijzigt en of de DPIA hierdoor bijgesteld moet worden.

DPIA uitbesteden

Als verwerkingsverantwoordelijke bent u verantwoordelijk voor de uitvoering van een DPIA. U hoeft deze echter niet zelf uit te voeren; dit kan ook door een externe partij worden gedaan, zoals een gespecialiseerd bureau. U blijft echter eindverantwoordelijk.

Advies vragen over DPIA

Afhankelijk van uw specifieke situatie, dient u advies in te winnen bij de volgende partijen:

  • De functionaris gegevensbescherming (FG).
  • De verwerker.
  • De betrokkenen.
  • Overige partijen.

Advies FG

Indien uw organisatie een FG heeft aangesteld, bent u verplicht de FG om advies te vragen. In het DPIA-rapport moet worden opgenomen welk advies de FG heeft gegeven en hoe hiermee is omgegaan. De FG houdt ook toezicht op de uitvoering van de DPIA.

Het is raadzaam de FG advies te vragen over:

  • De afweging om wel of niet een DPIA uit te voeren.
  • De geschikte onderzoeksmethoden voor de DPIA.
  • De keuze om de DPIA zelf uit te voeren of een gespecialiseerd bureau in te schakelen.
  • De benodigde waarborgen om privacyrisico's te beperken.
  • De vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

Advies verwerker

Indien een verwerker namens u gegevensverwerkingen uitvoert, dient deze u te ondersteunen bij de DPIA en de benodigde informatie te verstrekken.

Advies betrokkenen

Indien nodig, dient u de betrokkenen of hun vertegenwoordigers om hun mening te vragen. De methoden hiervoor zijn afhankelijk van de situatie, bijvoorbeeld door interne of externe onderzoeken, consultatie van consumenten- of werknemersorganisaties, of het versturen van enquêtes aan toekomstige klanten.

Indien uw uiteindelijke beslissing afwijkt van de mening van de betrokkenen, dient u uw redenen hiervoor te documenteren. Dit geldt ook als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

Advies overige partijen

Het is aan te raden om te bepalen en te documenteren welke andere partijen u kunt betrekken bij een DPIA, zoals de IT-afdeling, andere afdelingen, en onafhankelijke experts (juristen, technici, beveiligingsexperts, etc.).

Na de DPIA

Na het uitvoeren van de DPIA heeft u inzicht in de privacyrisico's en de benodigde maatregelen. Het is vervolgens aan u om deze maatregelen daadwerkelijk te implementeren.

Voorafgaande raadpleging

Tenzij u in de DPIA heeft ingeschat dat er geen hoge restrisico's zijn, dient u voorafgaand aan de verwerking overleg te plegen met de AP. Dit wordt een voorafgaande raadpleging genoemd.

DPIA publiceren

Hoewel het publiceren van uw DPIA niet wettelijk verplicht is, wordt het wel aanbevolen. Dit kan het vertrouwen in uw gegevensverwerkingen vergroten en dient als verantwoording en transparantie, met name voor verwerkingen die het algemeen publiek aangaan.

Een gepubliceerde DPIA hoeft niet het volledige beoordelingsrapport te bevatten. Informatie die u niet openbaar wilt maken, zoals beveiligingsrisico's of concurrentiegevoelige informatie, kan worden weggelaten. Een samenvatting van de belangrijkste resultaten volstaat dan.

Nieuwe DPIA bij veranderingen

Een DPIA is geen eenmalige opdracht, maar een continu proces. U dient voortdurend te monitoren of er veranderingen optreden in:

  • Uw gegevensverwerking.
  • De risico's van de verwerking.
  • De context van de verwerking.

Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren, zelfs als de gegevensverwerking zelf niet is gewijzigd, bijvoorbeeld eens per drie jaar. Dit geldt ook voor bestaande verwerkingen waarvoor u nog geen DPIA heeft uitgevoerd; veranderingen kunnen alsnog een DPIA verplicht maken.

Veranderingen in gegevensverwerking

Een verandering in de gegevensverwerking kan optreden bij het gebruik van een nieuwe technologie of wanneer persoonsgegevens voor een ander doel worden gebruikt. Dit kan feitelijk neerkomen op een nieuwe gegevensverwerking waarvoor een DPIA verplicht kan zijn.

Veranderingen in de risico's van de verwerking

Indien het privacyrisico van uw verwerking verandert, bijvoorbeeld door een wijziging in het verwerkingsproces of door technologische ontwikkelingen die nieuwe kwetsbaarheden creëren, kan een DPIA opnieuw noodzakelijk zijn.

Veranderingen in de context van de verwerking

Veranderingen in de organisatorische of maatschappelijke context, zoals een toegenomen belang van geautomatiseerde beslissingen of het kwetsbaarder worden van bepaalde groepen voor discriminatie, kunnen eveneens leiden tot de verplichting tot een DPIA.

Het is daarom raadzaam om periodiek een DPIA uit te voeren, ook als de verwerking zelf niet is gewijzigd.

tags: #voorbeeld #dpo #privacyplan

Populaire berichten:

  • Details over hernia's in de zwangerschap
  • Chinese kraamrituelen
  • Flessenwarmer kiezen: onze gids
  • Foetale ontwikkeling bij 10 weken zwangerschap
  • Bekijk de nieuwste babykleding en setjes