De AVG bevat heel wat verplichtingen die ervoor moeten zorgen dat de privacy beter wordt beschermd. Een van de mogelijke verplichtingen onder de AVG is het uitvoeren van een DPIA. Een DPIA (data protection impact assessment) wordt ook wel eens een GEB (gegevensbeschermingseffectbeoordeling) genoemd. Het gaat om een instrument waarmee de privacyrisico’s bij een gegevensverwerking in kaart worden gebracht. Op basis hiervan kunnen vervolgens maatregelen worden getroffen om deze risico’s te beperken.
Wanneer is een DPIA verplicht?
Wanneer een DPIA verplicht is, staat te lezen in de AVG, de Wpg (Wet politiegegevens) en de Wjsg (Wet justitiële en strafvorderlijke gegevens). Voor ondernemingen zijn de AVG-bepalingen relevant. Over het algemeen is een DPIA verplicht eenmaal er een waarschijnlijk en hoog privacyrisico is. In de wet staat niet te lezen wanneer dit het geval is. Als verwerkingsverantwoordelijke dien je dit zelf te bepalen. Er bestaat wel een lijst met negen criteria die kunnen worden gebruikt bij de beoordeling. Deze lijst is opgesteld door de Europese privacytoezichthouders. Als er volgens jou sprake is van een waarschijnlijk hoog privacyrisico dien je eerst een DPIA uit te voeren. Nadien mag je de gegevens verwerken.
Volgens de AVG dien je in ieder geval een DPIA uit te voeren als er op grote schaal bijzondere persoonsgegevens worden verwerkt. Dit is ook het geval als je op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Hetzelfde geldt bij de situatie waarbij je systematisch en uitgebreid persoonlijke aspecten op basis van een geautomatiseerde verwerking beoordeelt en daarop besluiten baseert die gevolgen hebben voor de betrokkenen.
Ook heeft de Autoriteit Persoonsgegevens een lijst van soorten verwerkingen opgesteld waarbij een DPIA uitvoeren verplicht is. Het gaat dan bijvoorbeeld om grootschalige verwerkingen van genetische persoonsgegevens in biodatabanken. Deze lijst is niet limitatief, ook in andere gevallen kan er een verplichting bestaan om een DPIA uit te voeren. Indien je hierover twijfelt, kunnen onze AVG-experts je adviseren.
Uitvoeren van een DPIA
Als een DPIA verplicht is, is het goed om te weten dat er verschillende methodes zijn om zo’n DPIA uit te voeren. Je bent in principe vrij om een methode te kiezen, maar er moet natuurlijk wel zijn voldaan aan de basisvereisten die in de AVG zijn beschreven.
Een goede DPIA zal hoe dan ook voldoende inzicht moeten bieden in de risico’s en in de te treffen maatregelen om deze risico’s te beperken. Vervolgens dien je deze maatregelen uiteraard ook te treffen. Als uit de DPIA blijkt dat het niet voldoende lukt om maatregelen te treffen om de risico’s te beperken, dien je voorafgaand aan de verwerking met de Autoriteit Persoonsgegevens te overleggen. Dit wordt ook wel eens een voorafgaande raadpleging genoemd.
Hulp bij het uitvoeren van een DPIA
Een DPIA uitvoeren, is enorm complex. Maar als hedendaagse ondernemer kan je nu eenmaal niet om de complexe privacyregelgeving heen. Onze praktijkgroep adviseert je graag over het uitvoeren van een DPIA, de AVG-regelgeving en de implementatie van de maatregelen om de privacyrisico’s te beperken. Ons privacyteam biedt zowel juridische als strategische ondersteuning en dit aan mkb-bedrijven, multinationals en non-profitorganisaties. Lees meer over onze expertise en plan een terugbelverzoek in.
