Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA) is het proces waarmee jouw bedrijf systematisch de risico's en gevolgen voor de privacy van individuen kan beoordelen die komen uit de verwerking van persoonlijke gegevens.
Als het uitvoeren van een DPIA voor jouw bedrijf verplicht is, dien je dit te doen voordat je als organisatie start met het bewaren, gebruiken en delen van persoonsgegevens. De DPIA wordt dan uitgevoerd door de verwerkingsverantwoordelijke.
In een tijdperk waarin data een cruciale rol speelt in bedrijfsactiviteiten, is het waarborgen van privacy van het grootste belang. Organisaties moeten ervoor zorgen dat persoonlijke gegevens op een veilige en ethische manier worden behandeld.
Een belangrijk hulpmiddel om data op een veilige manier te behandelen, is het uitvoeren van een Data Protection Impact Assessment (DPIA). In dit blog zullen we de essentiële aspecten van een DPIA behandelen en uitleggen wanneer een DPIA verplicht is en hoe deze uitgevoerd kan worden.
- Waarom voer je een DPIA uit?
- Wanneer is een DPIA verplicht?
- Wat moet er in een DPIA worden opgenomen?
- Wanneer is er geen DPIA nodig?
- Hoe voer je een DPIA uit?
- Na het uitvoeren van een DPIA
Voer een DPIA uit met Base27
Waarom voer je een DPIA uit?
De reden van een DPIA is om:
- op tijd potentiële privacy problemen te identificeren;
- passende maatregelen te nemen om risico's te minimaliseren;
- te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation in het Engels).
Door een grondige DPIA uit te voeren, worden potentiële risico's van tevoren geïdentificeerd en kunnen passende maatregelen genomen worden om ervoor te zorgen dat de gegevensverwerking op een veilige en wettelijke manier plaatsvindt.
Wanneer is een DPIA verplicht?
Als organisatie ben je zelf verantwoordelijk voor het bepalen of het gegevensverwerkingsproces een hoog privacyrisico met zich meebrengt en dus een DPIA zou moeten ondergaan. Verschillende organisaties hebben hiervoor richtlijnen opgesteld, waaronder de Algemene Verordening Gegevensbescherming (AVG), de Autoriteit Persoonsgegevens (AP) en de Europese privacytoezichthouders.
De AVG richtlijnen
- Volgens de AVG moet je als bedrijf in ieder geval een DPIA uitvoeren in de volgende situaties:
- Wanneer je systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt, wat je doet op basis van geautomatiseerde verwerking van persoonsgegevens en waarop je besluiten baseert die gevolgen hebben voor mensen.
- Als je op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens omvatten gevoelige informatie zoals ras, etnische afkomst, politieke opvattingen, religie, gezondheidsgegevens, seksuele geaardheid, et cetera.
- Als je strafrechtelijke gegevens verwerkt, zoals gegevens over strafbare feiten of veroordelingen.
Indien je op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld via cameratoezicht of volgtechnieken.
De Autoriteit Persoonsgegeveens (AP)
De AP heeft een lijst opgesteld van de soorten verwerkingen die het uitvoeren van een DPIA verplicht maken. Het doel van deze lijst is om organisaties te helpen bepalen wanneer een DPIA vereist is voor specifieke gegevensverwerkingen.
Deze lijst omvat de volgende verwerkingssoorten:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische persoonsgegevens
- Gezondheidsgegevens
- Samenwerkingsverbanden
- (Flexibel) cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things (IoT)
- Profilering
- Observatie en beïnvloeding van gedrag
- Biometrische gegevens
Bekijk hier het overzicht voor meer informatie over de soorten verwerkingen.
De Europese privacytoezichthouders
De Europese privacytoezichthouders hebben 9 verschillende criteria opgesteld die je kunt gebruiken om in te schatten of jouw bedrijf verplicht is om een DPIA uit te voeren. Als jouw gegevensverwerking aan 2 of meer van deze criteria voldoet, is de kans groot dat je verplicht bent om een DPIA uit te voeren.
- Beoordelen van mensen op basis van persoonskenmerken
- Geautomatiseerde besluiten
- Stelselmatige en grootschalige monitoring
- Gevoelige gegevens
- Grootschalige gegevensverwerkingen
- Gekoppelde databases
- Gegevens over kwetsbare personen
- Gebruik van nieuwe technologieën
- Blokkering van een recht, dienst of contract
Wanneer is er geen DPIA nodig?
Wanneer jouw gegevensverwerking geen hoog privacyrisico met zich meebrengt, ben je als organisatie niet verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Dit geldt ook wanneer je nieuwe gegevens verzamelt, die sterk lijken op andere gegevensverwerkingen binnen jouw organisatie waarvoor al een DPIA is uitgevoerd.
Bovendien hoef je geen DPIA uit te voeren wanneer jouw gegevensverwerking wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd (tenzij de privacytoezichthouders anders oordelen). Of wanneer jouw gegevensverwerking op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is.
Toch kan deze verplichting voor jou veranderen. Wellicht voldoet jouw organisatie namelijk nu niet aan de criteria, maar op een later moment wel. Denk bijvoorbeeld aan de groei van een kleinschalige gegevensverzameling naar een grootschalige gegevensverzameling of bij het verzamelen van een nieuw soort data. Ons advies is om dit goed in de gaten te houden bij veranderingen in jouw organisatie.
Bekijk hier de checklist van nieuwe verwerkingen van de AP.
Wat moet er in een DPIA worden opgenomen?
Een DPIA is een gestructureerde beoordeling die helpt bij het identificeren en minimaliseren van de privacyrisico's van gegevensverwerkingen. Een DPIA moet voldoen aan de eisen van de AVG. Volgens artikel 35 van de AVG moet een DPIA de volgende onderdelen bevatten:
De beoordeling bevat ten minste:
Bron: Verordening (EU) 2016.679 van het Europees Parlement en de Raad |
Door op tijd te beginnen, wordt het voor een organisatie makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default. Zo moet bijvoorbeeld punt A ook weer voldoen aan specifieke eisen in een verwerkersovereenkomst.
Hoe voer je een DPIA uit?
Zoals hierboven vermeld, moet een Data Protection Impact Assessment (DPIA) voldoen aan de basisvereisten van de AVG. Hoewel de basisonderdelen bekend zijn, is er geen specifieke vorm gedefinieerd voor een DPIA. Niettemin is het handig om deze beoordeling uit te voeren aan de hand van verschillende stappen. Als voorbeeld zullen we het uitvoeren van een DPIA illustreren met Base27.
Een voorbeeld van een DPIA in Base27
Stap 1: Algemene informatie definiëren
Bij de eerste stap begint het opzetten van de DPIA. Hierbij geef je aan hoe dit assessment heet, wat de scope is, wie verantwoordelijk is voor de uitvoering, en wie eraan deelneemt. Base27 biedt ook de optie om te testen of je verplicht bent om voor deze gegevens een DPIA uit te voeren.
Stap 2: Scope definiëren
De tweede stap biedt je de gelegenheid om de scope verder te beschrijven. Denk hierbij aan het toevoegen van informatiesystemen, processen, leveranciers en onderdelen van de organisatie.
Mocht je niet direct weten wat er precies moet worden opgenomen, dan ondersteund een ISMS-tool je door suggesties te doen van bestaande informatiesystemen die eerder al zijn verwerkt.
Stap 3: De reden van de beoordeling toelichten
Bij de derde stap is het raadzaam om te verduidelijken waarom deze beoordeling tot stand is gekomen. Noteer de verantwoordelijke organisatie en de interne verantwoordelijke persoon, evenals het doel van de beoordeling en de specifieke rechtsgrondslag en wetgeving die van toepassing zijn.
Stap 4: Definieer de betrokkenen
Bij stap vier geef je meer uitleg over de betrokkenen bij deze beoordeling. Leg uit om welke groep mensen het gaat en onder welke categorie van betrokkenen ze vallen (zoals leveranciers, studenten, patiënten, verslaafden, etc.). Base27 biedt ook de optie om aan te geven of deze groep kwetsbaar is. De tool brengt direct in kaart wat de mogelijkheden zijn met betrekking tot de rechten van de betrokkenen.
Stap 5: Persoonsgegevens specificeren
Stap vijf richt zich op het specificeren van de persoonsgegevens die jouw bedrijf gaat verzamelen. Denk hierbij aan NAW-gegevens, maar ook aan bijzondere gegevens zoals allergieën, etnische afkomst of arbo-gegevens. In Base27 bieden we verschillende standaard opties om in te vullen en geven we directe richtlijnen ter ondersteuning, waarmee je rekening moet houden.
Stap 6: Bewaartermijn
Verschillende wetten vereisen verschillende bewaartermijnen die niet overschreden mogen worden. Dit wordt doorgenomen in de zesde stap van een DPIA. Het is raadzaam om deze termijnen direct aan te geven, zodat je weet wanneer de maximale bewaartijd is bereikt. Om tijd te besparen, bieden wij voorbeelden van deze bewaartermijnen in onze tool aan, maar je kunt ze ook online vinden.
Stap 7: Verwerkersverantwoordelijke
Bij de zevende stap licht je toe wie er verantwoordelijk is voor het verwerken van deze gegevens. Dit kan een lijst van verschillende personen zijn.
Stap 8: Risicoanalyse
Bij de achtste stap wordt uiteindelijk onderzocht waar de risico's en dreigingen liggen tijdens het verwerken van deze gegevens. Dit kan handmatig gebeuren aan de hand van verschillende dreigingsmodellen of met behulp van een tool. Als je alle gegevens correct hebt ingevuld in Base27, zal het automatisch potentiële risico's voorstellen.
Stap 9: Vervolgstappen
Om de DPIA succesvol af te ronden, is het belangrijk om de vervolgstappen voor het beheersen van potentiële risico's te definiëren en te organiseren. Via Base27 worden deze stappen (deels) automatisch op een rij gezet, waardoor het eenvoudig is om ze te koppelen aan de verantwoordelijke persoon. Het is van cruciaal belang om deze risico's regelmatig te evalueren en aan te pakken, om zo de kans op dreigingen te verminderen.
Na het uitvoeren van een DPIA
Na het voltooien van een DPIA dienen de resultaten gedocumenteerd en beoordeeld te worden door de verantwoordelijke voor gegevensbescherming. Indien de risico's als hoog worden beoordeeld en niet kunnen worden geminimaliseerd, is overleg met de toezichthoudende autoriteit (AP in Nederland) vereist alvorens de verwerking voortgezet kan worden.
Voer een DPIA uit met behulp van Base27.