Wat is een Data Protection Impact Assessment (DPIA) en wanneer is dit nodig?

Wat was er precies aan de hand?

In coronatijd reden er 5 weken lang 360-graden camerawagens door de Maasstad die beelden opnamen van personen op straat, waarbij gecontroleerd werd of die personen wel 1,5 meter afstand hielden. De AP oordeelt dat deze verwerking van persoonsgegevens (de camerabeelden) ‘een hoog privacy risico’ inhield voor de betrokkenen, de burgers op straat. De boete is gegeven omdat de politie op grond van artikel 35 uit de AVG, verplicht was om voorafgaand aan die verwerking, een DPIA uit te voeren. Bij navraag van de AP bleek deze DPIA te ontbreken.

Wat is een DPIA?

Organisaties zijn in sommige situaties verplicht een DPIA, in het Nederlands een ‘Gegevensbeschermingseffectbeoordeling’(GBE), uit te voeren. Dit is het geval wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Een DPIA is een assessment, een beoordeling, van de risico’s en beschrijft welke mitigerende maatregelen de organisatie neemt om die risico’s te beperken. De DPIA dient te worden uitgevoerd voordat gestart wordt met die verwerking van persoonsgegevens.

Het doel van het uitvoeren van een DPIA is meerledig;

• De organisatie is gedwongen de belangen van de betrokkene en die van de organisatie zorgvuldig af te wegen.
• De organisatie moet goed afwegen en beschrijven hoe de risico’s van de verwerking beperkt kunnen worden en de maatregelen beschrijven.
• De organisatie bepaalt op basis van de DPIA of zij voorafgaande raadpleging bij de Autoriteit Persoonsgegevens moet aanvragen.
• De organisatie slaat het document op als onderdeel van haar verantwoording in geval van een controle door een autoriteit of bijvoorbeeld in geval van een audit of andere controle.

Maar hoe bepaal je wat ‘een hoog privacy risico’ oplevert voor de betrokkenen? De organisatie moet zelf bepalen of de impact ‘hoog’ is. Indien de organisatie oordeelt dat de impact (mogelijk) hoog is, mag niet worden gestart met de gegevensverwerking totdat de DPIA is uitgevoerd.

De AP geeft aan dat een DPIA in ieder geval moet worden uitgevoerd als een organisatie:

• systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling en daarop besluiten baseert die gevolgen hebben voor mensen;
• op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De Autoriteit heeft ook een lijst opgesteld van verwerkingen waarvoor een DPIA verplicht is. Hierin staan onder andere de verwerking van biometrische gegevens, zwarte lijsten en credit scores benoemd. Ook heimelijk onderzoek of grootschalige/stelselmatige controles van werknemers zijn voor de AP aangemerkt als verplichte DPIA verwerkingen.

De afweging of een DPIA noodzakelijk is, dient voorafgaand aan elke verwerking gemaakt te worden. Twijfelt u of u een DPIA moet uitvoeren of heeft u hulp nodig bij het uitvoeren hiervan? Neem dan gerust contact met ons op om dit te bespreken.