Wanneer is een Data Protection Impact Assessment (DPIA) een extra last voor organisaties?

Aan welke vereisten dient een Data Protection Impact Assessment (DPIA) te voldoen? Artikel 29 Werkgroep licht toe.

Begin april heeft de Artikel 29 Werkgroep (WP29) richtlijnen gepubliceerd, waarmee getracht wordt nadere invullingte gegeven aan het begrip Data Protection Impact Assessment (DPIA). Deze richtlijnen zijn de 4e in een reeks van guidelines die door de WP29 zijn (en worden) gepubliceerd om meer guidance aan de nieuwe privacyverordening te geven.  Over de eerdere richtlijnen met betrekking tot het verplicht instellen van een DPO hebben wij al uitvoerig bericht.

De nieuwe richtlijnen over de DPIA geven (i) criteria om te kunnen beoordelen wanneer een DPIA dient te worden opgesteld en (ii) de eisen waaraan een DPIA moet voldoen. Op het eerste onderdeel is reeds ingegaan in deel 1 van onze berichtenreeks. In deze bijdrage komt het tweede onderdeel aan de orde.   

Wat zegt de Algemene Verordening Gegevensbescherming?

Op grond van de Algemene Verordening Gegevensbescherming (AVG) dient een DPIA, in het Nederlands ook wel een gegevensbeschermingseffectbeoordeling genoemd, uitgevoerd te worden voordat een verwerking van persoonsgegevens plaatsvindt. Het is mogelijk om een DPIA uit te laten voeren door een derde. De controller (de verantwoordelijke voor de verwerking) behoudt echter wel de verantwoordelijkheid over die taak.

Een DPIA moet ten minste de volgende vier onderdelen bevatten:

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden hiervan. Indien een beroep wordt gedaan op een gerechtvaardigd belang als grondslag voor de verwerking, dan dient dit bovendien in de beschrijving te worden opgenomen;
  • Een beoordeling van de noodzakelijkheid en de proportionaliteit van de verwerkingen. Dit houdt in: zijn de verwerkingen van persoonsgegevens noodzakelijk om het doel te bereiken? En is de inbreuk op de privacy van betrokkenen (de mensen van wie gegevens worden verwerkt) niet onevenredig in verhouding tot dit doel?;
  • Een beoordeling van de privacyrisico’s voor de betrokkenen;
  • De beoogde maatregelen om (i) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (ii) aan te tonen dat aan de AVG is voldaan.

Hoewel deze vier onderdelen vereist zijn voor een DPIA, zijn er geen nadere vereisten opgesteld met betrekking tot de exacte vorm en structuur. Een DPIA dient als een beoordeling van alle risico’s en als een instrument voor de aanpak van die risico’s. Het is echter aan iedere verantwoordelijke zelf om te bepalen hoe zij een DPIA nader invult, waarbij aansluiting gezocht kan worden bij de criteria van de WP29.

WP29 – Criteria voor een aanvaardbare DPIA

De WP29 heeft in haar richtlijnen een aantal breed geformuleerde criteria opgesteld die verantwoordelijken als uitgangspunt kunnen nemen bij het opstellen van een DPIA.   

De systematische beschrijving van de beoogde verwerkingen bevat:

  1. een beschrijving van de persoonsgegevens, de ontvangers en de periode waarover  persoonsgegevens worden opgeslagen;
  2. een functionele omschrijving van het verwerkingsproces;
  3. een identificatie van de bronnen waarin persoonsgegevens zijn opgenomen, zoals hardware, software en netwerken. Ook de personen die beschikken over de persoonsgegevens kunnen worden geïdentificeerd; 

De beoordeling van de noodzakelijk en proportionaliteit bevat:

  1. maatregelen die bijdragen aan de noodzakelijkheid en proportionaliteit van de verwerking, op basis van:
  • een gespecificeerde, duidelijke en gerechtvaardigde omschrijving van het doel;
  • een beschreven gerechtvaardigd belang;
  • een beperkte opslagduur;
  • voldoende en relevante persoonsgegevens, maar niet meer persoonsgegevens dan strikt noodzakelijk.

2. maatregelen die bijdragen aan de rechten van betrokkenen, zoals het recht op toegang tot en overdacht van persoonsgegevens. Verder kunnen maatregelen worden opgenomen met betrekking tot het recht om persoonsgegevens te rectificeren, wissen en beperken. Ten slotte kunnen garanties worden opgenomen ten aanzien van verwerkingen die over de grens gaan.

De beoordeling van de privacyrisico’s voor de betrokkenen bevat:

  1. een beschrijving van de risicobronnen per risico. Een risico kan bestaan uit  onrechtmatige toegang tot persoonsgegevens, ongewenste wijzingen van persoonsgegevens en ongewenste verdwijningen van persoonsgegevens;
  2. een identificatie van potentiële gevolgen voor de rechten en vrijheden van de betrokkenen in geval van onrechtmatige toegang tot en ongewenste wijzigingen en verdwijningen van persoonsgegevens;
  3. een identificatie van dreigingen die kunnen leiden tot onrechtmatige toegang tot en  ongewenste wijzigingen en verdwijningen van persoonsgegevens;
  4. een schatting van de waarschijnlijkheid en ernst van de risico’s;
  5. maatregelen om deze risico’s tegen te gaan.

Door middel van deze criteria tracht de WP29 meer licht te werpen op hoe organisaties zich kunnen voorbereiden op de implementatie van DPIA’s in hun bedrijfsvoering. Desondanks zal het voor organisaties lastig blijven om in te schatten wanneer een DPIA inhoudelijk goed vormgeeft en voldoet aan de in de AVG opgestelde vier vereisten.

DPIA extra last voor organisaties?

Gelet op de nieuwe guidelines van WP29 kunnen we wel stellen dat de verplichting een DPIA te doen voor verwerkingen die een hoog privacyrisico hebben - waarbij expliciet is bepaald dat een DPIA in ieder geval is vereist bij systematische en uitgebreide profilering voor geautomatiseerde individuele besluitvorming en grootschalige verwerking van bijzondere gegevens - een extra last is bovenop de registerplicht waar bedrijven al mee te maken krijgen. Op grond van artikel 30 AVG zijn organisaties namelijk al verplicht om de belangrijkste eigenschappen van hun verwerkingen van persoonsgegevens te documenteren. Deze documentatieplicht is voor veel organisaties al een hele horde die ze moeten nemen en daarbij komt dan in veel gevallen ook nog een DPIA bij. Mocht u naar aanleiding van dit onderwerp nog vragen hebben, neem dan contact op met ons.

Ady van Nieuwenhuizen, advocaat privacyrecht
Nick van de Vathorst, advocaat privacyrecht

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.