Wanneer is een Data Protection Impact Assessment (DPIA) vereist?

Begin deze maand heeft de Artikel 29 Werkgroep (WP29) richtlijnen gepubliceerd, waarmee getracht wordt nadere invulling te gegeven aan het begrip Data Protection Impact Assessment (DPIA). Deze richtlijnen zijn de 4e in een reeks van guidelines die door de WP29 zijn (en worden) gepubliceerd om meer guidance aan de nieuwe privacyverordening te geven.  Over de eerdere richtlijnen hebben wij al uitvoerig bericht.

De richtlijnen over de DPIA geven (i) criteria om te kunnen beoordelen wanneer een DPIA dient te worden opgesteld en (ii) de eisen waaraan een DPIA moet voldoen. In deze blog l zal het eerste onderdeel worden besproken: wanneer is een DPIA vereist? Het tweede onderdeel (waar moet een DPIA aan voldoen?) zal in een volgende bijdrage op deze website aan de orde komen.

Wat zegt de Algemene Verordening Gegevensbescherming?

Op grond van de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties een DPIA op te stellen als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is in ieder geval altijd verplicht als:

  • Er een systematische en uitgebreide beoordeling plaatsvindt van persoonlijke aspecten van natuurlijk personen en er op grond daarvan beslissingen worden genomen die rechtsgevolgen kunnen hebben voor die natuurlijke personen. Daarbij moet gedacht worden aan profiling;
  • Er een grootschalige verwerking van bijzondere persoonsgegevens plaatsvindt;
  • Openbaar toegankelijke ruimten op stelselmatige en grootschalige wijze worden gemonitord.

Buiten deze drie situaties worden er in de AVG geen voorbeelden gegeven van verwerkingen die waarschijnlijk een hoog privacyrisico opleveren en dus een DPIA vereisen.

WP29: criteria vaststellen waarschijnlijkheid verhoogd privacy risico 

In de richtlijnen van WP29 worden criteria gegeven aan de hand waarvan het verhoogde privacy risico van een verwerking kan worden vastgesteld en kan worden beoordeeld of een DPIA wel of niet vereist is.

Daarbij worden de volgende criteria genoemd:

  • Beoordelen en waarderen van gegevens, waaronder profilen;
  • De verwerking is erop gericht geautomatiseerde besluiten met een rechtsgevolg of met een significant effect te nemen;
  • Systematisch monitoren van individuen;
  • Verwerking van bijzondere persoonsgegevens;
  • Grootschalige verwerking (WP29 geeft in de richtlijnen nadere invulling aan dit begrip);
  • Datasets zijn samengevoegd of gekoppeld, waarbij bijvoorbeeld data wordt verwerkt die voor verschillende doeleinden zijn verzameld;
  • De gegevens hebben betrekking op kwetsbare personen;
  • Er wordt op innovatieve wijze gebruikgemaakt van technische of organisatorische oplossingen, zoals het gebruik van een vingerafdruk of gezichtsherkenning voor de fysieke toegang tot een gebouw;
  • De gegevens passeren de grenzen van de EU (uitwisseling van gegevens naar een land buiten de EU);
  • De betrokkene wordt door de verwerking verhinderd een recht uit te oefenen of een service of contract te gebruiken. Hierbij kan gedacht worden aan een bank die via een kredietdatabase beoordeelt of de klant in aanmerking komt voor een lening.

Hoe meer criteria van toepassing zijn, hoe waarschijnlijker het is dat de verwerking een verhoogd privacy risico heeft voor de betrokkene en een DPIA vereist is. Volgens de WP29 kan als vuistregel worden aangenomen dat in het geval zich twee of meer van deze voornoemde criteria voordoen, er een verhoogd privacy risico bestaat en een DPIA dus vereist is. In sommige gevallen, indien de verwerking dermate vergaand is, kan dit ook het geval zijn indien er slechts aan één criterium wordt voldaan.

Indien  zich twee of meer criteria voordoen en een bedrijf besluit geen DPIA op te stellen, dan zal het bedrijf volgens de WP29 de redenen hiervoor nauwkeurig moeten vastleggen.

Autoriteit Persoonsgegevens

Bij het formuleren van de bovengenoemde criteria is rekening gehouden met de input van verschillende bedrijven en organisaties. De richtlijnen, zoals zij nu gepubliceerd zijn, kunnen nog door de Autoriteit Persoonsgegevens worden aangevuld om ze zo goed mogelijk aan te laten sluiten op de Nederlandse markt.

Binnenkort zal de Autoriteit Persoonsgegevens met een eigen lijst komen waarop de verschillende verwerkingen worden weergegeven waarvoor een DPIA vereist zal zijn. Daarbij zal de Autoriteit Persoonsgegevens hoogstwaarschijnlijk rekening houden met de bovengenoemde criteria.

Ady van Nieuwenhuizen, advocaat privacyrecht
Cátia Silva Santos, advocaat privacyrecht

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.