Voorbereiding op de nieuwe privacywet AVG | Stap 4: Data protection impact assessment (DPIA)

Bron: Autoriteit Persoonsgegevens

Onder de nieuwe privacywet AVG kun je verplicht zijn een zogeheten Data Protection Impact Assessment uit te voeren. Afgekort wordt dat dan: DPIA en is in de Nederlandse vertaling van het AVG wordt het gegevensbeschermingseffectbeoordeling genoemd.  Dat is heel lang woord voor een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Je moet een DPIA uitvoeren als jouw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Met behulp van negen criteria verderop in deze blog kun je inschatten of je DPIA’s moet uitvoeren en zo ja, hoe je dit dan kan aanpakken.

1. Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling en het maken van prognoses, op basis van kenmerken als: 

  • gezondheid,
  • economische situatie,
  • beroepsprestaties,
  • betrouwbaarheid of gedrag,
  • locatie of verplaatsingen,
  • persoonlijke voorkeuren of interesses.

Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

2. Geautomatiseerde beslissingen

Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd.

Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In een volgende blog over de WP29-guidelines over profiling volgt hierover meer uitleg.

3. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

4. Gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria te bepalen of hiervan sprake is:

  • de hoeveelheid mensen van wie gegevens worden verwerkt;
  • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • de tijdsduur van de gegevensverwerking;
  • de geografische reikwijdte van de gegevensverwerking.

6. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

8. Gebruik van nieuwe technologieën

De AVG is duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s.

De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige Internet of Things-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

9. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:

  • een recht niet kunnen uitoefenen of; 
  • een dienst niet kunnen gebruiken of;
  • een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

Komt straks uit een DPIA naar voren dat jouw beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan is het aan te raden dat je eerst met de Autoriteit Persoonsgegevens gaat overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De Autoriteit Persoonsgegevens beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt je een schriftelijk advies van de Autoriteit Persoonsgegevens.