De DPIA-reeks II: Wanneer een DPIA?

Sinds het invoeren van de AVG in 2018 is de beveiliging van persoonsgegevens een actueler thema dan ooit. Gemeenten en andere (overheids)organisaties verwerken persoonsgegevens op grote schaal en zijn dus kwetsbaar voor datalekken en andere beveiligingsrisico’s. Preventie en beheersing van privacyrisico’s is bij deze organisaties cruciaal. Hier krijgen wij, als adviseurs van KBenP Digitale Overheid, steeds vaker mee te maken. Om in de kennisbehoefte te voorzien, hebben wij een handreiking geschreven om DPIA-uitvoeringen te ondersteunen. In deze reeks zullen wij wekelijks een fragment uit dit handboek publiceren. Vandaag deel 2 van de reeks: Wanneer moet een DPIA uitgevoerd worden?

Wil je liever het hele handboek lezen? Doe dan een aanvraag tot downloaden via het kopje ‘Downloads’. Liever in persoon een keer overleggen over DPIA’s? Stuur dan een bericht naar klaske.schep@kbenp.nl.

Wanneer moet een DPIA uitgevoerd worden?

In de regel voer je een DPIA uit wanneer in een verandering in de gegevensverwerking plaatsvindt. De AP geeft aan dat een DPIA is alleen verplicht als de gegevensverwerking in een bepaald proces waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie binnen dit proces de gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt. (Voorbeelden van bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging is een bijzonder persoonsgegevens.);
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Als vuistregel wordt gehanteerd dat een DPIA uitgevoerd moet worden wanneer aan minimaal 2 van bovenstaande punten is voldaan.

De AP heeft daarnaast een lijst van concrete verwerkingen opgesteld waarvoor het uitvoeren van een DPIA altijd verplicht is voor het verwerken begint. Deze lijst is niet uitputtend en geldt als een basis. Hieronder een greep van situaties:

  • Heimelijk onderzoek: Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens waarbij informatie wordt verzameld met onderzoek, zonder de betrokkene daarvan vooraf op de hoogte te stellen. Bijvoorbeeld: onderzoek voor fraudebestrijding en onderzoek op internet voor bijvoorbeeld online handhaving van auteursrechten.
  • Zwarte lijsten: Verwerkingen waarbij persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door organisaties of particulieren wordt verwerkt en gedeeld met derden.
  • Fraudebestrijding: Grootschalige verwerkingen en/of stelselmatige monitoring van (bijzondere) persoonsgegevens voor fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.
  • Creditscores: Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.

De Europese privacytoezichthouders hebben daarnaast 9 criteria opgesteld aan de hand waarvan je kunt beoordelen of een bepaalde gegevensverwerking een hoog privacyrisico oplevert. Deze lijst wordt door organisaties gebruikt als extra check.

  • Beoordelen van mensen op basis van persoonskenmerken
    • Bijvoorbeeld door banken die de kredietwaardigheid van persoonsgegevens bepalen
  • Geautomatiseerde beslissingen
  • Stelselmatige en grootschalige monitoring
    • Bijvoorbeeld de monitoring van openbare ruimte
  • Gevoelige gegevens
    • Bijvoorbeeld politieke voorkeur
  • Grootschalige gegevensverwerking, criteria die hiervoor kunnen worden gebruikt zijn:
    • De hoeveelheid in gegevens en personen, duur en geografische reikwijdte van de persoonsgegevens.
  • Gekoppelde databases
  • Gegevens over kwetsbare personen
  • Gebruik van nieuwe technologieën
  • Blokkering van recht, dienst of contract

Moet je ook op een bestaande gegevenswerking een DPIA uitvoeren, als dit nog niet gebeurd is?

Ja, dat kan, wanneer er iets verandert aan het risico van de gegevensverwerking en wanneer de gegevensverwerking na de verandering een hoog risico oplevert. Je hoeft echter niet nogmaals een DPIA uit te voeren als van één van de volgende situaties sprake is:

  • De gegevensverwerking levert geen hoog privacyrisico op;
  • Of deze verwerking is al eens door de AP onderzocht en de verwerking is in de tussentijd niet veranderd;
  • Of de risico’s van de verwerking zijn niet veranderd.

Wanneer moet je dan wel (opnieuw) een DPIA uitvoeren?

Een DPIA moet uitgevoerd worden bij de start van een vermoedelijke gegevensverwerking of een verandering in de gegevensverwerking:

Een verandering in de verwerking

Dit gebeurt bijvoorbeeld als er nieuwe technologie gebruikt wordt, of wanneer de persoonsgegevens voor een ander doel ingezet worden. In deze gevallen kan een DPIA verplicht zijn.

Een verandering in het risico

Dit kan bijvoorbeeld gebeuren wanneer een onderdeel van het verwerkingsproces wijzigt, bijvoorbeeld als gevolg van technologische ontwikkelingen.

Een verandering in de omgeving

Soms verandert de context van de organisatie of de maatschappelijke context. Er kunnen zo bijvoorbeeld nieuwe categorien mensen kwetsbaar worden voor discriminatie.

Vanwege bovenstaande redenen kan het verstandig zijn om periodiek, bijvoorbeeld eens per drie jaar, in ieder geval een DPIA op de processen uit te voeren.

Deel dit bericht:

Facebook
LinkedIn

Geef een reactie

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.