fbpx

Secured by

Winkelmand

Een data protect impact assessment, ook wel de DPIA-scan. Of in mooi Nederlands de gegevensbescherming effectbeoordeling, ook wel de GEB. Wat een woorden! Dit is een vrij lastige beschrijving voor een dusdanig belangrijke scan. In deze blog houden we het op de DPIA-scan en gaan we uitleggen wat deze inhoudt en wanneer je hem wel of niet moet (laten) uitvoeren.

Wat is de DPIA-scan?

Laten we beginnen bij het begin, wat is een DPIA-scan? Door middel van deze scan kunnen de privacyrisico’s van de verwerking van persoonsgegevens in kaart worden gebracht.

Een klein stapje terug, want wat waren die persoonsgegevens ook alweer? Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een bestaand persoon.

Wanneer deze risico’s vooraf bekend zijn kunnen er tijdens de verwerking maatregelen getroffen worden om dit risico te verkleinen. De Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) hebben deze scan verplicht wanneer de voorgenomen verwerking waarschijnlijk een hoog risico oplevert voor de mensen van de gegevens.

Uitvoering DPIA’s

De uitvoering van DPIA’s is vormvrij zolang er aan een aantal basisvereisten wordt voldaan:

  • Je moet beschrijven hoe de persoonsgegevens verwerkt worden, en waarom het op deze manier gebeurt;
  • Je moet beschrijven waarom dit noodzakelijk is en of het proportioneel is. Hierbij moet je ook meteen de privacyrisico’s voor de persoon duidelijk maken;
  • Je moet beschrijven of de risico’s proportioneel zijn tegenover het te bereiken doel.
  • Beschrijf de voorgenomen maatregelen om de risico’s in te perken en om aan te tonen dat er aan de AVG wordt voldaan.

Wanneer de risico’s niet goed in te perken zijn moet je de Autoriteit Persoonsgegevens (AP) raadplegen.

Na het uitvoeren ervan weet je:

  • Welke persoonsgegevens je verwerkt;
  • Welke beschermende maatregelen je al hebt genomen;
  • Wat de impact is op zowel de betrokkenen als de organisatie;
  • Welke verbeteringen je kunt doorvoeren.

Wanneer wel en wanneer niet?

Wanneer de DPIA verplicht is en wanneer niet is helaas nog niet zo zwart wit. De scan moet worden uitgevoerd wanneer er waarschijnlijk een hoog privacy risico bestaat bij het verwerken van de persoonsgegevens. Op de vraag of het risico van de verwerking waarschijnlijk hoog is moet je zelf beslissen als verwerker. Dat kan natuurlijk best lastig zijn.

Gelukkig zijn er wel een aantal handvatten die jou helpen bij deze afweging.

Zo zorgt de AVG voor een korte lijst met drie gevallen waarin je verplicht bent een DPIA-scan uit te voeren, de AP biedt een lange lijst met wel 17 gevallen en de Europese privacy toezichthouders die voor 9 criteria zorgen waaraan je kunt testen of jouw verwerking waarschijnlijk een hoog risico vormt.

Maar let op, dit zijn slechts een aantal gevallen en criteria wanneer het in ieder geval verplicht is, het kan dus zijn dat jij verplicht bent om een DPIA-scan uit te voeren maar dat jouw verwerking niet op een van deze lijsten staat.

Je moet natuurlijk altijd voldoen aan alle AVG-wetgeving, meer hierover lees je in onze blog “De AVG, wat moet ik er mee”. Maar voor het wel of niet verplicht uit moeten voeren van de DPIA heeft de AVG drie situaties geschetst wanneer deze in ieder geval verplicht is.

  1. Wanneer een organisatie systematisch en uitgebreid persoonlijke aspecten gebaseerd op geautomatiseerde verwerking, hieronder valt dus profiling, en daarop besluiten baseert die gevolgen hebben voor de betrokkenen.
  2.  Wanneer een organisatie bijzondere persoonsgegevens verwerkt, of in het bijzonder strafrechtelijke gegevens.
  3. Wanneer een organisatie op grote schaal en systematisch mensen via bijvoorbeeld cameratoezicht volgt op publieke locaties.

AP lijst verplichte uitvoering

De lange lijst van de Autoriteit Persoonsgegevens met in welke gevallen je verplicht bent om een DPIA-scan uit te voeren is te lang om hier helemaal te bespreken. Ook de Europese toezichthouders hebben 9 criteria opgesteld om te beoordelen of jouw voorgenomen verwerking van persoonsgegevens een hoog risico oplevert. Als het een hoog risico oplevert voor de betrokken personen moet je ook een DPIA uitvoeren. Voor de precieze lijsten sturen we je graag door naar de sites van autoriteit persoonsgegevens en Europese toezichthouders.

Het is dus allemaal vrij ingewikkeld hoe en wanneer je een DPIA-scan uit moet voeren. Lex raadt daarom aan om het zekere voor het onzekere te nemen en een DPIA-scan gemakkelijk en goedkoop door Lex uit te laten voeren! Zo weet je zeker hoe het zit! Check hem hier 👉🏻