Wat is een DPIA?
Een Data Protection Impact Assessment (DPIA), ook wel gegevensbeschermingseffectbeoordeling genoemd, is een instrument om (voorafgaand aan de verwerking van persoonsgegevens) privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat een organisatie passende maatregelen kan nemen om de privacyrisico’s te verkleinen. (1)
Een DPIA is ook een belangrijk instrument om te kunnen aantonen dat de organisatie voldoet aan de verplichtingen van de Algemene verordening gegevensbescherming (AVG).(2) Het is daarbij belangrijk dat je bij het uitvoeren van een DPIA de gevolgde methodiek en de uitkomsten vastlegt in een document. Daarmee kun je aantonen dat je een deugdelijke DPIA hebt uitgevoerd als bijvoorbeeld de Autoriteit Persoonsgegevens (AP) daarom vraagt.
Wat is doel van een DPIA
Een organisatie wil en moet normaliter inzicht hebben in de (privacy)risico’s van haar dataverwerkende processen. Dit is noodzakelijk om de (privacy)belangen van betrokkenen (klanten, cliënten, patiënten, burgers, leerlingen, medewerkers etc.) te kunnen beschermen. Maar ook om haar eigen belangen te waarborgen (denk aan reputatieschade, aantasting van haar relaties met partners door privacyinbreuken). Dit inzicht krijg je alleen door een inventarisatie en risicoanalyse van die processen. Dát is de functie van een DPIA. Daarmee verkrijg je inzicht en grip op de privacyrisico’s van betrokkenen en de organisatie in die processen.(3)
Verplicht bij hoog risico
Daarbij komt nog dat bij processen met hoge privacyrisico’s voor betrokkenen het uitvoeren van een DPIA geen keuze is, maar een wettelijke verplichting. Niet nakoming van de DPIA-verplichting kan leiden tot een boete van de AP van maximaal 10 miljoen euro of maximaal 2% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, waarbij het hoogste bedrag geldt. In de boetebeleidregels van de AP is de basisboete voor het niet uitvoeren van een DPIA (terwijl deze wel verplicht is) € 310.000,-.(4) De Zweedse toezichthouder heeft reeds een eerste boete uitgedeeld voor het niet (goed) uitvoeren van een DPIA.(5)
Voetnoten
(1) Zie ook de richtsnoeren van de WP29 WP 248 van 4 april 2017 (en laatstelijk gewijzigd en vastgesteld op 4 oktober 2017), pagina 4: "Een gegevensbeschermingseffectbeoordeling is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken. Gegevensbeschermingseffectbeoordelingen zijn belangrijke verantwoordingsinstrumenten omdat ze verwerkingsverantwoordelijken niet alleen helpen om aan de eisen van de AVG te voldoen, maar ook om aan te tonen dat passende maatregelen zijn genomen teneinde ervoor te zorgen dat de verordening wordt nageleefd (zie ook artikel 24 AVG)."
(2) Een belangrijk onderscheid tussen van de AVG ten opzichte van en de vervallen Wet bescherming persoonsgegevens, is de documentatieplicht (je moet de wijze waarop je als organisatie invulling geeft aan je AVG verplichtingen vastleggen en documenteren) ofwel de aantoonbaarheidsverplichting: zie art. 5 lid 2 en art. 24 AVG. Dit betreft de ‘compliance’ omtrent de verwerking van persoonsgegevens. Daarnaast geldt de verplichte PDCA (Plan, Do, Check, Act) cyclus: je zult in continuïteit moeten kunnen aantonen dat je voldoet aan de verplichtingen van de AVG. Het is dus geen eenmalige implementatie. Je zult steeds moeten evalueren en waar nodig steeds actualiseren.
(3) In overweging 84 van de AVG staat vermeld dat de verwerkingsverantwoordelijke of verwerker verantwoordelijk is voor het verrichten van een DPIA om met name de oorsprong, de aard, het specifieke karakter en de ernst van de risico’s te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen. Op deze wijze kan worden aangetoond dat bij de verwerking van persoonsgegevens de AVG wordt nageleefd.
(4) Zie: beleidsregels van 19 februari 2019.
(5) De Zweedse autoriteit voor gegevensbescherming (Datainspektionen) heeft in de zomer van 2019 een onderzoek uitgevoerd naar een openbare school. Dit na berichten in de media te hebben ontvangen dat het schoolbestuur, in een pilot situatie voor 22 leerlingen gedurende drie weken, gezichtsherkenningstechnologie had gebruikt om de aanwezigheid van leerlingen in de klas vast te stellen. De school gebruikte de gezichtsherkenningssoftware via een camerasysteem. De bedoeling was om na een geslaagde pilot dit als systeem in te zetten voor de hele school. De school had uitgerekend dat dit een forse besparing zou opleveren. Immers: het klasseboek hoeft niet meer gebruikt te worden. Dat zou 10 minuten per lesuur besparen. In totaal 17.280 uren per jaar.
Ondanks dat voor de pilot de expliciete toestemming was verkregen van de ouders en de deelname aan de pilot niet verplicht was, heeft de Zweedse toezichthouder een boete opgelegd van SEK 200.000 (= +/- € 18.500,-).
Dit is best opmerkelijk en streng: immers het gaat om een pilot, er namen slechts een gering aantal leerlingen aan de pilot deel, er was toestemming verkregen en de duur was kort.