In januari van dit jaar kreeg een creditcardbedrijf een boete van €150.000,- opgelegd door de Autoriteit Persoonsgegevens (hierna: ‘de AP’). De reden? Ze gebruikten op grote schaal persoonsgegevens van klanten zonder voorafgaand een wettelijk verplichte Data Protection Impact Assessment (hierna ‘DPIA”) uit te voeren.
Het is de verantwoordelijkheid van de organisatie die verwerkingsverantwoordelijk is om een DPIA uit te voeren als verwerkingen van persoonsgegevens een hoog privacy risico met zich mee brengen. Een DPIA biedt de organisatie de mogelijkheid om tijdig maatregelen te treffen om geïdentificeerde privacy risico’s te verminderen.
Wat is een DPIA?
Een DPIA staat voor een Data Protection Impact Assessment, oftewel: Gegevensbeschermingseffectbeoordeling. Een DPIA is een instrument om privacy risico’s van verwerkingen van persoonsgegevens in kaart te brengen. Hoewel het de verwerkingsverantwoordelijke is die eventueel verplicht een DPIA moet uitvoeren, kan het betrekken van een verwerker hierbij nodig zijn. Dit is het geval indien bij de verwerking een belangrijk (deel van een) proces uit wordt besteed aan een leverancier, die bij de uitvoering van deze opdracht persoonsgegevens gaat verwerken.
Minimale vereisten van een DPIA
Op grond van artikel 35 lid 7 van de Algemene Verordening Gegevensbescherming (hierna de ‘AVG’) moet een DPIA ten minste bevatten:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden waaronder de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen en
- de beheersmaatregelen om de risico’s aan te pakken, zoals veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen.
Wanneer is een DPIA verplicht?
Ook kleinere organisaties kunnen onder de AVG verplicht zijn om een DPIA uit te voeren. De vraag of een organisatie daadwerkelijk verplicht is een DPIA uit te voeren, kan worden achterhaald aan de hand van 4 stappen.
- De tekst van artikel 35 lid 1 van de AVG. Dit artikel vereist dat een DPIA wordt uitgevoerd vóórdat een verwerking plaatsvindt die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Het gaat primair om de privacy risico’s voor betrokkenen. Denk dan bijvoorbeeld het systematisch en uitgebreid beoordelen van persoonlijke aspecten van mensen, op basis van geautomatiseerde verwerking van persoonsgegevens, zoals bijvoorbeeld creditscoring. In een DPIA wordt gekeken naar de effecten op de natuurlijke personen, en niet op de organisatie zelf. Bovendien is een DPIA verplicht wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, of strafrechtelijke gegevens verwerkt. Daarnaast is het uitvoeren van een DPIA vereist wanneer de organisatie op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, zoals bijvoorbeeld met cameratoezicht. Indien sprake is van één van de drie elementen uit dit artikel, is een DPIA verplicht.
- Het (niet-uitputtende) overzicht van de AP: hierin staat soorten verwerkingen waarbij organisaties verplicht zijn een DPIA uit te voeren. Denk bijvoorbeeld aan biometrische gegevens, fraudebestrijding, zwarte lijsten, locatiegegevens etc. De vuistregel is dat indien er sprake is van twee gevallen zoals op de lijst, dat een DPIA verplicht is.
- De 9 criteria van de WP29: de Artikel 29-werkgroep (voor de bescherming van personen in verband met de verwerking van persoonsgegevens) is inmiddels vervangen voor de EDPB*. Maar de WP29 heeft ook een lijst opgesteld voor het verplicht uitvoeren van een DPIA, zoals: geautomatiseerde beslissingen, gevoelige gegevens, gebruik van nieuwe technologieën etc.
- De zelfstandige beoordeling van een privacy jurist of privacy expert: Echter, er zijn nóg meer situaties waarin de DPIA-plicht geldt. Bedenk ook dat, hoewel een DPIA misschien niet verplicht is binnen uw organisatie, er nog steeds redenen kunnen bestaan om een DPIA uit te voeren.
Het vaststellen of een DPIA verplicht is, is geen eenvoudige taak. Daarom is het verstandig om een expert in te schakelen om hierbij te helpen. Een gekwalificeerde professional kan helpen bij het identificeren van de DPIA-noodzaak en bij het correct uitvoeren ervan. Dit om potentiële risico’s te minimaliseren.
Is een DPIA een eenmalige actie?
Kort en goed is het uitvoeren een DPIA zeker geen eenmalige actie. Het is een continu proces, waarbij het essentieel is dat u in de gaten houdt of uw gegevensverwerking en de daarbij behorende risico’s veranderen. In gevallen waarin u nieuwe technologie wilt implementeren of persoonsgegevens voor andere doeleinden wilt gebruiken, kan het noodzakelijk zijn om een DPIA uit te voeren of te herzien. De European Data Board Protection* (de ‘EDPB’) heeft gesteld dat een DPIA minstens eens in de 3 jaar moet worden geëvalueerd.
Maar… laat eerst een “pre-DPIA” uitvoeren op al uw verwerkingen!
Een pre-DPIA is een noodzakelijke stap voorafgaand aan de daadwerkelijke DPIA, om te bepalen óf een DPIA vereist is, en zo ja, wat de scope van deze DPIA moet zijn.
De pre-DPIA is een proces waarbij een organisatie de criteria van de wettelijke plicht tot een DPIA langsloopt. Dat komt neer op een inventarisatie en een eerste analyse van de gegevensverwerkingen. Een aantal aspecten die worden meegewogen in een pre-DPIA zijn: de aard, omvang, context en doeleinden van de verwerking, de mogelijke risico’s voor de rechten van vrijheden van betrokkenen, en een beschrijving van welke categorie(-ën) van betrokkenen persoonsgegevens worden verwerkt. De genoemde aspecten zijn niet uitputtend.
Een AVG volwassen organisatie heeft een pré-DPIA gedaan op al haar verwerkingen die staat opgetekend in het verwerkersregister.
Consequenties bij het niet uitvoeren van een verplichte DPIA
Uit een pre-DPIA kan de conclusie volgen dat er voor de organisatie toch verplicht is een DPIA uit te (laten) voeren. Als een organisatie ten onrechte geen DPIA uitvoert terwijl dit wel verplicht is, en er ook géén pré- DPIA is gedaan, kunnen er verschillende consequenties bestaan. Dit kan onder meer leiden tot:
- Handhavingsmaatregelen: De AP kan tevens de pré-DPIA opvragen bij een organisatie. Als deze ontbreekt, kan de AP een boete opleggen.
- Boetes: De AP kan boetes opleggen aan de verwerkingsverantwoordelijke voor het naleven van de AVG- vereisten. Zoals eerder vermeld, kunnen deze boetes hoog oplopen. Volgens het boetebeleid van de AP bedraagt de basisboete voor het niet uitvoeren van een verplichte DPIA € 310.000,-. Een fikse boete dus.
- Reputatieschade: Een organisatie die een maatregel of boete door de AP krijgt opgelegd, zal in de media verschijnen. Dit zorgt weer voor reputatieschade.
- Juridische aansprakelijkheid: het niet uitvoeren van een verplichte DPIA kan de juridische positie van de verwerkingsverantwoordelijke partij verzwakken. Immers betrokkenen wiens privacy rechten zijn geschonden kunnen juridische claims of procedures indienen.
Algemene DPIA tips
- Trek (bij twijfel) op tijd aan de bel bij een gespecialiseerde privacy jurist. Deze kunt u assisteren bij het uitvoeren van een pre-DPIA en/of een DPIA.
- Start de DPIA in de ontwerpfase van een nieuw product, dienst, platform, software of ander project de gegevensverwerking (zo vroeg mogelijk). Op deze manier kunt u makkelijker voldoen aan de wettelijke vereiste principes van “privacy by design”* en “privacy by default”*.
- Pas de DPIA eventueel tussentijds aan bij gewijzigde of nieuwe gegevensverwerkingen, privacy risico’s of context van de verwerking. Het blijven updaten van een DPIA is een continu proces.
- Zorg er voor dat u periodiek nagaat of er aanpassingen moeten worden gemaakt in de DPIA. Eens in het jaar bijvoorbeeld.
Hulp nodig?
Mocht u advies of hulp nodig hebben bij de pré-DPIA kwalificatie of u verplicht bent een DPIA uit te voeren, of als u daarbij hulp nodig hebt, schroom dan niet om ons te contacteren via 020-345 0152 of info@thelegalcompany.nl
* “De EPDB is een onafhankelijk Europees orgaan. Het is de overkoepelende organisatie waarin de nationale toezichthouders van de landen in de Europese Economische Ruimte (EER) en de Europese Toezichthouder voor gegevensbescherming (EDPS) samenwerken.” Zie: https://www.edpb.europa.eu/about-edpb/who-we-are/european-data-protection-board.
*Privacy by design is een begrip dat inhoudt dat vanaf het begin van een nieuw programma/project privacy maatregelen worden getroffen in het designproces daarvan. Dat kan bijvoorbeeld inhouden dat er goede beveiligingssystemen worden onderhouden, of dat persoonsgegevens automatisch worden gepseudonimiseerd.
*Privacy by default is een begrip dat het beginsel van ‘minimale gegevensverwerking’ nastreeft. Er moeten maatregelen worden getroffen om te zorgen dat er zo min mogelijk persoonsgegevens worden verzameld, dat deze gegevens niet verder worden verwerkt dan noodzakelijk, en dat deze persoonsgegevens niet langer worden bewaard dan nodig is. Tevens is het belangrijk dat persoonsgegevens niet voor een onbeperkt aantal personen toegankelijk worden gemaakt.