In de AVG wordt gesproken over een gegevensbeschermingseffectbeoordeling, oftewel de data protection impact assessment (DPIA). Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een DPIA. Andere organisaties hoeven niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt).
De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van 9 criteria opgesteld om te bepalen of een DPIA uitgevoerd dient te worden. De vuistregel is dat een DPIA uitgevoerd moet worden als een verwerking aan 2 of meer van de onderstaande 9 criteria voldoet:
a. Beoordelen van mensen op basis van persoonskenmerken
Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt;
b. Geautomatiseerde beslissingen.
Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium. In de aankomende WP29-guidelines over profiling volgt hierover meer uitleg.
c. Stelselmatige en grootschalige monitoring
Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.
d. Gevoelige gegevens
Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.
e. Grootschalige gegevensverwerkingen
De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. WP29 adviseert om met de volgende criteria te bepalen of hiervan sprake is:
- De hoeveelheid mensen van wie gegevens worden verwerkt;
- De hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
- De tijdsduur van de gegevensverwerking;
- De geografische reikwijdte van de gegevensverwerking.
f. Gekoppelde databases
Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.
g. Gegevens over kwetsbare personen
Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.
h. Gebruik van nieuwe technologieën
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacyrisico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en te verhelpen. Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.
i. Blokkering van een recht, dienst of contract
Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
- Een recht niet kunnen uitoefenen of;
- Een dienst niet kunnen gebruiken of;
- Een contract niet kunnen afsluiten.
Hoe zit dat nu met bestaande verwerkingen? Geldt daar dezelfde verplichting voor?
Een organisatie hoeft onder de AVG geen DPIA uit te voeren voor een bestaande verwerking wanneer:
- De organisatie voor deze verwerking al eens een voorafgaand onderzoek door de AP heeft laten uitvoeren; èn
- Wanneer de verwerking in de tussentijd niet wezenlijk is veranderd waardoor het risico hoog is.
Wel is het aan te raden om periodiek een DPIA uit te voeren voor bestaande verwerkingen, bijvoorbeeld een keer per drie jaar, wanneer:
- Een verwerking verandert, bijvoorbeeld als de organisatie een nieuwe technologie gaat gebruiken. Of als zij persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert de gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn;
- Het privacyrisico van een verwerking verandert, bijvoorbeeld omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel, waardoor nieuwe kwetsbaarheden kunnen ontstaan;
- De organisatie- of maatschappelijke context verandert, bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden of omdat er nieuwe categorieën mensen gediscrimineerd worden.