U bent hier

8.2 AVG en het DPIA

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

inwisselbaar

hoog risico

monitoren

Het PIA heet ook wel een gegevensbeschermingseffectbeoordeling. De benaming voor het PIA is straks onder de AVG Data Protection Impact Assessment (DPIA). U kunt de termen als inwisselbaar beschouwen. In de AVG-wettekst is het volgende over de gegevensbeschermingseffectbeoordeling opgenomen:

  • Als de verwerking van persoonsgegevens – in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt – waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen moet uw organisatie vóór de verwerking een beoordeling uitvoeren. Het gaat daarbij om het effect dat de beoogde verwerkingsactiviteiten hebben op de bescherming van persoonsgegevens. Eén DPIA kan meerdere vergelijkbare verwerkingen bestrijken met vergelijkbare hoge risico’s in. Het DPIA kan dus in bepaalde gevallen verplichte kost zijn.
  • Als er een functionaris voor de gegevensbescherming is aangewezen, wint de organisatie bij het uitvoeren van een DPIA het advies van deze persoon in.
  • Een DPIA is met name vereist in de volgende gevallen:
    • het gaat om een systematische en uitgebreide beoordeling van iemands persoonlijke aspecten. Deze is gebaseerd op een geautomatiseerde verwerking waarop besluiten worden gebaseerd. Aan deze besluiten zijn voor de persoon rechtsgevolgen verbonden of gevolgen die een vergelijkbaar effect op hem hebben;
    • er is sprake van grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Een toelichting hierop is te vinden in artikel 9 en 10 van de AVG;
    • het gaat om het stelselmatig en grootschalig monitoren van openbaar toegankelijke ruimtes.

    Lijsten

    profileren

    De Autoriteit Persoonsgegevens (AP) stelt op termijn een lijst op van het soort verwerkingen waarvoor een DPIA verplicht is, en maakt deze openbaar. De Europese privacytoezichthouders verwachten dat stelselmatig monitoren, geautomatiseerde besluitvorming (zie hoofdstuk 3) en profileren in ieder geval op de lijst komen. De AP kan volgens de wet ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen DPIA is vereist.

    8.2.1 Inhoud DPIA

    grondslag

    belangen

    Een DPIA moet bepaalde onderdelen bevatten om er de juiste conclusies uit te kunnen trekken. Het DPIA bevat daarom ten minste:

    • een beschrijving van de beoogde verwerkingen en de doelen. Hierbij hoort de eventuele grondslag op basis waarvan uw organisatie de gegevens verwerkt;
    • een beoordeling van de noodzaak van de verwerkingen ten opzichte van de doelen;
    • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
    • de beoogde maatregelen om de risico’s aan te pakken, waaronder veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de regels uit de AVG is voldaan. Hierbij moet de organisatie rekening houden met de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen.

    Mening betrokkene

    Bij het DPIA zal de organisatie de personen van wie de gegevens zijn naar hun mening vragen over de voorgenomen verwerking. De bescherming van commerciële belangen, algemene belangen en de beveiliging van verwerkingen neemt de organisatie dan mee.

    Veranderen de omstandigheden tijdens het project, dan is het handig om het DPIA te herhalen om in kaart te brengen of de privacyrisico’s ook meeveranderen.

    Mening verwerker

    Als er een externe partij betrokken is bij het verwerken van de persoonsgegevens, moet deze organisatie uw werkgever ondersteunen bij het uitvoeren van het DPIA. Ook moet deze partij uw organisatie voorzien van alle informatie die nodig is om het DPIA uit te voeren.

    8.2.2 Autoriteit Persoonsgegevens raadplegen

    maatregelen

    Als uit het DPIA blijkt dat de verwerking een hoog risico zou opleveren als de organisatie geen maatregelen neemt om het risico te beperken, kan uw organisatie verplicht zijn om voorafgaand aan de verwerking toezichthouder AP te raadplegen.

    Maatregelen invoeren

    Dat inschakelen van de AP is bijvoorbeeld het geval als het uw organisatie niet lukt om passende technische en organisatorische maatregelen te vinden of in te voeren., die het risico aanzienlijk verkleinen.

    Voorbeeld

    Een voorbeeld is het opslaan van persoonsgegevens op laptops. Dat brengt een groot risico met zich mee, omdat die apparaten relatief makkelijk gestolen kunnen worden. Maatregelen als versleuteling en vergrendeling met een sterk wachtwoord verkleinen het risico op datadiefstal aanzienlijk.

    Maar lukt het niet om de maatregelen op bedrijfslaptops in te voeren, omdat uw werkgever het bijvoorbeeld op technisch of juist op organisatorisch vlak niet voor elkaar krijgt, dan is uw organisatie verplicht om raad te vragen aan de AP.

    Advies

    Als de AP van mening is dat de voorgenomen verwerking inbreuk zou maken op de AVG, zonder het nemen van de juiste maatregelen, geeft de AP binnen uiterlijk acht weken na de ontvangst van het verzoek om raadpleging een schriftelijk advies.

    verlenging

    In sommige gevallen geeft de Autoriteit Persoonsgegevens ook schriftelijk advies aan de partij die de organisatie in de arm heeft genomen om de persoonsgegevens te verwerken.

    De termijn van acht weken kan met zes weken worden verlengd als de voorgenomen verwerking complex of grootschalig is. Bij een verlenging stelt de AP de verantwoordelijke organisatie binnen een maand na ontvangst van het verzoek in kennis van onder meer de redenen voor de vertraging.