Skip to main content

Tot 25 mei 2018 hebben alle organisaties in zowel de publieke als de private sector de tijd om hun bedrijfsvoering in overeenstemming te brengen met de Algemene Verordening Gegevensbescherming (AVG). De AVG verplicht organisaties die persoonsgegevens verwerken onder bepaalde omstandigheden een Data Protection Impact Assessment (DPIA) uit te voeren (in het Nederlands ook wel gegevensbeschermingseffectbeoordeling genoemd). Een DPIA is een (verplicht) hulpinstrument dat ertoe verplicht om voorafgaand aan een bepaalde gegevensverwerking na te denken over privacyrisico’s van die gegevensverwerking en de wijze waarop deze privacyrisico’s kunnen worden verkleind.

Een Data Protection Impact Assessment is niet geheel nieuw. Zo is momenteel een DPIA bijvoorbeeld al verplicht voor de Rijksoverheid en wordt het door sommige bedrijven al vrijwillig ingezet. Toch is de brede verplichtstelling nieuw en zal het voor de meeste organisaties een onbekend instrument zijn. Het uitvoeren van een DPIA kan voor organisaties kostenvoordelen met zich meebrengen. Doordat organisaties door het verplicht uitvoeren van een DPIA in een vroegtijdig stadium inzicht krijgen in de belangrijkste privacyrisico’s, kan dit kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project voorkomen.

In welke gevallen moet een DPIA worden uitgevoerd?
Volgens de AVG dient de verwerkingsverantwoordelijke (degene die bepaalt dat er gegevens verwerkt worden, met welk doel en met welke middelen) vóór de gegevensverwerking een DPIA uit te voeren wanneer de verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen (natuurlijke personen). In de AVG worden verschillende situaties genoemd waarin de verwerkingsverantwoordelijke vanaf 25 mei 2018 in ieder geval verplicht wordt een DPIA uit te voeren:

  • wanneer sprake is van een systematische en uitvoerige beoordeling van persoonlijke aspecten van personen (bijvoorbeeld economische situatie, verblijfplaats en gezondheid) en daaraan rechtsgevolgen worden verbonden;
  • wanneer op grote schaal bijzondere persoonsgegevens worden verwerkt, zoals gegevens over de gezondheid, het ras of de etnische afkomst, voor het bieden van bijvoorbeeld gezondheidszorg;
  • wanneer op grote schaal en systematisch mensen worden gemonitord in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht);
  • wanneer er sprake is van verwerking van grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens.

Hoe moet een DPIA worden uitgevoerd?
Wanneer op grond van het voorgaande blijkt dat men verplicht is een DPIA uit te voeren dan moet dit gedaan worden vóórafgaand aan de verwerking van de persoonsgegevens. De DPIA dient op grond van de AVG ten minste het volgende te bevatten:

  • een algemene beschrijving van de beoogde verwerkingen;
  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • de maatregelen die worden beoogd om de risico’s te beperken;
  • de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen.

Raadpleging Autoriteit Persoonsgegevens
Wanneer uit de DPIA blijkt dat een bepaalde verwerking van persoonsgegevens vanwege hun aard, omvang of doel waarschijnlijk grote specifieke risico’s met zich meebrengt dan moet de verwerkingsverantwoordelijke, voordat wordt overgegaan tot de gegevensverwerking, de Autoriteit Persoonsgegevens (AP) raadplegen. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Als dat zo is, dan ontvangt men een schriftelijk voorstel van de AP om alsnog aan de AVG te voldoen.

Indien u vragen heeft over de verplichtingen die de AVG u oplegt, zoals de het uitvoeren van een Data Protection Impact Assessment, neem dan contact op met ons team privacy.