Nut en noodzaak van analyse gegevensbescherming (DPIA)
Wat is een DPIA?
DPIA staat voor Data protection impact assessment oftewel: gegevensbeschermingseffectbeoordeling. Het is een risicoanalyse die moet worden uitgevoerd volgens de Algemene verordening gegevensbescherming (AVG) om mogelijke privacyrisico’s in kaart te brengen. U moet weten of en hoe privacygevoelige informatie van uw betrokkenen (werknemers, klanten, leveranciers en alle andere derde partijen waar u zaken mee doet) worden verwerkt, waar en hoelang deze gegevens worden bewaard, enz. U bent als verwerkingsverantwoordelijke onder de AVG verantwoordelijk voor de privacy van alle betrokkenen en dit dient u goed te waarborgen. Brengt u vooraf de risico’s goed in kaart, dan kunt u vooraf ook bijsturen op de risico’s. U kunt deze verkleinen of helemaal laten verdwijnen.
Voor meer informatie over DPIA, ga naar https://www.tipsenadvies.nl , Download Zone, jaargang 32, nr. 2.
Wanneer is een DPIA verplicht? Een DPIA is verplicht als er sprake is van een hoogrisicoverwerking onder de AVG (art. 35 AVG) . De AVG noemt enkele voorbeelden van hoogrisicoverwerkingen:
- grootschalige besluiten gebaseerd op geautomatiseerde verwerkingen van persoonsgegevens, zoals profiling;
- grootschalige verwerkingen van bijzondere persoonsgegevens (bijv. in de zorg);
- het stelselmatige en grootschalige monitoring van openbare ruimten, denk aan cameratoezicht.
Lijst. De Autoriteit Persoonsgegevens (AP) heeft daarnaast nog een lijst opgesteld van soorten verwerkingen die ook een hoog risico kunnen vormen ( https://www.autoriteitpersoonsgegevens.nl/documenten/lijst-verplichte-dpia ). Wanneer u bijv. een ander ERP-systeem gaat invoeren waarin u veel persoonsgegevens gaat verwerken, dan bent u verplicht om vooraf een DPIA uit te voeren.
Wat als u dit niet doet?
Als u dit niet doet, bent u boeteplichtig onder de AVG. De standaard boete die in Nederland geldt voor het niet nakomen van een DPIA-verplichting, is € 310.000. De boete kan hoger zijn, doordat andere verplichtingen uit de AVG worden geschonden, terwijl deze waarschijnlijk voorkomen hadden kunnen worden door het vooraf uitvoeren van een DPIA. Begin dit jaar heeft de AP een boete opgelegd aan ICS, de creditcardmaatschappij, van € 150.000 naar aanleiding van klachten van consumenten over een nieuw identificatie- en verificatieproces. Het proces op zich was in lijn met de financiële wetgeving, maar het ging wel om grootschalige verwerking van gevoelige persoonsgegevens (foto’s vergelijken met kopieën van identiteitsbewijzen). Dit is nu precies zo’n proces waarop ICS vooraf een DPIA had moeten uitvoeren. Als de gegevens bijv. in verkeerde handen waren gevallen, was er kans op identiteitsfraude.
Hoe een DPIA uit te voeren?
Het is verstandig te beginnen met een pre-DPIA, een lichte versie van een volledige DPIA, om te beoordelen of er sprake is van een hoog risico. Een (pre-)DPIA moet vooraf aan het invoeren van een nieuw proces gedaan worden. Zo moet er schriftelijk worden vastgelegd wat de verwerking inhoudt, of er wordt voldaan aan de criteria van hoogrisicoverwerking, en zo ja, waarom deze verwerking nodig is, of deze proportioneel is, wat de risico’s zijn en wat de maatregelen zijn om de risico’s te minimaliseren.
Maak uw profiel aan om dit advies en vele andere adviezen te kunnen ontdekken.