Serie privacy: Beoordeling gegevensbeschermingseffect

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze wet vervangt de Wet bescherming persoonsgegevens (WBP). In deel 4 van een artikelenserie over dit thema gaan we in op de betekenis van de ingewikkelde term ‘gegevensbeschermingseffectbeoordeling’. Wat is het? Wanneer moet u het toepassen?

De nieuwe Algemene Verordening Gegevensbescherming (AVG) brengt verschillende verplichtingen met zich mee.  Bij Valegis Advocaten houden ze een interessante serie bij over wat deze nieuwe privacywetgeving precies inhoudt. In dit geval vertelt Daphne Jerphanion, werkzaam bij Valegis, wat de gegevensbeschermingseffectbeoordeling inhoudt. Dit wordt in het Engels data protection impact assessment genoemd, afgekort DPIA.

Privacygevoelige informatie

Het gaat bij deze maatregel  allemaal om het veilig en verantwoord verwerken van persoonsgegevens. In de kinderopvang beschikken we over privacygevoelige informatie van onze klanten. Met een DPIA kun je de eventuele risico’s van het verwerken van deze persoonsgegevens in kaart brengen en aan de hand van die analyse maatregelen nemen om risico’s aan te pakken.  Daphne Jerphanion zet op een rij wat een DPIA moet inhouden en wanneer je dit proces moet uitvoeren.

Een DPIA bestaat uit:

  • Een beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden
  • Een beoordeling van de noodzaak van de verwerkingen
  • Een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen
  • De beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat aan de AVG is voldaan

Criteria voor risico’s

Hoe bepaal je of de verwerking van persoonsgegevens een hoog risico met zich meebrengt? ‘Dit moet de verantwoordelijke van een organisatie in principe zelf beoordelen. Maar gelukkig, vertelt Jerphanion, is er wel een richtlijn van een Adviesgroep van vertegenwoordigers van de Autoriteit Persoonsgegevens van alle EU-lidstaten. Zij houden aan dat als je op minimaal twee van de negen criteria een ‘ja’  kunt aanvinken je ervan uit kunt gaan dat je een DPIA moet uitvoeren.’

Dit zijn:

  1. Er is sprake van evaluatie of scoretoekenning op basis van de verwerkte persoonsgegevens (bijvoorbeeld kredietwaardigheidsonderzoek door een financiële instelling)
  2. De verwerking is gericht op geautomatiseerde besluitvorming met een rechtsgevolg of vergelijkbaar wezenlijk gevolg voor de betrokkene (bijvoorbeeld profilering die kan leiden tot uitsluiting of discriminatie)
  3. De verwerking wordt gebruikt voor stelselmatige monitoring (bijvoorbeeld cameratoezicht in een openbare ruimte, of het monitoren van surfgedrag op het internet door middel van tracking cookies)
  4. Er worden gevoelige gegevens of gegevens van zeer persoonlijke aard verwerkt (bijvoorbeeld medische dossiers)
  5. Er wordt op grote schaal gegevens verwerkt (waarbij de grootte van het aantal betrokkenen (relatief of absoluut), het volume van gegevens of het bereik van de verschillende soorten gegevens, de duur of het permanente karakter van de verwerking en de geografische omvang van belang zijn)
  6. Er is sprake van matching of samenvoeging van datasets (er wordt een combinatie gemaakt van twee verschillende bestanden van gegevens die voor verschillende doeleinden zijn verzameld)
  7. Het gaat om gegevens van kwetsbare betrokkenen (bijvoorbeeld kinderen, bejaarden, patiënten of geestelijk gehandicapten)
  8. Er is sprake van innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen (er wordt een nieuwe technologie gebruikt die voorheen nog niet beschikbaar was)
  9. Als gevolg van de verwerking zelf kunnen betrokkenen een recht niet uitoefenen of geen beroep doen op een dienst of overeenkomst (bijvoorbeeld weigering van een lening na kredietwaardigheidsonderzoek)

Periodiek evalueren

‘Eigenlijk moet een DPIA al voor de verwerking van gegevens worden uitgevoerd’, aldus Jerphanion. ‘Stel dat er in een latere fase iets verandert aan de verwerking, dan moet opnieuw een DPIA worden uitgevoerd.  Het kan ook noodzakelijk zijn om dit periodiek te doen om te controleren of alles nog goed gaat of dat er zaken verbeterd kunnen worden.’ Zij wijst erop dat de grootte van de organisatie bepalend is in hoe vaak zo’n periodieke evaluatie nodig is. Een kleine organisatie met een klein klantenbestand hoeft niet natuurlijk niet even vaak en intensief te doen al een organisatie met duizenden klanten.

Tot slot: wie voert een DPIA uit? Uiteindelijk is dit een taak van de hoofdverantwoordelijke van een organisatie, denk aan een directeur. Maar dit kan ook worden uitbesteed aan een verwerker of een externe partij.

Lees de volledige uitleg over de DPIA op de website van Valegis Advocaten. Zij houden een mooie serie bij over wat de AVG in de praktijk betekent.


Op Kinderopvangtotaal publiceren we artikelen over wat de nieuwe privacywetgeving inhoudt voor de kinderopvangbranche. Lees hier aflevering 1 over het bewaren en delen van privacygegevens van werknemers. Of bekijk aflevering 3 over De verwerkersovereenkomst


 

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.