Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Het doel van de verordening is een echte Europese gegevensbeschermingscultuur en krachtige handhaving.
De AVG is een belangrijk stuk wetgeving gebleken en staat model voor veel andere jurisdicties. Met de AVG is de privacybescherming van burgers versterkt. De AVG zorgt voor meer transparantie en geeft betrokkenen afdwingbare rechten, zoals het recht op inzage, vergetelheid en overdraagbaarheid. Daarnaast betekent de AVG dat voor organisaties de aantoonbare naleving steeds belangrijker wordt. Zij zien in dat goed omgaan met de privacybelangen van betrokkenen een concurrentievoordeel kan opleveren.
Sinds de inwerkingtreding van de AVG zijn door de diverse Europese toezichthouders diverse boetes opgelegd. Een goed overzicht van de boetes en verdeling in de EU-lidstaten is te lezen in het jaarlijkse rapport van DLA Piper. (1) Italië staat op de eerste plaats met een totaal bedrag aan opgelegde boetes van € 69.328.716,-, gevolgd door Duitsland (€ 69.085.000,-) en Frankrijk (€ 54.436.300,-). Nederland staat met € 2.540.000,- op een achtste plaats.
Nederland staat op de tweede positie als het gaat om het totaal aantal meldingen van datalekken (66.527) sinds de invoering van de AVG. Duitsland staat op nummer één met 77.747 gemelde datalekken. Dit staat in schril contrast met bijvoorbeeld Griekenland met een totaal van 371 gemelde datalekken.
De oorzaken van de datalekken en opgelegde boetes zijn onder meer te vinden in gebrek aan transparantie (schenden van de informatieverplichting), het ontbreken van een rechtmatige grondslag voor de verwerking, het ontbreken van afdoende beveiligingsmaatregelen, niet voldoen aan het beginsel van dataminimalisatie en het overschrijden van bewaartermijnen.
Als het gaat om een verdere analyse dan is het interessant om te constateren dat er veel misgaat bij de rechtmatigheid van de verwerking van persoonsgegevens. Het gaat hierbij om onderwerpen als een goede inventarisatie van de te verwerken persoonsgegevens, een beoordeling van de grondslag en een afweging van de beginselen van de AVG (rechtmatig, behoorlijk en transparant; doelbinding; minimale gegevensverwerking; juistheid; opslagbeperking; integriteit en vertrouwelijkheid). Dit betekent dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de hele gegevensverwerking in overeenstemming is met de AVG. Dit is de ‘verantwoordingsplicht’ van artikel 5 lid 2 AVG. Om aan deze ‘verantwoordingsplicht’ te voldoen zijn er ook handige hulpmiddelen op de markt. (2)
Het instrument ‘Data Protection Impact Assessment’ (DPIA) of ook wel ‘Gegevensbeschermingseffectbeoordeling’ genoemd, is een geschikt (én noodzakelijk) instrument om aan te tonen dat een gegevensverwerking aan de AVG voldoet. Of het nu gaat om een Pre-DPIA of DPIA, een verwerkingsverantwoordelijke kan hiermee aantonen dat de gehele verwerking van persoonsgegevens waar de DPIA op ziet, in overeenstemming is met de AVG. De WP29 (3) heeft in de richtsnoeren voor DPIA’s (4) aangegeven dat een DPIA een proces is dat hoort bij aantoonbare naleving.
Er bestaan veel misverstanden over DPIA’s. Voor het verkrijgen van een goed inzicht in de DPIA is een handig boek verkrijgbaar: het Handboek DPIA’s. (5)
Een DPIA is een instrument/proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken.
Ook is het noodzakelijk om voor elke verwerking van persoonsgegevens te bepalen of er sprake is van een ‘hoog risico’. Zie hiervoor artikel 35 AVG. (6) Deze vastlegging kun je doen via een Pre-DPIA.
Organisaties dienen hun gegevensverwerkingen te kunnen verantwoorden. Zij moeten kunnen aantonen dat de gegevensverwerkingen die zij uitvoeren in overeenstemming zijn met de (beginselen van de) AVG.
Eerder is opgemerkt dat de DPIA een proces is. Indien daartoe noodzaak is, moet de DPIA worden geactualiseerd. Dit betekent dat indien risico’s wijzigen, de gegevensverwerking wijzigt, dan wel omstandigheden wijzigen, de DPIA moet worden geactualiseerd.
Een DPIA is dus niet een eenmalige actie in de vorm van een vastlegging in een document, maar is een continue proces van (herbeoordeling) van de gegevensverwerking.
Dit wordt ook bevestigd in artikel 35 lid 11 AVG:
‘Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.’.
De WP29 geeft hierover aan in de richtlijnen 248: ‘Het is een goede praktijk om een gegevensbeschermingseffectbeoordeling continu te herzien en regelmatig opnieuw te beoordelen. Zelfs als een gegevensbeschermingseffectbeoordeling niet vereist is op 25 mei 2018, is het derhalve nodig dat de verwerkingsverantwoordelijke op het juiste moment een gegevensbeschermingseffectbeoordeling uitvoert als onderdeel van zijn algemene verantwoordingsplicht.’
Dit betekent dat de DPIA (rapportage) periodiek moet worden herzien.
Het is daarom verstandig elke DPIA te voorzien van een datum van uitvoering en vaststelling (door de verwerkingsverantwoordelijke), maar bovenal te voorzien van een ‘uiterste houdbaarheidsdatum’. Door deze datum in een vervalkalender op te nemen, wordt de verwerkingsverantwoordelijke er automatisch op geattendeerd dat een DPIA moet worden herzien.
Dit is een ‘good practice’ als het gaat om de uitvoering van een prudent - datamanagementbeleid.
De Autoriteit Persoonsgegevens (7) merkt hierover op dat: ‘Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet altijd blijven monitoren of uw gegevensverwerking verandert. Bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken.
In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld 1 keer per 3 jaar’.
Dit betekent dat elke uitgevoerde DPIA minimaal een keer in de drie jaar moet worden herzien.
De goede toepassing van het datamanagement proces betekent dat nu de AVG drie jaar bestaat, daadwerkelijk alle gegevensverwerkingen in een organisatie opnieuw beoordeeld moeten worden.
Tevens is het na de inwerkingtreding van de AVG op 25 mei 2018, na drie jaar, noodzakelijk dat voor elke ‘hoog risico’ verwerking inmiddels een DPIA moet zijn uitgevoerd.
Veel organisaties worstelen nog met het onderwerp DPIA’s. Wanneer moet je nu een DPIA uitvoeren? Wat is precies een ‘hoog risico’-verwerking? Hoe pak je dat aan en wat is een goede DPIA?
Het Handboek DPIA’s (8) kan je hierbij goed helpen. Het Handboek DPIA’s bevat een heldere uitleg en werkt met een beproefde methodiek. Tevens zijn er praktische modellen toegevoegd, waardoor je snel een goede DPIA kunt uitvoeren.
Alle afzonderlijke verwerkingen worden vastgelegd in een (Pre-)DPIA, waardoor een totaal overzicht wordt verkregen van alle afzonderlijke verwerkingen in een organisatie, met een inzichtelijke afweging of er al dan niet sprake is aan een ‘hoog risico’ verwerking. Tevens worden alle risico’s en maatregelen (opnieuw) beoordeeld en in kaart gebracht.
Wilt u meer leren over de theorie en praktijk van DPIA’s?
Neem dan deel aan de cursus DPIA, die op 22 juni 2021 wordt verzorgd door privacyjuristen Francis Joung en Sander van de Molen. Meer informatie over de cursus vindt u hier.
(1) Zie het rapport ‘DLA Piper GDPR fines and data breach survey’, January 2021.
(2) Bijvoorbeeld EasyPrivacy®. Zie hiervoor www.privacyteam.nl.
(3) Deze is op 25 mei 2018 overgegaan in de European Data Protection Board (EDPB), welke de richtlijnen van de WP29 heeft bekrachtigd.
(4) Zie WP29-richtlijn 248, p. 4 en 5: Een gegevensbeschermingseffectbeoordeling is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken. Gegevensbeschermingseffectbeoordelingen zijn belangrijke verantwoordingsinstrumenten omdat ze verwerkingsverantwoordelijken niet alleen helpen om aan de eisen van de AVG te voldoen, maar ook om aan te tonen dat passende maatregelen zijn genomen teneinde ervoor te zorgen dat de verordening wordt nageleefd (zie ook artikel 24). Met andere woorden: een gegevensbeschermingseffectbeoordeling is een proces voor het verwezenlijken en aantonen van naleving.
(5) Zie het Handboek DPIA’s, Theorie en praktijk voor niet-juristen, September 2020, Uitgeverij Berghauser Pont. Auteurs: Francis Joung en Sander van de Molen. ISBN 978-94-92952-42-4. Dit boek bevat tevens praktische modellen voor de uitvoering en vastlegging van DPIA’s.
(6) Artikel 35 Gegevensbeschermingseffectbeoordeling Lid 1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
(7) Zie de volgende link: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia.
(8) Zie het Handboek DPIA’s, Theorie en praktijk voor niet-juristen, September 2020, Uitgeverij Berghauser Pont. ISBN 978-94-92952-42-4. Dit boek bevat tevens praktische modellen voor de uitvoering en vastlegging van DPIA’s.