Een DPIA staat voor ‘Data Protection Impact Assessment’ en is een instrument om (voorafgaand aan de verwerking van persoonsgegevens) privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat een organisatie passende maatregelen kan nemen om de risico’s te verkleinen.
Een DPIA is ook een belangrijk instrument om te kunnen aantonen dat de organisatie voldoet aan de verplichtingen van de AVG. Het is belangrijk dat je, bij het uitvoeren van een DPIA, de gevolgde methodiek en de uitkomsten vastlegt in een document. Daarmee kun je aantonen dat je een deugdelijke DPIA hebt uitgevoerd als bijvoorbeeld de Autoriteit Persoonsgegevens daarom vraagt.
Een DPIA is verplicht wanneer er sprake is van een hoog risico verwerking. Het vaststellen van een hoog risico kan met behulp van artikel 35 van de AVG, de richtlijnen van de Autoriteit Persoonsgegevens en de richtlijnen van de European Data Protection Board (EDPB, als opvolger van de Artikel WP29-werkgroep). Deze richtlijnen worden hier verder niet behandeld.
Er is sprake van een hoog risico indien er door een verwerkingsverantwoordelijke bijvoorbeeld op grote schaal bijzondere persoonsgegevens worden verwerkt, systematisch en uitgebreid beoordelen van persoonlijke aspecten (profiling) wordt toegepast of bij het matchen of samenvoegen van datasets.
Binnen de zorgsector en het onderwijs is er al snel sprake van een ‘hoog risico verwerking’ omdat er veel bijzondere of gevoelige persoonsgegevens van (kwetsbare) mensen worden verwerkt. Denk hierbij aan het patiëntendossier, of het (live)streamen van onderwijs.
Ook binnen het bedrijfsleven zijn er voorbeelden van hoog risicoverwerkingen. Denk aan het toepassen van moderne technologieën voor het maken van profielen van klanten, het gebruik van biometrie, het inzetten van digitale technieken en toepassingen (BI – en analyse van data) en Artificial Intelligence.
Ook is de recente lancering van de corona App een goed voorbeeld van een toepassing waarbij de hoge privacyrisico’s beoordeeld dienen te worden in het licht van de beginselen van de AVG.
De DPIA’s spelen een belangrijke rol bij de privacy bescherming van de bij de verwerking betrokken natuurlijke personen. Je brengt met een DPIA systematisch alle risico’s in beeld en bekijkt welke beheersmaatregelen kunnen worden toegepast om de risico’s zoveel mogelijk te beperken.
In de praktijk worden nog niet door alle bedrijven en instellingen (op tijd) DPIA’s uitgevoerd. Vaak weet men niet wanneer een DPIA moet worden uitgevoerd en blijkt achteraf, als de verwerking al een feit is, dat een DPIA moest worden uitgevoerd. En: als het gaat om de uitvoering, dan weet men vaak niet hóe dit goed te doen.
De DPIA is een wettelijke verplichting. Voor het niet nakomen van de DPIA-verplichting geldt in Nederland een ‘standaard boete’ van € 310.000,- euro. Dit is vastgesteld in de boetebeleidsregels van de Autoriteit Persoonsgegevens. Voor het niet betrekken van ‘betrokkenen’ bij een DPIA (denk aan een representatieve groep van natuurlijke personen die bij de verwerking betrokken zijn) geldt een standaard boete van € 100.000,-.
In Europa zijn er al door diverse toezichthouders boetes opgelegd voor het niet, of niet goed uitvoeren van DPIA’s. Zo heeft de Zweedse toezichthouder in 2019 een boete opgelegd van € 18.500,- aan een Zweedse school die ten onrechte geen (goede) DPIA had uitgevoerd voor het toepassen van cameratoezicht in de klas. In juli van dit jaar heeft de Noorse toezichthouder een boete opgelegd van € 46.600,- aan een school voor het niet uitvoeren van een DPIA voorafgaand aan het verwerken van gezondheidsgegevens in een digitaal leerplatform. Hierbij werden onvoldoende technische en organisatorische maatregelen getroffen. Ook werkgevers in het algemeen lopen risico. Zo werd door de Finse toezichthouder een boete opgelegd van € 16.000,- aan een bedrijf dat locatiegegevens (via een GPS tracker software in de auto’s) verwerkte zonder een DPIA te hebben uitgevoerd.
In Nederland zijn er nog geen boetes opgelegd voor het niet uitvoeren van een DPIA, maar wel voor bijvoorbeeld het toepassen van een vingerscan bij een bedrijf (€ 725.000,-). Deze had met een goed afwegingsproces (lees: het uitvoeren van een DPIA) kunnen worden voorkomen.
Diverse Europese toezichthouders geven ook expliciet advies over DPIA’s. Zo heeft in Nederland de Autoriteit Persoonsgegevens begin oktober aan onderwijsinstellingen duidelijk gemaakt dat er een DPIA noodzakelijk is voor het (live)streamen van onderwijs en ook bij het toepassen van proctoring. De Ierse toezichthouder wijst er in september van dit jaar expliciet op dat bij het tracken (volgen) van leaseauto’s van medewerkers er een DPIA moet worden uitgevoerd.
Microsoft-365 en Google
Veel bedrijven en instellingen gaan met hun kantoorautomatisering over op zogenaamde clouddiensten, zoals Microsoft-365 en Google. Vaak worden hier (ook) bijzondere of gevoelige persoonsgegevens verwerkt. Wat veel verwerkingsverantwoordelijken zich onvoldoende realiseren is dat je hier ook in bepaalde gevallen een DPIA moet uitvoeren (De problematiek omtrent het gegevensverkeer met de Verenigde Staten wordt hier verder buiten beschouwing gelaten.).
De Rijksoverheid heeft dit ook al gedaan in 2018 voor Microsoft en de uitkomsten daarvan zijn goed bruikbaar voor het uitvoeren van een (aanvullende) eigen DPIA. In augustus van dit jaar heeft het ministerie van Justitie en Veiligheid aangekondigd ook een DPIA te laten uitvoeren op Google. Deze DPIA komt deels voort uit de wens vanuit de onderwijswereld om een onderzoek te laten doen. Binnen onderwijsinstellingen wordt namelijk veel gewerkt met Google. Opvallend is natuurlijk dat de Rijksoverheid de DPIA uitvoert nadat de verwerking is gestart. Maar eerlijk gezegd geldt dit voor bijna alle verwerkingen door Nederlandse bedrijven die gebruik maken van clouddiensten van de ‘big tech reuzen’.
Werkgevers in het algemeen
Grote bedrijven moeten voor het verwerken van persoonsgegevens van hun medewerkers in het kader van bijvoorbeeld hun verzuimregistratie een DPIA uitvoeren, of bij het toepassen van software waarbij medewerkers kunnen worden gevolgd in hun doen en laten (zie de eerder genoemde tracking software). Dit betekent ook voor de HR afdeling werk aan de winkel.
Praktische hulp: het eerste ‘DPIA Handboek theorie en praktijk voor niet juristen’
Voor bedrijven en instellingen die niet goed de weg weten hoe zij moeten omgaan met DPIA’s is eind oktober het praktische Handboek DPIA's verschenen.
De auteurs Francis Joung en Sander van de Molen misten een dergelijk handboek, terwijl dit wel heel noodzakelijk is. Zij zijn het toen zelf gaan schrijven. Het boek gaat in op de theorie en de praktijk van DPIA’s. Zo komt aan de orde: wat is een DPIA en wanneer moet je deze uitvoeren? Hoe maak je een afweging of er sprake is van een hoog risico? Maar met name ook de praktijk. Hoe voer je een DPIA uit? Wat moet er allemaal worden opgenomen in een DPIA rapportage? Het boek bevat een handig DPIA proces en DPIA-modellen om snel en makkelijk toe te passen in de praktijk.
Het Handboek DPIA's is verkrijgbaar op de website van Berghauser Pont.
De voordelen van een DPIA: het is leuk en nuttig
Via het boek kun je zelf snel en makkelijk DPIA’s gaan uitvoeren.
De ervaring is dat als een bedrijf voor het eerst met goede ondersteuning kennis maakt het uitvoeren van DPIA’s, de medewerkers die bij de uitvoering betrokken zijn al snel de voordelen hiervan ontdekken. Het levert enerzijds een hoog bewustzijn op wat er allemaal mis kan gaan bij het verwerken van persoonsgegevens en anderzijds worden veel aspecten van de bedrijfsvoering geraakt. Hierdoor levert een DPIA veel ‘winst’ op. Winst in de zin van het beheersen van risico’s waardoor de kans op boetes afneemt, maar vaak ook een verbeterd inzicht in processen, het toepassen van systemen en het ontdubbelen van handelingen.
Eigenlijk levert het goed uitvoeren van een DPIA alleen maar voordelen op, met als belangrijkste voordeel natuurlijk de bescherming van de privacy van betrokkenen. Het is nog vaak (te) onbekend, maar we zullen er de komende tijd steeds meer mee te maken gaan krijgen. Straks horen we hopelijk bij een nieuwe ‘hoog risico’ verwerking: ‘Ha fijn, weer een DPIA! Mag ik meedoen?’