Een DPIA – of in het Nederlands gegevensbeschermingseffectbeoordeling – is een onderzoek dat een organisatie moet doen als er sprake is van een risicovolle verwerking van persoonsgegevens. De AP en de European data Protection Board (EDPB) hebben beiden een lijst opgesteld voor welke verwerkingen een DPIA gedaan moet worden. Voordat een DPIA uitgevoerd wordt verdient het aanbeveling om een zogenaamde pre-scan DPIA of Privacytoets uit te voeren. Met dit vooronderzoek wordt beoordeeld of een verwerking op de lijsten voorkomt en er dus een DPIA moet worden uitgevoerd.
De DPIA heeft als doel om tijdig de privacyrisico’s voor inwoners en medewerkers te signaleren en te beoordelen of de getroffen beveiligings- en beschermingsmaatregelen toereikend zijn. Daarnaast dient de DPIA aan te tonen dat de verwerking van persoonsgegevens voldoet aan de beginselen van de AVG, zoals rechtmatigheid, transparantie, proportionaliteit en subsidiariteit.
Volgens de AVG en de richtlijnen van de AP moet een DPIA verschillende onderdelen bevatten. Allereerst een beschrijving van de verwerking, inclusief de doeleinden, de soorten persoonsgegevens en de gebruikte systemen. Vervolgens bevat de DPIA een beoordeling van de noodzaak en proportionaliteit: is de verwerking echt noodzakelijk voor het beoogde doel? Zijn er minder ingrijpende alternatieven beschikbaar? En worden uitsluitend de gegevens verwerkt die strikt noodzakelijk zijn?
De kern van de DPIA is de inventarisatie van risico’s, waarbij zowel de kans op als de impact van mogelijke privacy-incidenten worden ingeschat. Ook wordt beschreven welke maatregelen zijn genomen om deze risico’s te beperken. De DPIA sluit af met een overzicht van de resterende risico’s nadat de maatregelen zijn geïmplementeerd, de zogenoemde restrisico’s.
Het College van B&W dat ook hier weer formeel verantwoordelijk voor is, zal dit delegeren aan de afdeling of proceseigenaar die de verwerking initieert of beheert. Deze is verantwoordelijk voor het signaleren dat een DPIA nodig is (vaak na een pre-scan of privacytoets), het verzamelen van informatie over de verwerking en het opstellen en uitvoeren van de DPIA in samenwerking met betrokken experts. De privacy officer ondersteunt de proceseigenaar bij de uitvoering, en coördineert en bewaakt het proces. De FG beoordeelt of de DPIA conform de AVG is uitgevoerd en toetst of de risico’s, maatregelen en restrisico’s voldoende zijn beschreven en onderbouwd. Om onafhankelijkheid te waarborgen is de FG zelf uitdrukkelijk niet verantwoordelijk voor de uitvoering. Als er grote restrisico’s zijn, dient advies aan de AP te worden gevraagd.
Een DPIA is geen eenmalige exercitie, maar een levend document. De herzieningsdatum van de DPIA geeft aan wanneer de beoordeling opnieuw moet worden uitgevoerd of geactualiseerd. In de loop der tijd kunnen systemen, processen of risico’s immers veranderen. Een DPIA moet worden herzien zodra de verwerking wijzigt of wanneer de risico’s en/of genomen maatregelen veranderen. Ook zonder grote wijzigingen is het raadzaam de DPIA periodiek te evalueren om te controleren of de bevindingen en maatregelen nog actueel zijn. Een gebruikelijke termijn voor een periodieke herziening is drie jaar. De proceseigenaar of verantwoordelijke afdeling ziet erop toe dat deze herziening daadwerkelijk plaatsvindt, met ondersteuning van de Privacy Officer.
