Een Data Protection Impact Assessment (DPIA) is een onderzoek dat de risico’s van een verwerking van persoonsgegevens in kaart brengt, voordat die verwerking plaatsvindt. Aan de hand van een dergelijk onderzoek kunnen bijvoorbeeld extra maatregelen genomen worden om de veiligheid en privacy van de gegevens te versterken.
Waarom is een Data Protection Impact Assessment verstandig?
Iedere organisatie die persoonsgegevens verwerkt, moet dat doen met grote zorg en volgens de richtlijnen van de privacywetgeving. Met een Data Protection Impact Assessment krijgt een organisatie in een tijdig stadium zicht op de privacyrisico’s die een project met zich meebrengt. De uitkomsten van zo’n onderzoek helpen om tijdig aanpassingen te doen. Dat kan kosten besparen, want is gemakkelijker en daardoor goedkoper dan het achteraf aanpassen van methoden en werkwijzen die niet in pas blijken te lopen met de wetgeving.
Is een Data Protection Impact Assessment altijd verplicht?
Nee. Op dit moment is voor alle organisaties een Data Protection Impact Assessment bij risicovolle verwerkingen wel aanbevolen, maar in geen enkel geval verplicht. Een uitzondering vormt de Rijksoverheid. Risicovolle dataverwerkingen moeten door de Rijksoverheid al wel vooraf onderzocht worden middels een Data Protection Impact Assessment.
Wanneer moet een Data Protection Impact Assessment wel worden uitgevoerd?
Het vrijblijvende karakter van een DPIA verandert vanaf mei 2018. Dan gaat de nieuwe Europese privacywetgeving van kracht, de AVG, ofwel GDPR. Vanaf dat moment is het uitvoeren van een Data Protection Impact Assessment verplicht in een aantal situaties.
- wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt, zoals medische data, strafrechtelijke gegevens, data over iemands financiële positie, politieke voorkeur, seksuele voorkeur of etniciteit;
- wanneer er de persoonsgegevens worden verwerkt voor het uitgebreid en systematische bestudering van persoonlijke aspecten. Denk daarbij aan analyses op bigdatapools vol persoonlijke data over bijvoorbeeld shopgedrag. Of denk aan een kredietverstrekker die het inkomsten- en uitgavepatroon van iemand analyseert en zo de kredietwaardigheid beoordeelt;
- wanneer de organisatie op grote schaal systematisch personen volgt in een openbare ruimte. Denk daarbij bijvoorbeeld aan cameratoezicht in openbare ruimten;
- wanneer intensief gebruik wordt gemaakt van nieuwe technologie zoals Internet of Things (IoT). Nieuwe technologie geeft vaak onbekende risico’s. Een Data Protection Impact Assessment kan deze risico’s voortijdig in kaart brengen. Bijvoorbeeld het IoT kan een grote impact op de privacy van betrokkenen hebben, bijvoorbeeld doordat sensoren hen continu monitoren en metingen vastleggen in datasystemen;
- wanneer de organisatie persoonsgegevens doorgeeft aan landen buiten de EU. Niet in alle landen buiten de EU geldt een strenge privacywetgeving. Een Data Protection Impact Assessment onderzoekt in zo’n geval of het doorgeven van de persoonsgegevens niet buitenproportioneel ten koste gaat van de privacyveiligheid van de betrokken;
- wanneer de organisatie meerdere databases met persoonsgegevens koppelt die in eerste instantie elk met een eigen doel zijn opgezet. Denk bijvoorbeeld aan het koppelen van een database over verkoopgegevens met een database waarin clicks op online advertenties worden bijgehouden.
Over het algemeen kun je stellen dat een Data Protection Impact Assessment altijd verplicht is wanneer de verwerking grote risico’s voor de privacy van betrokkenen met zich meebrengt.
Moet een externe verwerker ook een Data Protection Impact Assessment uitvoeren?
Nee. Het kan zijn dat de verantwoordelijke externe partijen inschakelt voor de verwerking van persoonsgegevens. Denk aan een externe ICT-beheerder, salarisadministratiekantoor of cloudprovider. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is verantwoordelijk voor de privacy van de betrokkene. En dus ook verantwoordelijk voor het uitvoeren van een Data Protection Impact Assessment.
Wat is het verschil met een Privacy Impact Assessment?
Niets. Onder de AVG/GDPR verandert de term ‘Privacy Impact Assessment’ in ‘Data Protection Impact Assessment’ (DPIA). Exact dezelfde betekenis heeft de Nederlandse term gegevensbeschermingseffectbeoordeling.
Wat moet ik met de uitkomsten van een Data Protection Impact Assessment doen?
De vervolgstappen na een assessment hangen natuurlijk geheel samen met de uitkomsten ervan. Zo kan de verantwoordelijke besluiten om versleuteling toe te passen. Ook het verscherpen van de toegang tot de gegevens via een strenger account/toegangsbeheer is een logische stap. Het kan zijn dat de organisatie meer persoonsgegevens verwerkt dan strikt noodzakelijk. In zo’n geval kan besloten worden om een deel van de persoonsgegevens te verwijderen. We noemen dat ‘dataminimalisatie’. De AVG/GDPR verbiedt namelijk om meer persoonsgegevens te verwerken dan strikt noodzakelijk voor het beoogde doel.
Een andere mogelijke maatregel is het versterken van de technische beveiligingslaag. Denk daarbij aan de aanschaf van een nieuwe firewall of systeem voor netwerkmonitoring.
Alle berichten