Stappenplan AVG. Stap 3: bent u verplicht om privacyrisico’s gegevensverwerking in kaart te brengen dmv een DPIA?
De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.
Download stappenplan AVG
Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we de tweede stap Breng in kaart welke persoonsgegevens u verwerkt. Nu stap 3: bepaal of u verplicht bent om de privacyrisico’s van een gegevensverwerking in kaart te brengen door middel van een DPIA.
Wanneer DPIA uitvoeren?
DPIA staat voor Data protection impact assessment (DPIA). Een DPIA is een hulpmiddel om vooraf de privacyrisico’s van een bepaalde gegevensverwerking in kaart te brengen en deze risico’s vervolgens te verkleinen door maatregelen te treffen.
Niet voor elke gegevensverwerking hoeft u een DPIA uit te voeren. Een DPIA is slechts verplicht als uw gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. U dient in ieder geval een DPIA uit te voeren op het moment dat u:
- systematisch en uitgebreid persoonlijke aspecten van personen beoordeelt, op grond waarvan besluiten worden genomen en waaraan voor de persoon rechtsgevolgen zijn verbonden. Daarbij kan gedacht worden aan profilering;
- op grote schaal bijzondere persoonsgegevens verwerkt;
- op grote schaal en stelselmatig mensen volgt in een openbare ruimte (bijvoorbeeld aan de hand van cameratoezicht).
Zijn bovenstaande punten niet op uw situatie van toepassing, dan bepaalt u zelf of uw gegevensverwerking een hoog privacyrisico oplevert. Hierbij kunt u als uitgangspunt nemen dat u een DPIA moet uitvoeren wanneer uw verwerking aan twee of meer van de onderstaande negen criteria voldoet:
- U beoordeelt mensen op basis van persoonlijke kenmerken. Bijvoorbeeld een bank die de kredietwaardigheid van klanten bepaalt op basis van een kredietreferentiedatabank of een bedrijf dat gedrags- of marketingprofielen opstelt op basis van het gebruik van of de navigatie op zijn website.
- U neemt geautomatiseerde beslissingen die voor de betrokkene een rechtsgevolg of wezenlijk gevolg hebben. Bijvoorbeeld een besluit dat ervoor zorgt dat mensen worden uitgesloten of gediscrimineerd.
- Er is sprake van stelselmatige en grootschalige monitoring van personen.
- U verwerkt bijzondere persoonsgegevens;
- U verwerkt op grote schaal persoonsgegevens.
- U koppelt of combineert verschillende databases met elkaar.
- U verwerkt gegevens van kwetsbare personen. Vraagt u zich af of er een machtsverhouding bestaat met degene van wie u gegevens verzameld, zoals kinderen, werknemers, geesteszieken en bejaarden.
- U maakt gebruik van een nieuwe technologie. Bijvoorbeeld het combineren van het gebruik van vingerafdrukken en gezichtsherkenning voor een toegangscontrole.
- U blokkeert door de gegevensverwerking een recht, dienst of contract van betrokkene. Een voorbeeld hiervan is een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand wil verstrekken.
Voorbeeld toepassing van bovenstaande criteria
Stel, uw organisatie monitort stelselmatig de activiteiten van haar werknemers, inclusief hun werkplek en interactiviteiten. In dat geval zijn mogelijk relevante criteria: ‘stelselmatige monitoring’ en ‘gegevens over kwetsbare betrokkene’. Dit betekent dat een DPIA gewenst is.
Inhoud DPIA
Een DPIA dient in ieder geval het volgende te bevatten:
- een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking, dan moet u dit belang ook opnemen in de beschrijving;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen. Dat houdt in dat u:
- dient te beoordelen of het verwerken van persoonsgegevens op deze manier noodzakelijk is om uw doel te bereiken, en
- of de inbreuk op de privacy van de betrokkenen niet onevenredig is in verhouding tot het doel;
- een beoordeling van de privacyrisico’s voor de betrokkenen;
- de beoogde maatregelen om:
- de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen), en
- aan te tonen dat u aan de AVG voldoet.
Download het complete stappenplan AVG
Na deze stap volgen nog zeven stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.
Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.
Eerder verschenen stappen in het stappenplan AVG
- Stap 1: wel of geen functionaris gegevensbescherming aanstellen?
- Stap 2: Breng in kaart welke persoonsgegevens u verwerkt
________________________________
Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG.