Gebruikt, verzamelt u persoonsgegevens van klanten? En is er kans op een groot privacyrisico? Dan moet u eerst een DPIA uitvoeren.
Gebruikt, verzamelt of deelt u persoonsgegevens van uw klanten? En is hierbij de kans op een groot privacyrisico? Dan moet u volgens de Algemene Verordening Gegevensbescherming (AVG) eerst een data protection impact assessment (DPIA) uitvoeren.
Wat is een DPIA?
Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan als u persoonsgegevens gebruikt. Een data protection impact assessment laat ook zien waar u maatregelen moet nemen om de risico’s te verkleinen of te voorkomen. U doet een DPIA voordat u begint met het bewaren, gebruiken en delen van persoonsgegevens.
Is de uitkomst van de DPIA dat er een hoog risico is? En lukt het u niet om dat risico te verkleinen of te voorkomen? Dan moet u overleggen met de Nederlandse toezichthouder op de privaywet, de Autoriteit Persoonsgegevens (AP).
Is een DPIA verplicht?
Een DPIA is volgens de AVG alleen verplicht als u persoonsgegevens verwerkt waarbij een grote kans bestaat op een hoog privacyrisico voor de mensen van wie die persoonsgegevens zijn. De Europese privacytoezichthouders zeggen dat een data protection impact assessment verplicht is in 2 of meer van de volgende situaties:
- U beoordeelt mensen met behulp van persoonskenmerken. U bepaalt bijvoorbeeld de kredietwaardigheid van klanten. Of u maakt profielen van mensen met behulp van bijvoorbeeld hun interesses, gezondheidsgegevens of locatiegegevens.
- U neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens. Het gaat hier om beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie.
- Als u regelmatig en op grote schaal persoonsgegevens verzamelt door mensen te volgen in de openbare ruimte. Bijvoorbeeld door cameratoezicht zonder dat de mensen weten wat er met de beelden gebeurt.
- U verwerkt gevoelige gegevens. Bijvoorbeeld informatie over politieke of religieuze voorkeuren. Of financiële en strafrechtelijke gegevens.
- U gebruikt veel gegevens voor een lange tijd.
- U koppelt verschillende databases met persoonsgegevens aan elkaar.
- U gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten.
- U gebruikt nieuwe technologieën waarvan u nog niet weet wat de maatschappelijke gevolgen zijn.
- U gebruikt persoonsgegevens op een bepaalde manier waardoor mensen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen.
De Autoriteit Persoonsgegevens heeft een lijst met situaties waarbij een DPIA verplicht is.
Eisen voor een DPIA
U mag zelf bepalen hoe u een data protection impact assessment uitvoert, maar de DPIA moet in ieder geval aan deze eisen voldoen:
- U omschrijft welke gegevens u gaat gebruiken, met welk doel en welke onderbouwing u heeft.
- U beoordeelt of het noodzakelijk is om persoonsgegevens te gebruiken om uw doel te bereiken.
- U beoordeelt of de inbreuk op de privacy in verhouding staat tot het bereiken van uw doel.
- U beoordeelt de privacyrisico's.
- U bepaalt welke maatregelen u gaat nemen om de privacyrisico’s te verkleinen of te voorkomen.
- U bepaalt welke maatregelen u gaat nemen om aan de AVG te voldoen.
Functionaris voor de gegevensbescherming (FG)
In sommige situaties moet u een functionaris voor de gegevensbescherming (FG) hebben. Overheidsinstanties en publieke organisaties moeten altijd een FG hebben. De functionaris houdt in de gaten dat uw organisatie zich houdt aan de AVG. U moet de FG aanmelden bij de Autoriteit Persoonsgegevens
Opnieuw een DPIA uitvoeren
Wanneer u de persoonsgegevens bijvoorbeeld voor een ander doel gaat gebruiken of wanneer u een nieuwe technologie gaat gebruiken, moet u bekijken of u opnieuw een data protection impact assessment moet uitvoeren.