Volg Software Zaken

AVG template voor DPIA

| Sieuwert van Otterloo | Privacy Templates

Onder de nieuwe privacyregels (AVG, ookwel GDPR) is het verplicht om in bepaalde omstandigheden een DPIA uit te voeren. Dit is een onderzoek waarbij u vooraf de impact bepaalt van het verwerken van persoonsgegevens. Wij hebben voor dit verplichte onderzoek een template gemaakt, waarin alle verplichte elementen zijn opgenomen en alle officiële richtlijnen. U kunt dit template gebruiken om te bepalen of u een DPIA moet doen, om de DPIA uit te voeren en ook om uitgevoerde DPIA’s te toetsen.

Wat is een DPIA

Een Data Protection Impact Assessment (DPIA) is een document waarin u vastlegt wat de gevolgen zijn van een wijziging van verwerken van persoonsgegevens. De Nederlandse vertaling is gegevensbeschermingseffectbeoordeling. Door het uitvoeren van zo’n onderzoek wordt een organisatie gedwongen om vooraf na te denken over privacy en security.

Wanneer moet u een DPIA doen?

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  1. systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  2. op grote schaal bijzondere persoonsgegevens verwerkt;
  3. op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht);

Om te bepalen of er mogelijk sprake is van een hoog risico hanteren de toezichthouders de onderstaande vuistregel. Er is sprake van een hoog risico als men aan twee of meer van de onderstaande negen criteria voldoet:

  1. evaluatie van personen of scoretoekenning;
  2. geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg;
  3. stelselmatige monitoring;
  4. gevoelige gegevens of gegevens van zeer persoonlijke aard;
  5. op grote schaal verwerkte gegevens;
  6. matching of samenvoeging van datasets;
  7. gegevens met betrekking tot kwetsbare betrokkenen;
  8. innovatieve toepassing van nieuwe technologsiche of organisatorische oplossing;
  9. blokkering van een recht, dienst of contract.

Verder heeft de Autoriteit Persoonsgegevens een lijst met onderwerpen gepubliceerd waarvoor het uitvoeren van een DPIA altijd verplicht is.

Als het goed is heeft u een register van verwerkingsactiviteiten. U zult van alle activiteiten moeten toetsen of deze voldoen aan bovenstaande criteria. Bij twijfel is het verstandig om ook een DPIA-document aan te maken, en hierin bovenstaande antwoorden vast te leggen. Op deze manier documenteert u uw beslissing om wel of geen DPIA te doen. Deze documentatie kunt u gebruiken als de Autoriteit Persoonsgegevens vragen stelt, om aan te tonen dat u nagedacht heeft over privacy.

Hoe doet u een DPIA

U kunt voor een DPIA het template doorlopen. Hierin staan alle vragen die u moet beantwoorden. Deze invulling kan initieel gedaan worden door een informatie-analist of projectleider. Het is echter niet de bedoeling dat de DPIA door één persoon gedaan wordt. Afhankelijk van de vraag moeten andere afdelingen worden betrokken, experts worden geraadpleegd en wellicht ook vertegenwoordigers van externe partijen. Als uw organisatie een Functionaris voor Gegevensbescherming heeft, zal deze ook advies moeten geven.

Download hier het Template-DPIA-gegevensbeschermingseffectbeoordeling-1.2.

Opbouw van het DPIA template

Het template bestaat uit de volgende elementen:

  1. Organisatiegegevens
  2. Gegevens van de verwerking
  3. Moet een DPIA worden uitgevoerd
  4. Systematische omschrijving van de gegevensverwerking
  5. Beoordeling noodzaak en proportionaliteit
  6. Beoordeling van de privacyrisico’s
  7. Maatregelen
  8. Advies van de FG
  9. Advies van betrokkenen en vertegenwoordigers
  10. Voorafgaande raadpleging

In de appendix staan twee optionele checklijsten: een lijst van vragen van NOREA en een lijst poetscriteria voor DPIA’s.

Proces en vervolgstappen

U moet de DPIA vooraf doen, dus bijvoorbeeld in de ontwerpfase van een project. U mag niet beginnen met de nieuwe gegevensverwerking voordat er een goede DPIA is. Vervolgens zijn er meerdere mogelijke uitkomsten:

  • U kunt de nieuwe gegevensverwerking gaan invoeren. U moet er dan voor zorgen dat de maatregelen en aanbevelingen ook worden uitgevoerd.
  • U mag de nieuwe gegevensverwerking niet invoeren. Het kan zijn dat uit door de DPIA duidelijk wordt dat het project niet voldoet aan de AVG. U moet dan een nieuw ontwerp maken.
  • U moet een ‘voorafgaande raadpleging’ aanvragen bij de Autoriteit Persoonsgegevens. Als uit de DPIA duidelijk wordt dat de verwerking een hoog risico oplevert en uw risicobeperkende maatregelen niet toereikend zijn, dan is dit verplicht.

Bronnen en meer informatie

Dit template is ontwikkeld op basis van de AVG zelf en op andere documenten die de Autoriteit Persoonsgegevens adviseert. In het bijzonder is de NOREA PIA handreiking gebruikt, en ook de richtlijnen van de Europese werkgroep Groep Gegevensbescherming artikel 29. Als u meer informatie zoekt over de AVG, dan raden we u aan om te kijken naar dit overzicht AVG in tien stappen, de procedure meldplicht datalekken, het template verwerkersovereenkomst en het template register van verwerkingsactiviteiten. Vanuit ICT Institute bieden we ook een 1-daagse Basistraining privacy en AVG. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Bron afbeelding: soilse-CC-lock-banner.jpg

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.