Pre-DPIA (Pre-Data Protection Impact Assessment)

Uitvoeren van een Pre-DPIA

De DPIA (Data Protection Impact Assessment of gegevensbeschermingseffectbeoordeling) is een manier om risico’s van een verwerking van persoonsgegevens te beoordelen. Elke verwerking van persoonsgegevens brengt risico’s met zich mee voor de betrokkenen van wie gegevens zijn verzameld. Het is van belang voorafgaand aan de verwerking na te denken over de (mogelijke) risico’s en op basis daarvan passende maatregelen te nemen om deze te beperken. Hiervoor is een middel beschikbaar, de DPIA.

Er is een lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is. Dat is het geval wanneer sprake is van:

  1. Heimelijk onderzoek
  2. Zwarte lijsten
  3. Fraudebestrijding
  4. Creditscores
  5. Financiële situatie
  6. Genetische persoonsgegevens
  7. Gezondheidsgegevens
  8. Samenwerkingsverbanden
  9. Cameratoezicht
  10. Flexibel cameratoezicht
  11. Controle werknemers
  12. Locatiegegevens
  13. Communicatiegegevens
  14. Internet of Things
  15. Profilering
  16. Observatie en beïnvloeding van gedrag
  17. Biometrische gegevens

Voor meer uitleg kun je het besluit, waarin de lijst is opgenomen, raadplegen.

Wanneer de verwerking niet onder bovenstaande lijst valt, betekent dat nog niet dat je geen DPIA hoeft uit te voeren. De ‘Pre-DPIA’ biedt een verkorte risico-inventarisatie, die aangeeft of het noodzakelijk is een volledige DPIA uit te voeren.

Na de Pre-DPIA beschik je over een risico-inschatting van je verwerking. Heb je twee of meer van de vragen van de DPIA met ‘ja’ beantwoord, dan is het risico hoog en moet je een DPIA uitvoeren. Neem hiervoor contact op met je Privacy Contact Persoon (PCP). Je PCP kan ook besluiten dat je toch een DPIA moet uitvoeren als je minder dan twee vragen met ‘ja’ hebt beantwoord, afhankelijk van de risico-inschatting van je verwerking.

Beperk altijd de risico’s van de verwerking door technische en/of organisatorische maatregelen. Denk bijvoorbeeld aan het beveiligen van data-opslag, fysiek afschermen van gegevens (bv. afgesloten kasten), autorisaties, gedragscodes en geheimhoudingsverklaringen. Is er sprake van een hoog risico en is het niet mogelijk deze (voldoende) te beperken, dan is niet alleen het uitvoeren van de DPIA verplicht, maar moet de verwerking ook vóór de start ervan bij de Autoriteit Persoonsgegevens worden gemeld.

Invulformulier Pre-DPIA

Titel van onderzoek / verwerking:

Vragen beantwoord door (verantwoordelijke voor de verwerking):

Vul je e-mail adres in, zodat we je het ingevulde formulier kunnen toesturen.

Verwerk je in je onderzoek gegevens van identificeerbare personen?
Persoonsgegevens zijn alle gegevens die iemand kunnen identificeren of die direct of indirect herleidbaar zijn naar een natuurlijk persoon. Voorbeelden hiervan zijn naam, identificatienummer, telefoonnummer, locatiegegevens (ook digitaal), beoordelingen en onderzoeksgegevens, etniciteit, religie, gezondheid en biometrische kenmerken.

Is het antwoord op bovenstaande vraag ‘ja’, beantwoord dan alle onderstaande vragen.

Is het antwoord ‘nee’, dan is een DPIA niet nodig en hoef je geen verdere vragen te beantwoorden.

1.       Beoordeel je mensen op basis van persoonskenmerken?
Het gaat hierbij om het systematisch en uitvoerig beoordelen van persoonskenmerken. Zoals bij profiling en het maken van prognoses op basis waarvan beslissingen worden genomen.
Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring) en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.
Bij onderzoek vindt meestal geen profiling plaats.

2. Neem je geautomatiseerde beslissingen met rechtsgevolgen?
Het gaat hierbij om beslissingen op basis van persoonsgegevens (niet per definitie profiling) die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Voorbeelden zijn een systeem dat sollicitaties beoordeelt en automatisch beslist of je wordt uitgenodigd voor gesprek, of een systeem dat automatisch beslist of je in aanmerking komt voor een banklening.
Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.

3. Doe je aan stelselmatige en grootschalige monitoring?
Het gaat hierbij bijvoorbeeld om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken. Een ander voorbeeld is het installeren van een applicatie op de telefoon waardoor deze continu of volgens vaste patronen informatie naar de onderzoeker stuurt. Ook een IT-systeem dat de hoeveelheid datagebruik door een medewerker controleert om mogelijke beveiligingsincidenten op te sporen valt hier onder.

4. Verwerk je gevoelige gegevens of gegevens van zeer persoonlijke aard?
Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals informatie over iemands ras, religie, vakbondslidmaatschap, politieke voorkeuren, genetische of biometrische gegevens, gezondheid of seksuele voorkeur. Ook de categorie strafrechtelijke gegevens valt hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

5. Verwerk je persoonsgegevens op grote schaal?
De AVG geeft geen definitie van wat grootschalig is. De Europese privacy-toezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:
- de hoeveelheid mensen van wie gegevens worden verwerkt;
- de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
- de tijdsduur van de gegevensverwerking;
- de geografische reikwijdte van de gegevensverwerking.

6. Maak je gebruik van gekoppelde databases?
Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn, waardoor een meer complete set aan data ontstaat. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken en/of op een ander moment. De betrokkenen hadden dit redelijkerwijs niet kunnen verwachten.

7. Verwerk je gegevens over kwetsbare personen?
Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet eenvoudig in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens.
Denk hierbij in elk geval aan werknemers (in relatie tot werkgever), kinderen, ouderen, geesteszieken, patiënten en asielzoekers. Het gaat in elk geval om relaties waarbij er sprake is van een afhankelijkheid tussen de verantwoordelijke en de betrokken personen.

8. Gebruik je nieuwe technologieën of nieuwe toepassingen van technologieën?
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacy risico’s. Omdat het nieuwe toepassingen betreft, zijn er geen duidelijke voorbeelden beschikbaar en kunnen de persoonlijke en maatschappelijke gevolgen nog onbekend zijn. Sommige ‘Internet of Things’-toepassingen of het combineren van vingerafdruk en gezichtsherkenning zouden bijvoorbeeld een grote impact kunnen hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

9. Verwerk je persoonsgegevens om een recht, dienst of contract te blokkeren?
Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
- een recht niet kunnen uitoefenen of;
- een dienst niet kunnen gebruiken of;
- een contract niet kunnen afsluiten.
Een voorbeeld is een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken (vergelijkbaar met geautomatiseerde beslissing, maar in dit geval hoeft de beslissing niet geautomatiseerd te zijn). Een ander voorbeeld is het verwerken van aanmeldingsgegevens van studenten op basis waarvan wordt beoordeeld of hij/zij mag worden toegelaten tot de universiteit.

Conclusie

Heb je twee of meer vragen met ‘ja’ beantwoord?
Dan moet je in elk geval een DPIA uitvoeren. Je Privacy Contact Persoon (PCP) kan je hierbij helpen.

Wanneer je minder dan twee vragen met ‘ja’ hebt beantwoord, hoef je geen DPIA uit te voeren, tenzij je PCP besluit dat dit op basis van het verwachte risico toch noodzakelijk is.