Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

Data Protection Impact Assessment, wat en wanneer?

“Onder de Avg kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken. Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de Avg. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.”

Een DPIA, of in het Nederlands een gegevensbeschermingseffectbeoordeling, is volgens de AP nodig als een gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

Welke verwerkingen hebben een hoog privacy risico?

De AP stelt dat voor (o.a.) de volgende verwerkingen een DPIA moet worden uitgevoerd:

  • Bij grootschalige verwerkingen van gegevens over gezondheid door instellingen voor gezondheidszorg, maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven;
  • Grootschalige elektronische uitwisseling van gegevens over de gezondheid;
  • Bij het delen van bijzondere gegevens of gegevens van gevoelige aard tussen verschillende partijen in samenwerkingsverbanden (bijvoorbeeld in wijkteams).

Voor wie geldt deze verplichting niet?

De AP heeft gesteld dat het uitvoeren van een DPIA op grond van de Avg niet geldt voor bijvoorbeeld individuele artsen en individuele zorgprofessionals. Voor een DPIA maakt u eerst een inventarisatie van de gegevens, doeleinden, grondslagen etc. voordat u de risico’s van de verwerking gaat bepalen.

Bepaal de risico’s…maar hoe?

Bedrijven en instellingen zullen de risico’s moeten beschrijven en beoordelen. Bij de beschrijving en beoordeling moet rekening gehouden worden met de aard, omvang, context en de doelen van de verwerking. Risico’s kunnen zijn discriminatie, stigmatisering of uitsluiting van betrokkene, identiteitsdiefstal, financiële verliezen, verlies van vertrouwelijkheid van door beroepsgeheim beschermde persoonsgegevens en economisch of maatschappelijk nadeel van de betrokkene.

Let er bij het beschrijven van de risico’s vooral op dat het gaat om de risico’s die een betrokkene loopt bij de gegevensverwerking én niet de risico’s die de instelling zelf loopt. De betrokkene staat immers in de Avg centraal!

Negatieve gevolgen

Als de risico’s in kaart zijn gebracht wordt gekeken welke negatieve gevolgen de verwerking kan hebben op de rechten en vrijheden van de betrokkenen, de oorsprong van deze gevolgen en de waarschijnlijkheid (kans) dat dit zal gebeuren én de ernst/impact van deze gevolgen voor de betrokkenen.

Heeft u de risico’s bepaald, kunt u gaan bepalen welke maatregelen uw organisatie moet nemen om de risico’s weg te nemen of misschien zijn de risico’s wel zo groot dat u besluit persoonsgegevens op deze manier niet te willen verwerken. Zorg er in het kader van de verantwoordingsplicht altijd voor dat alle stappen gedocumenteerd zijn.

Meer informatie?

Wilt u meer weten of heeft u advies nodig? Bekijk hier de pagina over DPIA’s of neem contact met ons op en wij maken graag een afspraak met u. U kunt ons bereiken via +31 (0) 70 392 22 09 en info@duthler.nl