Wanneer een DPIA uitvoeren?
Wanneer bent u verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren? Volgens art 35 AVG is voor een verwerking een DPIA verplicht indien de verwerking waarschijnlijk tot een hoog risico leidt voor de rechten en vrijheden van natuurlijke personen.
In een besluit van de Autoriteit Persoonsgegevens zijn 17 gevallen genoemd waarvoor een DPIA verplicht is indien de organisatie zich bezig houdt met: heimelijk onderzoek, zwarte lijsten, fraudebestrijding, creditscores, financiële situatie, genetische persoonsgegevens, gezondheidsgegevens, samenwerkingsverbanden, cameratoezicht, flexibel cameratoezicht, controle werknemers, locatiegegevens, communicatiegegevens, internet of things, profilering, observatie en beïnvloeding van gedrag en biometrische gegevens.
De wetgever en ook de Nederlandse good governance code biedt de leiding wel een risicogerichte benadering ‘voer de DPIA uit of verklaar waarom een DPIA niet is uitgevoerd’.
Deze verplichting geldt niet voor individuele zorgverleners (individuele artsen en individuele zorgprofessionals) zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren.
Hoe kunnen de risico’s worden bepaald?
Bedrijven en instellingen zullen de risico’s moeten beschrijven en beoordelen. Bij de beschrijving en beoordeling moet rekening gehouden worden met de aard, omvang, context en de doelen van de verwerking. Risico’s kunnen zijn discriminatie, stigmatisering of uitsluiting van betrokkene, identiteitsdiefstal, financiële verliezen, verlies van vertrouwelijkheid van door beroepsgeheim beschermde persoonsgegevens en economisch of maatschappelijk nadeel van de betrokkene.
Let er bij het beschrijven van de risico’s vooral op dat het gaat om de risico’s die een betrokkene loopt bij de gegevensverwerking én niet de risico’s die de instelling zelf loopt. De betrokkene staat immers in de AVG centraal!
Negatieve gevolgen
Als de risico’s in kaart zijn gebracht wordt gekeken welke negatieve gevolgen de verwerking kan hebben op de rechten en vrijheden van de betrokkenen, de oorsprong van deze gevolgen en de waarschijnlijkheid (kans) dat dit zal gebeuren én de ernst/impact van deze gevolgen voor de betrokkenen.
Heeft u de risico’s bepaald, kunt u gaan bepalen welke maatregelen uw organisatie moet nemen om de risico’s weg te nemen of misschien zijn de risico’s wel zo groot dat u besluit persoonsgegevens op deze manier niet te willen verwerken. Zorg er in het kader van de verantwoordingsplicht altijd voor dat alle stappen gedocumenteerd zijn.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl. Uiteraard kunnen wij ook in gesprek gaan voor het uitvoeren van een DPIA, klik hier.
