Wat is een DPIA?
DPIA staat voor Data Protection Impact Assesment. De naam geeft het misschien al weg, maar een DPIA is een middel om vooraf privacyrisico’s van een gegevensverwerking in kaart te brengen. Deze gegevens zijn dan wel persoonsgegevens. Persoonsgegevens zijn gegevens die direct of indirect teruggeleid kunnen worden naar een individueel persoon. Denk bijvoorbeeld aan naam, e-mailadres of adres. Deze risico’s zien voornamelijk op de situaties dat de persoonsgegevens openbaar worden gemaakt of toegankelijk zijn voor onbedoelde derden. Een andere naam voor een DPIA is een gegevensbeschermingseffectbeoordeling.
Wanneer is een DPIA verplicht?
Het eerste vereiste is dat een DPIA alleen verplicht kan zijn voor een verwerkingsverantwoordelijke. Dit is de organisatie die het doel en middel bepaalt voor de verwerking. Verwerking is een brede term. Dit kunnen eigenlijk alle handelingen zijn die uitgevoerd kunnen worden met persoonsgegevens. Denk aan: verzamelen, opslaan, vastleggen of verwijderen. De organisatie komt in aanmerking voor een verplichte DPIA als de verwerking een verhoogd risico met zich meebrengt. Dit klinkt misschien vaag maar is concreet gemaakt door de Nederlandse Autoriteit Persoonsgegevens. De Autoriteit Peroonsgegevens heeft een lijst gepubliceerd van 17 situaties waarin een DPIA verplicht is:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische persoonsgegevens
- Gezondheidsgegevens
- Samenwerkingsverbanden
- Cameratoezicht
- Flexibel cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things
- Profilering
- Observatie en beïnvloeding van gedrag
- Biometrische gegeven
Voor de betekenis van de specifieke situaties verwijzen we je graag naar de bron die onder de lijst genoemd staat. In alle gevallen gaat het om een grootschalige verwerking. Dus kom je één of twee keer in een situatie als bovenstaand terecht, dan ben je niet verplicht om een DPIA uit te voeren.
Ondanks dat niet alle bedrijven verplicht zijn om een DPIA uit te voeren betekent dit niet dat er geen risico's zijn. Als verwerkingsverantwoordelijke kan je nog steeds aansprakelijk gesteld worden indien je persoonsgegevens van derden openbaar maakt of op andere manier inbreuk maakt op hun privacyrechten. Daarom is het ook altijd aan te raden om een risico inschatting te maken van alle verwerkingen binnen jouw organisatie.
