Volgens de AVG is een verwerkingsverantwoordelijke verplicht om een zogenoemde ‘gegevensbeschermingseffectbeoordeling’ uit te voeren voor verwerkingen die waarschijnlijk een hoog privacyrisico opleveren. In de praktijk wordt hiervoor vrijwel altijd de Engelse term ‘Data Protection Impact Assesment’, of ‘DPIA’ voor gebruikt. Een DPIA is kortgezegd een beoordeling van de risico’s van de verwerking. Dit moet voorafgaand aan de verwerking, zodat er maatregelen kunnen worden genomen die het risico van de verwerking verkleinen. Het uiteindelijke doel van een DPIA is dat je verwerking in lijn is met de AVG. Maar wanneer heeft een verwerking waarschijnlijk een hoog privacyrisico en hoe bepaal je dat?
Criteria voor een DPIA-plicht
Omdat de DPIA een verplichting is voor de verwerkingsverantwoordelijke, moet de verwerkingsverantwoordelijke zelf beoordelen of hij verplicht is een DPIA uit te voeren. Gelukkig zijn er richtlijnen om te beoordelen of een verwerking een hoog risico inhoudt. In de AVG staat allereerst 3 verschillende situaties waarin een DPIA verplicht is. Daarnaast hebben de Europese privacytoezichthouders gezamenlijk een lijst opgesteld van gevallen waarin een DPIA verplicht kan zijn. Ten slotte heeft de Autoriteit Persoonsgegevens (de Nederlandse privacytoezichthouder) een lijst opgesteld met verwerkingen waarvoor een DPIA verplicht is.
DPIA volgens de AVG
De AVG geeft 3 situaties waarin een DPIA met name verplicht is:
- Bij een systematische beoordeling van personen, waaronder profilering, met behulp van geautomatiseerde verwerking. Bijkomende voorwaarde is wel dat er op basis van deze beoordeling een besluit wordt genomen dat gevolgen heeft voor de persoon in kwestie, bijvoorbeeld het wel of niet verstrekken van een lening vanwege een beoordeling van iemands financiële situatie.
- Bij grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens. Bijzondere persoonsgegevens zijn extra gevoelige gegevens, bijvoorbeeld gegevens over etnische afkomst, seksuele geaardheid, politieke voorkeur of iemands gezondheid. Strafrechtelijke persoonsgegevens zijn gegevens over veroordelingen of strafbare feiten die iemand heeft gepleegd. Verwerking van bijzondere en strafrechtelijke persoonsgegevens is in beginsel verboden, vanwege de gevoeligheid van de gegevens. Of een verwerking grootschalig is, hangt af van de hoeveelheid persoonsgegevens, de hoeveelheid personen, de duur van de verwerking en in welk gebied de verwerking plaatsvindt. Deze verplichting geldt volgens de AVG overigens niet voor individuele artsen, andere zorgprofessionals en advocaten, omdat de verwerking dan niet grootschalig is.
- Bij stelselmatige én grootschalige monitoring van openbare ruimten, zoals bijvoorbeeld cameratoezicht op een drukke plek. Het begrip stelselmatig wordt niet verder uitgelegd in de AVG, maar het spreekt voor zich dat het moet gaan om verwerkingen die niet slechts incidenteel zijn, maar regelmatig plaatsvinden.
De woorden met name tonen aan dat er meer gevallen denkbaar zijn waarin een DPIA verplicht is, deze opsomming is dus niet limitatief en de Europese toezichthouder heeft ook meer criteria genoemd dan in de AVG staan.
Andere indicaties van een verwerking met een hoog privacyrisico die de AVG noemt zijn de inzet van een nieuwe technologie of het feit dat betrokkenen hun rechten uit de AVG niet kunnen uitoefenen.
DPIA-verplichting volgens de Europese toezichthouder
De Europese toezichthouder heeft richtsnoeren vastgesteld die als uitgangspunt gelden voor de beoordeling van wanneer een DPIA verplicht is. De richtsnoeren noemen 9 criteria die moeten worden meegenomen in de beoordeling of een verwerking “waarschijnlijk een hoog risico inhoudt”. De vuistregel is dat als er aan 2 van de 9 criteria is voldaan, je verplicht bent een DPIA uit te voeren. Dat betekent niet dat wanneer je slechts aan 1 van de criteria voldoet je nooit verplicht bent om een DPIA uit te voeren, je moet altijd kijken naar jouw specifieke omstandigheden.
1. Evaluatie of scoretoekenning
Dit komt overeen met het eerste punt dat de AVG noemt, namelijk de (systematische) beoordeling van personen. Dit is met name risicovol wanneer kenmerken over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene worden geanalyseerd of voorspeld en dit gevolgen voor hem heeft. Voorbeelden hiervan zijn onder meer kredietwaardering van klanten door financiële instellingen of een database die wordt ingezet in het kader van fraude- en witwaspraktijken.
2. Geautomatiseerde besluitvorming met gevolgen
In de AVG is geautomatiseerde besluitvorming, waaronder profilering, zonder menselijke tussenkomst verboden als dat besluit gevolgen heeft voor een persoon of een persoon wezenlijk treft. Er wordt daarmee al een signaal afgegeven dat dit een redelijk risicovolle verwerking kan zijn, ook met menselijke tussenkomst. Het kan onder meer leiden tot discriminatie of het ten onrechte worden aangemerkt als fraudeur. Geautomatiseerde besluitvorming gebeurt dan ook vaak in combinatie met evaluatie of scoretoekenning; op basis van bepaalde criteria uit een profiel van een persoon kan diegene bijvoorbeeld als fraudeur worden bestempeld wat vergaande gevolgen kan hebben.
3. Stelselmatige monitoring
In de AVG wordt al stelselmatige monitoring van een openbare ruimte genoemd als situatie waarin een DPIA verplicht is. De Europese toezichthouder voegt daar ‘het observeren, monitoren of controleren van betrokkenen, inclusief via netwerken verzamelde gegevens’ aan toe. Het risico bij dit soort verwerkingen is dat de betrokkene vaak niet op de hoogte is van de verwerking. Hij weet niet wie zijn persoonsgegevens heeft en wat daarmee wordt gedaan. Daarnaast kan het onmogelijk zijn om de verwerking te voorkomen, met name bij monitoring van de openbare ruimte.
4. Gevoelige gegevens of andere zeer persoonlijke gegevens
Hieronder vallen zonder meer bijzondere en strafrechtelijke persoonsgegevens, welke hiervoor kort zijn besproken. Daarnaast zijn er ook andere persoonsgegevens denkbaar die hier niet onder vallen, maar desondanks zeer gevoelig kunnen zijn. Denk bijvoorbeeld aan gegevens over huishoudelijke of privéactiviteiten, zoals je e-mails die vertrouwelijk zouden moeten zijn, aan locatiegegevens die iets kunnen zeggen over waar je precies bent geweest of aan andere gegevens die grote gevolgen voor iemand kunnen hebben, zoals bijvoorbeeld financiële gegevens die gebruikt kunnen worden in fraudeonderzoek. Het kan relevant zijn voor de beoordeling of een verwerking een hoog risico inhoudt of de gegevens al openbaar waren, maar alleen als daardoor een redelijke verwachting bestaat dat de gegevens verder gebruikt worden.
5. Grootschalige verwerkingen
Eerder werd al uitgelegd wat grootschalig inhoudt. Een grootschalige verwerking brengt extra risico met zich mee, vooral wanneer er veel verschillende persoonsgegevens van een groot aantal personen wordt verwerkt. Een datalek kan in dat geval erg veel mensen treffen.
6. Samenvoegen van datasets
Datasets uit verschillende verwerkingen voor verschillende doeleinden kunnen worden samengevoegd. Dat kan ingaan tegen de verwachting van de betrokkene personen, zij hebben immers hun persoonsgegevens gedeeld met de gedachte dat ze enkel worden gebruikt voor het gestelde doel en niet ineens ook voor andere doeleinden.
7. Persoonsgegevens van kwetsbare groepen
Wanneer persoonsgegevens van een kwetsbare groep worden verwerkt, bestaat er een machtsongelijkheid tussen de verwerkingsverantwoordelijke en de personen in kwestie. Onder ‘kwetsbare groepen’ vallen bijvoorbeeld kinderen, werknemers, patiënten, asielzoekers, geesteszieken en ouderen.
8. Gebruik van nieuwe technologische toepassingen
Ook in de AVG wordt dit als criterium genoemd om rekening mee te houden. Nieuwe vormen van gegevensverwerking kunnen meer risico met zich meebrengen, omdat de werking en de gevolgen van de nieuwe technologie nog niet helemaal bekend zijn. Voorbeelden die de Europese toezichthouder noemt zijn slimme apparaten (“internet of things” toepassingen) of het combineren van vingerafdruk- en gezichtsherkenning voor een betere identificatie van personen.
9. Het niet kunnen uitoefenen van een recht of geen beroep kunnen doen op een dienst / overeenkomst
Hieronder vallen alle verwerkingen “die erop gericht zijn de toegang van betrokkenen tot een dienst of de mogelijkheid van betrokkenen om een overeenkomst aan te gaan toe te staan, te wijzigen of te weigeren.” Een voorbeeld is de screening van klanten door een bank om te beslissen of zij wel of geen lening krijgen. Dit heeft veel overlap met de eerste 2 criteria, maar deze criteria vallen niet per se samen. Het is immers denkbaar dat een verwerking die niet gebaseerd is op profilering alsnog iemand kan uitsluiten van een dienst, zonder vergaande gevolgen. Dat is geheel afhankelijk van om wat voor dienst het gaat.
DPIA-verplichting volgens de Autoriteit Peroonsgegevens
Ook de Autoriteit Persoonsgegevens heeft een overzicht gegeven van situaties, waarin een DPIA verplicht is. Deze situaties voldoen allemaal aan 2 of meer van de criteria van de Europese toezichthouder (zie hierboven); de nummers van de criteria staan tussen haakjes achter de verwerkingsactiviteit. Omdat het overzicht van de Autoriteit Persoonsgegevens veel concretere situaties/verwerkingsactiviteiten bevat, is het dus verstandig om eerst naar dit overzicht te kijken wanneer je denkt een DPIA te moeten uitvoeren. Het gaat om de volgende verwerkingsactiviteiten:
1. Heimelijk onderzoek (3, 5 en 7)
Heimelijk onderzoek is wanneer de persoon die wordt onderzocht hiervan niet op de hoogte is. Het moet daarbij wel gaan om grootschalige en/of stelselmatige monitoring van personen. Concrete voorbeelden die de AP geeft zijn het heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding, onderzoek op internet in het kader van handhaving van auteursrechten, en heimelijk cameratoezicht door werkgevers in het kader van diefstal/fraude door werknemers.
2. Zwarte lijsten (4, 6, 7 en 8)
Hieronder vallen verwerkingen waarbij strafrechtelijke persoonsgegevens, gegevens over onrechtmatig of hinderlijk gedrag en gegevens over wanbetalingen door bedrijven of particulieren worden verwerkt en gedeeld met derden. Voorbeelden hiervan zijn waarschuwingslijsten van horecabedrijven, verzekeraars, winkelbedrijven, telecomproviders en lijsten over onrechtmatig gedrag van werknemers.
3. Fraudebestrijding (3, 4, 5 en 9)
Hieronder valt grootschalige verwerking van persoonsgegevens en/of stelselmatige monitoring in het kader van fraudebestrijding. Fraudebestrijding werd ook al genoemd bij ‘heimelijk onderzoek’, maar in dit geval wordt dus een meer algemene verwerking in het kader van fraudebestrijding bedoeld en niet het onderzoek van één persoon.
4. Creditscores (1, 2, 3, 4, 5 en 9)
Een voorbeeld wat al een aantal keren naar voren kwam, is het toekennen van een kredietscore aan personen. De Autoriteit Persoonsgegevens doelt ook hier specifiek op grootschalige verwerking en/of stelselmatige monitoring die als gevolg hebben dat een persoon wordt geëvalueerd op zijn kredietwaardigheid, uitgedrukt in een score.
5. Financiële situatie (3, 4, en 5)
Hieronder vallen grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie van personen blijkt, of waaruit het bestedingspatroon van mensen is af te leiden. Een voorbeeld hiervan is je betaalgeschiedenis.
6. Genetische gegevens (3, 4, en 5)
Een DPIA is ook verplicht bij grootschalige verwerkingen en/of stelselmatige monitoring van genetische gegevens, zoals DNA-analyses om persoonlijke kenmerken in kaart te brengen of om bepaalde ziektebeelden te voorspellen.
7. Gegevens over iemands gezondheid (4, 5 en 7)
Zoals eerder naar voren kwam valt hier volgens de AVG alleen grootschalige verwerking onder, dus bijvoorbeeld de verwerking van medische gegevens door ziekenhuizen, arbodiensten, instellingen voor speciaal onderwijs, verzekeraars en onderzoeksinstituten. Individuele artsen of zorgprofessionals zijn uitgezonderd, omdat zij gegevens niet grootschalig verwerken.
8. Samenwerkingsverbanden (6, 7 en 8)
Bij samenwerkingsverbanden kunnen persoonsgegevens worden gedeeld tussen overheidsorganen en andere publieke of private partijen. Wanneer daarbij gevoeligere gegevens worden gedeeld, bijvoorbeeld over jeugdzorg, verslaving, armoede of werkloosheid, is een DPIA verplicht.
9. Cameratoezicht (3 en 5)
Als cameratoezicht grootschalig en stelselmatig plaatsvindt in openbare ruimten, is een DPIA verplicht. Dit volgt ook al uit de AVG.
10. Flexibel cameratoezicht (3 en 5)
Hiervoor geldt hetzelfde als het vorige punt, alleen gaat het hier om niet-vaste camera’s, zoals bodycams en dashcams.
11. Controle werknemers (3, 5 en 7)
Hieronder valt onder meer het controleren van activiteiten van werknemers, bijvoorbeeld door middel van toezicht op internetgebruik, het bijhouden van locatie, of cameratoezicht. Voorwaarde is wel dat de verwerking grootschalig is en/of stelselmatige monitoring inhoudt.
12. Locatiegegevens (3 en 5)
Hieronder valt de GPS-functie in de apps van je telefoon of navigatiesysteem of het volgen van de locatie van reizigers in het openbaar vervoer (bijvoorbeeld de reishistorie op je OV-chipkaart). Ook hier geldt dat het moet gaan om grootschalige verwerking en/of stelselmatige monitoring.
13. Communicatiegegevens (3 en 5)
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens, waaronder metadata (gegevens over gegevens) die herleidbaar is naar een persoon, vereist een voorafgaande DPIA. Dit vindt alleen uitzondering als het verwerken van deze gegevens noodzakelijk is om de veiligheid en integriteit van een netwerk en de dienst van de aanbieder of het apparaat van de gebruiker te waarborgen.
14. Internet of things (3, 5 en 8)
Hieronder valt grootschalige verwerking en/of stelselmatige monitoring op basis van gegevens van apparaten die zijn verbonden met internet of die op een andere manier gegevens kunnen uitwisselen.
15. Profilering (1 en 5)
Voor een systematische en grootschalige beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking is een DPIA vereist, met name bij beoordelingen van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
16. Observatie en beïnvloeding van gedrag (1 en 5)
Wanneer op grote schaal persoonsgegevens worden verwerkt waarbij het gedrag van personen stelselmatig wordt geobserveerd en/of beïnvloed, is een DPIA verplicht. Een voorbeeld hiervan is het gericht reclame tonen aan mensen op basis van een profiel over hun voorkeuren.
17. Biometrische gegevens
Het laatste geval waarvoor een DPIA volgens de Autoriteit Persoonsgegevens zonder meer verplicht is, is wanneer er grootschalig en/of stelselmatig biometrische gegevens worden verwerkt met het oog op identificatie van personen. Biometrische gegevens zijn gegevens over iemands lichaam of fysiologie, waardoor hij direct kan worden geïdentificeerd. Voorbeelden van biometrische gegevens zijn de vingerafdruk, de irisscan en zelfs de manier van lopen van een persoon. Biometrische gegevens zijn bijzondere persoonsgegevens en de verwerking daarvan is in beginsel verboden. In Nederland is het toegestaan om biometrische gegevens te gebruiken, maar alleen voor zover dat strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Als je biometrische gegevens mag verwerken op basis van die uitzondering, is een DPIA wel eerst verplicht.
Gevallen waarin geen DPIA verplicht is
Tot slot zijn er een paar gevallen waarin geen DPIA hoeft te worden uitgevoerd, in sommige gevallen zelfs wanneer wel is voldaan aan de 2 van de 9 criteria van de Europese toezichthouder of wanneer de verwerking op de lijst van de Autoriteit Persoonsgegevens staat.
Allereerst is een DPIA verplicht bij verwerkingen die “waarschijnlijk een hoog risico opleveren”. Daarom is het bij verwerkingen die waarschijnlijk geen hoog risico opleveren ook niet verplicht een DPIA uit te voeren. Daarnaast is het volgens de AVG mogelijk om één DPIA uit te voeren voor soortgelijke verwerkingen, je hoeft dus niet voor iedere verwerking afzonderlijk een DPIA te verrichten wanneer de verwerkingen sterk met elkaar samenhangen en op elkaar lijken. Verder is een DPIA niet verplicht wanneer de verwerking in de wet is vastgesteld (Europees of nationaal) en voor het maken van de wettelijke verwerkingsgrond al een DPIA is uitgevoerd. Ten slotte heeft de nationale toezichthouder ook de bevoegdheid om concrete gevallen vast te stellen waarin een DPIA niet verplicht is, maar de Autoriteit Persoonsgegevens heeft daarvan geen gebruik gemaakt.
Hulp nodig met een DPIA?
Ben je benieuwd of een DPIA voor jouw concrete situatie verplicht is? Of heb je al een DPIA opgesteld en wil je graag een second opinion? De IT-Jurist kan je helpen met het opstellen, uitvoeren en reviewen van een DPIA.