Wolters Kluwer
Vaktechniek door Nathanja de Kruijff 21 december 2017

Accountability in GDPR: het uitvoeren van een DPIA

Hoe gaat het met de voorbereidingen om jouw kantoor GDPR-proof te krijgen? Dit is alweer het vierde blog in de GDPR-serie en in deze blog ga ik je informeren over accountability: het uitvoeren van een data protection impact assessment. DPIA in het kort. Voordat ik verder op dit onderwerp in ga, blik ik nog graag even met je terug op mijn vorige blog. 

In het derde blog 'Accountability in GDPR: register van verwerkingsactiviteiten' schreef ik over de verplichtingen waar ondernemingen aan moeten voldoen volgens het accountability vereiste. Onderstaand nogmaals op een rijtje:

  • het bijhouden van een register van verwerkingsactiviteiten;
  • het uitvoeren van een data protection impact assessment (DPIA);
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig heeft.
  • wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een FG aan te stellen.

In deze blog gaan we het hebben over de tweede in de rij, namelijk het uitvoeren van een data protection impact assessment. Als je dit al een mond vol vindt, bedenk dan dat de Autoriteit Persoonsgegevens spreekt over een 'gegevensbeschermingseffectbeoordeling'. Dat bekt al helemaal niet zo lekker! Waar het om gaat, is wat deze verplichting inhoudt.

Wat is een data protection impact assessment?

De meeste van ons kennen wel de PIA, privacy impact assesment. Dit wordt meestal toegepast bij nieuwe projecten met impact op persoonsgegevens. Op basis van een vragenlijst worden de privacyrisico’s ingeschat. De data protection impact assesment (hierna: DPIA) is een specifieke soort PIA die is vastgelegd in de GDPR met specifieke verplichtingen. Artikel 35 van de GDPR stelt wanneer een DPIA vereist is, namelijk wanneer een type gevensverwerking:

  • nieuwe technologieën gebruikt; en
  • het waarschijnlijk is, dat de verwerking een hoog risico inhoudt voor natuurlijke personen.

Daarbij moet gekeken worden naar de aard, omvang, context en doelen van de gegevensverwerking. Het gaat dus om het risico voor het individu, niet voor bijvoorbeeld de business. Er moet telkens gekeken worden of de gegevensverwerking een hoog risico vormt voor de betrokkene. Een paar voorbeelden hiervan zijn:

  • Systematische evaluatie van persoonlijke aspecten gebaseerd op automatische verwerking, zoals profiling.
    De beslissingen die daaruit voortkomen hebben juridisch effect (denk hierbij aan automatische afwijzing voor bepaalde betaalmethodes).
  • Het in grote hoeveelheden verwerken van bijzondere persoonsgegevens (bijv. gezondheidsgegevens, politieke gezindheid, ras etc.).
  • Systematisch monitoring van publiek toegankelijke gebieden (denk aan cameratoezicht).

Hoe voer je een DPIA uit?

Je bent dus niet in alle gevallen verplicht om een DPIA uit te voeren. Alleen wanneer je gegevensverwerking een hoog risico inhoudt voor natuurlijke personen. Is dit het geval, dan moet je een DPIA uitvoeren voordat de gegevensverwerking begint. De verantwoordelijke als data-eigenaar en degene die de doel en middelen van de gegevensverwerking bepaalt, moet de DPIA uitvoeren.

Maar hoe voer je een DPIA uit? De vorm en structuur is vrij, maar de Europese privacytoezichthouders geven een aantal richtlijnen mee. Het belangrijkste is dat de volgende pijlers deel uitmaken van DPIA:

  • een beschrijving van de beoogde verwerkingen en doeleinden;
  • beoordeling van de noodzaak en proportionaliteit van de verwerkingen;
  • beoordeling van de risico’s voor de betrokkenen;
  • beoogde maatregelen om:
    • risico’s aan te pakken; en/of
    • aan te tonen dat aan GDPR is voldaan.

In veel gevallen zal een DPIA dus niet verplicht zijn. Toch is het raadzaam om in sommige gevallen een PIA uit te voeren. Dus niet de DPIA is verplicht gesteld door GDPR, maar een PIA zoals we die nu deels al kennen. Dit is namelijk de manier om GDPR-compliant te gaan werken en 'privacy by design' te implementeren. Mijns inziens zou je een PIA moeten uitvoeren in de volgende gevallen:

  • Wanneer je nieuwe applicaties ontwerpt en/of aanschaft die persoongegevens verwerken.
  • Wanneer je applicaties aanpast met impact op persoonsgegevens.
  • Introductie van een nieuwe elektronische manier van persoonsgegevens vergaren.
  • Nieuwe of geupdate ‘rulemaking’ dat effect heeft op persoonsgegevens.

Hiermee trigger je dus bij nieuwe intiatieven dat er naar de impact op persoonsgegevens gekeken wordt. Daarbij leg je vast wat er verandert en hoe privacy geborgd wordt. Hiermee voldoe je dan gelijk aan de documentatieplicht en privacy by design. Het hoeft niet zo uitgebreid te zijn als de DPIA, maar een PIA kun je tailor made maken op wat het project vraagt.

Wat betekent dit voor jouw kantoor?

Als je als verantwoordelijke gegevensverwerkingen doet die een hoog risico inhouden voor individuen, is de kans groot dat je verplicht bent om een DPIA uit te voeren. Deze is grotendeels vormvrij, maar het is belangrijk om bovengenoemde pijlers daar in mee te nemen. Hoef je geen DPIA uit te voeren? Dat scheelt een stuk, maar nog steeds is het belangrijk om als doorlopend proces PIA's in te voeren. Deze zijn niet verplicht, maar helpen je wel GDPR-principes zoals privacy by design en documentatieplichten in te voeren.

Glossary: Alles over GDPR

De informatie over GDPR is best lastig. Daarom heb ik geprobeerd alles zo duidelijk mogelijk te maken in de glossary 'Alles over GDPR'. De glossary biedt definities en verplichtingen die ontstaan vanuit de regelgeving. Aan de hand van de toegevoegde checklist kun je bepalen of je GDPR-compliant bent. Je kunt de glossary gratis downloaden

De nieuwste blogs 

Wil je weten wanneer De online accountant nieuwe blogs heeft? 
Meld je aan en je ontvangt een e-mail met de nieuwste blogs.  

Aanmelden blog.png 

Onze meest recente blogs:

Vaktechniek

Fiscale bewaarplicht: 7 punten waar je niet omheen kunt

Vaktechniek

Prinsjesdag 2018, wat zit er in de koker van Snel?

Ondernemen

De 6 uitdagingen van een startend accountantskantoor

Vaktechniek

Cryptocurrencies & blockchain in Nederland

Ondernemen

Hét kenmerk van de beste ondernemers