EHDS Jurist

Menu

Wat is een DPIA, wat niet?

Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermingseffectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?

Wat is de DPIA wel?

De DPIA is het verslag van een grondige denk-sessie. Men heeft het plan opgevat om iets te gaan doen met persoonsgegevens, maar dat kan risicovol zijn ten aanzien van de privacy. In de DPIA wordt daarom stap voor stap uiteengezet welke verwerkingen men exact van plan is en met welk doel; wat de risico’s zijn; of deze risico’s afdoende kunnen worden afgedekt; of het geheel conform de AVG is; of de eventuele niet af te dekken rest-risico’s in verhouding staan tot het doel; en of de plannen op grond van dit alles uitgevoerd mogen worden of toch maar niet. Het is met andere woorden een uitgebreide, stapsgewijze analyse of bepaalde plannen nu wel zo’n goed idee zijn, in het licht van de privacy. Onder omstandigheden moeten de betrokkenen hierin meegenomen worden, zoals patiëntenverenigingen of werknemers (via de OR).

Wat is de DPIA niet?

De DPIA is geen ritueeltje. Veelal wordt gebruik gemaakt van model DPIA’s. Daar is niets mis mee als ze op de juiste manier worden gebruikt, namelijk als hulpmiddel om een grondige analyse uit te voeren. Wanneer het model echter gebruikt wordt als een formulier dat nu eenmaal ingevuld moet worden, dan gaat het mis. De DPIA is niet bedoeld om te bereiken dat iets gedaan mag worden, maar om een antwoord te vinden op de vraag of iets gedaan mag worden. De DPIA is bovendien geen marketingtool. Hij is bedoeld voor interne overweging en niet om extern te laten zien hoe geweldig veel belang men hecht aan de AVG. Ook is het niet verstandig om DPIA’s uit te voeren voordat de vraag is beantwoord of men eigenlijk wel verwerkingsverantwoordelijke is. Een verwerker is iemand die persoonsgegevens verwerkt in opdracht van iemand anders; de controller. De verwerker mag zichzelf niet tot controller maken. Door DPIA’s uit te voeren ten aanzien van gegevens waar men geen controller van is, loopt men het risico dat wel te doen.

Wanneer moet het?

De DPIA moet worden uitgevoerd “wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” DPIA’s zijn met name vereist bij:

  1. Een systematische en uitgebreide beoordeling van persoonlijke aspecten, gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor rechtsgevolgen zijn verbonden of die bepaalde personen op vergelijkbare wijze wezenlijk treffen;
  2. Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens;
  3. Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
  4. Alles wat door de Autoriteit Persoonsgegevens op de DPIA lijst is geplaatst.

Nota bene, verwerking van bijzondere persoonsgegevens vereist dus niet altijd een DPIA, alleen als er sprake is van grootschalige verwerking. Wat er gebruikelijk gedaan wordt bij individuele zorgverleners valt hier niet onder.

Wanneer hoeft het niet?

Een DPIA moet bij verwerkingen die ‘waarschijnlijk een hoog risico’ inhouden, maar is het duidelijk dat er geen risico’s zijn, dan hoeft het dus niet. Het hoeft bovendien niet telkens opnieuw voor soortgelijke verwerkingen; doet men als academisch ziekenhuis regelmatig medisch wetenschappelijk onderzoek met eigen gezondheidsgegevens in de eigen beveiligde verwerkingsomgeving, dan hoeft er niet telkens opnieuw een DPIA te worden uitgevoerd. De set data is wellicht anders, maar de verwerkingen zijn soortgelijk. Een DPIA hoeft ook niet als sprake is van een wettelijk verplicht of een wettelijke taak, mits bij het opstellen van die wet al een effectbeoordeling heeft plaatsgevonden (tenzij die wet alsnog een DPIA voorschrijft natuurlijk).

Rol van de functionaris gegevensbescherming

Anders dan veelal wordt gedacht, wordt de DPIA niet uitgevoerd door de functionaris gegevensbescherming (FG). Wel moet de verwerkingsverantwoordelijke bij de FG (als hij die heeft) advies inwinnen. Als er overigens daadwerkelijk een plicht bestaat tot het doen van een DPIA, dan zal het meestal ook verplicht zijn om een FG aan te stellen. De FG weet zelf niet wat de verwerkingsverantwoordelijke precies in gedachten heeft, aan risicovolle verwerkingen. Dit moet dus aan de FG worden uitgelegd, waarbij uiteen wordt gezet wat het plan is en waarom, welke risico’s men ziet, welke beveiliging men in gedachten heeft. De FG adviseert dan of die geplande maatregelen afdoende lijken, of het conform de AVG lijkt te zijn. Maar de FG verricht de analyse zelf niet, en neemt ook niet het besluit of een plan door mag gaan. En de FG heeft zeker niet de rol om zomaar groene vinkjes uit te delen.