DPIA’s: de actuele uitdagingen en need to knows

In de Algemene verordening gegevensbescherming (AVG) is de verplichting opgenomen om een data protection impact assessment (DPIA) uit te voeren voor verwerkingen met een hoog risico voor betrokkenen. Gosse Bijlenga vertelt over de uitdagingen van DPIA’s en de rol van de privacy officer en Functionaris Gegevensbescherming (FG) daarbij. 

Met een data protection impact assessment (DPIA) brengt een organisatie voorafgaand aan een nieuwe gegevensverwerking de privacyrisico’s voor betrokkenen in kaart. Het doel is om vervolgens maatregelen te nemen om de risico’s te verkleinen. Een privacy officer staat aan de lat om samen met de organisatie een DPIA uit te voeren. De Functionaris Gegevensbescherming (FG) geeft advies over de opzet en uitkomsten van een DPIA, en houdt toezicht op de uitvoering ervan.

DPIA in de praktijk

“Een DPIA zoals bedoeld in artikel 35 van de Algemene verordening gegevensbescherming (AVG) is een voorafgaande toets van een gegevensverwerking met een hoog risico voor betrokkenen. De focus ligt echt op de gevolgen voor de betrokkene”, zegt Gosse Bijlenga, FG, privacy consultant, partner en lead auditor bij adviesbureau L2P en een van de docenten van de actualiteitenreeks Next step privacy compliance.  

“In de praktijk wordt een DPIA nogal eens gebruikt als een instrument om van een voorgenomen gegevensverwerking na te gaan of deze in overeenstemming met de AVG kan plaatsvinden. Dat is in feite een check op compliance”, voegt Bijlenga toe. “Als een organisatie bijvoorbeeld een nieuwe applicatie wil aanschaffen, dan wordt er al snel geroepen dat er een DPIA nodig is. Natuurlijk kunnen daarbij privacyvraagstukken aan de orde zijn. Maar het is de vraag of er ook grote risico’s voor betrokkenen zijn, en je met een volledige DPIA aan de slag moet.”

DPIA: onnodig of noodzakelijk? 

Voorkom dat er onnodig een DPIA wordt uitgevoerd, maar let ook op dat de AVG (in artikel 35 lid 7) richtlijnen geeft voor de vereiste onderdelen van een DPIA, benadrukt Bijlenga. “Een A4 met de antwoorden op zes basisvragen over een voorgenomen gegevensverwerking is geen DPIA. De privacy officer heeft hierbij een belangrijke taak en verantwoordelijkheid om aan te geven wat een DPIA is en wat de praktische uitvoering betekent. De FG denkt mee over de inhoudelijke insteek van een DPIA.”

De FG adviseert niet alleen over de aanpak van een DPIA, maar ook over de uitkomsten. “In een advies over de resultaten van een DPIA staan bijvoorbeeld de extra maatregelen die nodig zijn om geconstateerde risico’s te minimaliseren. Het advies kan zelfs zijn om af te zien van de voorgenomen verwerking. Het is uiteindelijk aan de organisatie om de keuze over de vervolgstappen na de DPIA te maken. Dat kan bijvoorbeeld betekenen dat er gemotiveerd wordt afgeweken van het advies van de FG.”

Drie tips voor DPIA’s 

“Kijk kritisch naar situaties waarin een DPIA op grond van de AVG verplicht is”, adviseert Bijlenga. De Autoriteit Persoonsgegevens heeft een lijst opgesteld met verwerkingen waarvoor een DPIA verplicht is. Ook de negen criteria voor een DPIA van de Europese privacytoezichthouders geven praktische handvatten. De vuistregel is dat een DPIA verplicht is als aan twee van de negen criteria wordt voldaan.

“Zorg dat de risico’s voor betrokkenen goed op schrift staan”, voegt Bijlenga toe. “Noteer ook zorgvuldig wat er is gedaan advies van FG. Aantoonbaarheid is een essentieel principe van de AVG.”

Succesfactoren 

Een belangrijke succesfactor voor FG’s is om actief mee te denken over de inzet en het gebruik van DPIA’s, aldus Bijlenga. “Je wilt als FG de organisatie stimuleren om de wet- en regelgeving na te leven. Dat betekent dat je oog moet hebben voor de privacyvolwassenheid van de organisatie. Als er veel achterstallig onderhoud is, dan ligt een meer adviserende rol voor de hand. Als een medewerker met de beste bedoelingen een DPIA heeft opgesteld die in jouw visie niet voldoet aan de vereisten van de AVG, dan is het niet effectief om te zeggen: ga maar opnieuw je huiswerk doen. Dan kan je beter aangeven wat de minimale eisen zijn en meedenken over manieren om een DPIA voortaan beter te laten verlopen. In een organisatie die de basis goed op orde heeft, kan de FG veel formeler in de wedstrijd zitten en meer nadruk leggen op de toezichthoudende taken.”

“De kennis en kunde van privacy officers zijn cruciaal om een DPIA succesvol uit te voeren”, vult Bijlenga aan. “Maar je kunt het niet alleen. Alle medewerkers van de organisatie moeten zich bewust zijn van de potentiële privacyrisico’s van nieuwe gegevensverwerkingen, of van aanpassingen in processen, systemen en werkwijzen die mogelijk gevolgen hebben voor dataprotectie. Zodat er tijdig wordt aangegeven dat er een DPIA nodig kan zijn.” 

Verder kijken dan de AVG 

Bijlenga bespreekt in zijn bijdrage aan de actualiteitenreeks Next step privacy compliance naast DPIA’s ook Data Transfer Impact Assessments (DTIA’s). Een DTIA is een risicobeoordeling voor de doorgifte van persoonsgegevens naar landen buiten Europa. De advisering over DTIA’s is geen wettelijke taak van de FG. Organisaties zijn op grond van de AVG wel verplicht om de FG te vragen om een advies over een DPIA. 

“Het gaat bij DPIA’s uiteindelijk niet simpelweg om de toepassing van de AVG. Het draait erom dat je je verplaatst in de risico’s voor betrokkenen”, benadrukt Bijlenga. “Een DPIA is veel meer dan het beantwoorden van de vraag of er in de AVG een grondslag is voor een voorgenomen gegevensverwerking. Je wilt voorkomen dat de belangen van betrokkenen worden geschaad.”