Data Protection Impact Assessment (DPIA)

Ja, zeker! Ook als het uitvoeren van een DPIA geen wettelijke verplichting is voor jouw organisatie kan het raadzaam zijn om tóch een DPIA uit te voeren. Een goed uitgevoerde DPIA zorgt er namelijk voor dat je inzichten verkrijgt in de mogelijke risico’s voor de betrokkenen die bij de verwerking van persoonsgegevens betrokken zijn. Bovendien biedt de DPIA praktische maatregelen en handvatten voor jouw organisatie om rekening mee te houden bij de verwerking van persoonsgegevens.

De verplichting voor het uitvoeren van een DPIA is opgenomen in de:

• Algemene erordening gegevensbescherming (AVG);
• Wet politiegegevens (Wpg);
• Wet justitiële en strafvorderlijke gegevens (Wjsg).

Let op, in deze wetten wordt de DPIA een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

De verwerkingsverantwoordelijke zorgt voor de uitvoering van de DPIA. Hij of zij kan de uitvoering zelf doen of laten uitvoeren door een externe partij. In de praktijk wordt de DPIA meestal uitgevoerd door de proceseigenaren met de steun van de Privacy Officer (PO) in de organisatie.

De Functionaris Gegevensbescherming (FG) mag in ieder geval niet een DPIA uitvoeren. De Functionaris Gegevensbescherming heeft namelijk een toezichthoudende en adviserende rol binnen de organisatie. Hij of zij schrijft wel een advies op het DPIA-rapport.

Daarnaast is het ook mogelijk dat je als verwerker, bijvoorbeeld als leverancier, voor je klanten een referentie DPIA opstelt. Hierbij dient de verwerkingsverantwoordelijke wel altijd nog te kijken hoe de betreffende verwerking plaatsvindt in haar eigen organisatie.

Hoe jouw organisatie een DPIA moet uitvoeren is niet bij wet voorgeschreven. Ons advies is om binnen de organisatie een procedure op te (laten) stellen voor de uitvoering van een DPIA. Laat daarin in ieder geval de volgende elementen terugkomen:

• Voorwaarden (en beleid eigen organisatie) uitvoering DPIA’s;
• De specifieke verwerkingen binnen de organisatie waar in ieder geval een DPIA voor moet worden uitgevoerd;
• Moment uitvoering van de DPIA;
• Verantwoordelijke functionaris voor de uitvoering van de DPIA;
• Aanpak, tijdslijn en verdeling verantwoordelijkheden;
• Advisering op uitvoering en uitkomsten DPIA;
• Besluitvorming omtrent de uitkomsten van de DPIA;
• Evaluatie van de procedure;
• Herhaling van DPIA’s;
• Rapportagelijnen;
• Rapportagekeuze;
• Bijlagen met vragenlijsten als men ervoor kiest om met een standaardvragenlijst te werken;
• Nog meer relevante procedurele zaken afhankelijk van de organisatie.

Er zijn diverse templates voor zowel DPIA-vragen als DPIA-rapportages. Zo heeft NOREA vragenlijsten gepubliceerd die binnen veel gemeenten als basis worden gebruikt. De Rijksoverheid heeft ook een Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA) gepubliceerd waar de meeste organisaties gebruik van maken om de DPIA-uitkomsten te rapporteren. De verwerkingsverantwoordelijke is vrij in de keuze van de uitvoering en rapportage van de DPIA, zolang er maar aan de basisvereisten voor een DPIA uit artikel 35 lid 7 AVG wordt voldaan. Cuccibu hanteert tevens een eigen methodiek en rapportage template bij het uitvoeren van haar DPIA’s.

Zet jouw organisatie cameratoezicht in om de eigendommen, het personeel of gebouwen te beveiligen? Dan moet je voldoen aan de eisen uit de AVG. Het betreft namelijk camerabeelden waarbij persoonsgegevens worden verwerkt. In principe is het uitvoeren van een DPIA verplicht wanneer het een groot privacy risico vormt voor de personen die op beeld worden vastgelegd.
In twee gevallen is een DPIA in ieder geval verplicht:

• Bij grootschalig en/of systematisch cameratoezicht om diefstal tegen te gaan of mensen te beschermen.
• Als jouw organisatie een verborgen camera (heimelijk cameratoezicht) wil inzetten. Dit geldt ook als het heimelijk cameratoezicht incidenteel is.