(D)PIA

Binnen de AVG wordt er gesproken over een Gegevensbeschermingseffectbeoordeling, of te wel een Data Protection Impact Assessment (DPIA) of een Privacy Impact Assessment (PIA). Deze termen worden door elkaar gebruikt maar zijn gelijk aan elkaar, wij hanteren DPIA.

Met de uitvoering van een DPIA brengt u op een efficiënte wijze de privacy risico’s binnen uw organisatie in beeld. Buiten dat u deze gegevens in beeld brengt dwingt het ook om na te denken over de processen.

  • Hebben we deze gegevens daadwerkelijk nodig?
  • Wat is het risico voor de betrokkene?
  • Gebruiken we de gegevens op de juiste wijze?
  • Kunnen we werkzaamheden uitvoeren met minder risico voor de privacy van de betrokkene?

Tevens kunt u vanuit de DPIA gegevens een risicomatrix opstellen om de meest privacygevoelige in combinatie met de grootste zwakheden binnen uw organisatie als eerste te verbeteren. Hiermee kunt u er voor zorgen dat de grootste risico’s met de meeste maatschappelijke impact als eerste wordt behandeld.

Voor als nog wordt er vaak, onterecht, gezien als een verplicht obstakel in het privacybewust worden van de organisatie. Het is een omvangrijk proces en raakt alle deelprocessen waardoor de samenhang van de gegevens duidelijk wordt en de risico’s boven komen drijven. Naast het feit dat het inzicht verschaft kan het ook als een bedreiging voelen, omdat in bepaalde gevallen de werkelijkheid op het gebied van privacy minder goed blijkt te zijn. Daarbij kan het een goede tool zijn bij de start van een nieuw project en daarbij als ondersteuning dienen voor het privacy by design principe.

Voor bepaalde organisaties is het verplicht om jaarlijks een DPIA uit te voeren. De AVG schrijft voor dat een organisatie verplicht is om een DPIA uit te voeren als de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, dit is in ieder geval zo als:

  • Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Wederom komt hier de term “op grote schaal” naar voren. Dit blijft een vage omschrijving. De autoriteit persoonsgegevens geeft de volgende richtlijnen voor “op grote schaal”

  • Het aantal betrokkenen (de mensen van wie u gegevens verwerkt).
  • De hoeveelheid gegevens die u verwerkt.
  • De duur van de gegevensverwerking.
  • De geografische reikwijdte van de verwerking.

Vanuit deze stelling kunnen we zeker stellen dat een ziekenhuis, gemeente, verzekeringsmaatschappij, bank, marktonderzoeksbureau en een telefoonprovider “op grote schaal” persoonsgegevens verwerken.

Vanuit deze stelling kunnen we ook zeker stellen dat een advocaat, makelaar, huisarts en aannemer (eenpitters) niet “op grote schaal” gegevens verwerken.

Ergens tussen deze twee uiterste ligt het kantelpunt van wel of niet “op grote schaal” verwerken van persoonsgegevens. Maar tot op heden kan nog niemand duiden waar dit precies ligt. 

Wat vast staat is dat een DPIA een heel goed hulpmiddel is om de privacyrisico’s binnen uw organisatie en processen goed in beeld te brengen en te prioriteren. Het verdient dus absoluut de aanbeveling voor iedere organisatie om minimaal één keer een DPIA uit te voeren en de resultaten te beoordelen.

Vanzelfsprekend kunt u op een vrijblijvende wijze het gesprek met ons hierover aangaan. Wij zijn u graag van dienst.