Gegevensbeschermingseffectbeoordeling (DPIA)
Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Gegevensbeschermingseffectbeoordeling (GEB) of data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Verwerkingen waarvoor je een GEB/DPIA moet uitvoeren
Je voert als verwerkingsverantwoordelijke een GEB uit voor een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat geldt in het bijzonder voor een verwerking waarbij nieuwe technologieën worden gebruikt. Deze risicobeoordeling moet dus altijd gebeuren (zie verder voor een tool daarvoor).
Artikel 35, lid 3 van AVG, legt zelf al enkele gevallen vast waarin een GEB verplicht is:
a) | een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; |
b) | grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of |
c) | stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. |
Daarnaast stelt de toezichthoudende autoriteit een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is, en maakt deze openbaar (zie verder).
DPIA-lijst van de VTC
De Vlaamse Toezichtcommissie heeft overeenkomstig artikel 35, lid 4, AVG, een lijst opgesteld voor van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is voor de Vlaamse bestuursinstanties.
Dit is haar beslissing VTC/O/2020/01 van 14 januari 2020 betreffende de aanname van een DPIA-lijst.
Zij heeft daarbij rekening gehouden met de richtsnoeren van de Groep Gegevensbescherming Artikel 29 (“Working Party 29” intussen “European Data Protection Board”) van 4 oktober 2017 over de Gegevensbeschermingseffectbeoordeling.
Tool risicocriteria
Tool voor het beoordelen van risico’s voor de betrokkenen
Aan de hand van deze tool kan een verwerkingsverantwoordelijke beoordelen wat het effect is van een verwerking op risico’s voor de rechten en vrijheden van natuurlijke personen. Deze tool helpt bovendien in de verantwoording dat genomen maatregelen volstaan om het risico op nadelige effecten te beperken.
Deze tool werd in 2017 voor de VTC ontwikkeld door de Thomas More Hogeschool.
De tool helpt bij het bepalen of een DPIA moet worden uitgevoerd en geeft ook een aanzet voor het opstellen van een GEB/DPIA.
Tool risicocriteria: dit is een excelbestand dat u kan opvragen bij het secretariaat van de VTC.
Moment waarop je de GEB/DPIA moet uitvoeren
De verwerkingsverantwoordelijke moet vóór de verwerking het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens beoordelen.
Ook bij het opstellen van wet- of regelgeving kan al een GEB uitgevoerd worden. De criteria voor een verplichte GEB zijn daarbij richtinggevend. In België vervangt deze GEB niet die die de verwerkingsverantwoordelijke voor de verwerking moet uitvoeren.
Bij sommige adviesvragen over ontwerpwetgeving of projecten is het aangewezen om een GEB voor te leggen aan de VTC, zodat die meer inzicht krijgt in de geplande verwerkingen, de risico’s en de maatregelen.
Een GEB moet herbekeken worden als er een belangrijke verandering is aan de verwerking of als het risico gewijzigd is.
Uitvoeren GEB/DPIA
Model VTC voor GEB/DPIA
De VTC heeft een sjabloon voor het uitvoeren van een gegevensbeschermingseffectbeoordeling (GEB/DPIA) uitgewerkt.
Ze heeft dit gedaan omdat er enerzijds vraag naar was van verwerkingsverantwoordelijken en functionarissen voor gegevensbescherming en anderzijds haar verschillende GEB werden voorgelegd die niet in gelijke mate voldeden aan de vereisten van de AVG.
Het sjabloon is relatief eenvoudig en kan in een beperkte en in een meer uitgebreide vorm ingevuld worden, afhankelijk van de geplande verwerking. Er wordt bij elk hoofdstuk aangegeven of het minimaal vereist is of niet.
Het sjabloon is gebaseerd op een model dat werd opgesteld door de VUB.
Het gebruik van dit sjabloon is niet verplicht. Het sluit zo nauw mogelijk aan bij de vereisten van artikel 35, AVG en dient in dat opzicht wel om de GEB die aan de VTC worden voorgelegd te kunnen beoordelen.
Als u feedback wil geven op het model kan u het secretariaat van de VTC contacteren. Vermeld “DPIA-sjabloon”
Richtlijnen specifieke GEB
Richtlijn uitvoeren GEB gemeentelijk parkeerbeleid(PDF bestand opent in nieuw venster)
Advies DPO
De DPO moet betrokken worden bij de opmaak van de gegevensbeschermingseffectenbeoordelingen (GEB/DPIA) en er een onafhankelijk advies over geven.