Richtlijnen WP29 werpen een licht op AVG verplichtingen bij verwerking met hoog risico 

Onder de nieuwe verplichtingen die de Algemene Verordening Gegevensbescherming introduceert is de data protection impact assessment (hierna: “DPIA”) uit artikel 35 een van de meest spraakmakende. DPIA’s hebben als doel om de verwerkingsprocessen van een organisatie in kaart te brengen, op systematische wijze. Op 4 april 2017 maakte de Artikel 29-werkgroep (WP29), waarin de privacytoezichthouders van alle EU-lidstaten verenigd zijn, zijn richtlijnen bekend betreffende de DPIA vereisten. De richtlijnen trachten het doel van de DPIA’s te verduidelijken en te stellen wanneer de assessment noodzakelijk is. Het is nog steeds mogelijk om hierop opmerkingen te formuleren en dit tot 23 mei 2017. Meer info hierover via volgende link.

Sirius Legal licht hieronder de belangrijkste punten uit de DPIA richtlijnen voor gegevensverwerkers toe:

Waarop heeft een DPIA betrekking?

Een enkele DPIA kan betrekking hebben op een alleenstaande dataverwerkingsopdracht, of op meerdere verwerkingsoperaties indien ze gelijkaardig zijn op het vlak van risico, aard, omvang, context en doel. Een voorbeeld daarvan is een spoorwegmaatschappij die aan de hand van één DPIA de video bewaking van alle treinstations onder de loep neemt. In dat geval gebruikt een verwerkingsverantwoordelijke op verschillende plaatsen dezelfde technologie voor dezelfde doeleinden. Wanneer een verwerkingsopdracht verschillende verantwoordelijken aangaat moet de DPIA precies bepalen wie welke verantwoordelijkheid draagt voor elk deel van de verwerkingsopdracht.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht wanneer de verwerking “een hoog risico inhoudt voor de rechten en vrijheden van personen”. De richtlijn lijst een aantal criteria op aan de hand van welke kan bepaald worden of de verwerking een hoog risico inhoudt:

  • Is er sprake van evaluatie of beoordeling (daaronder ook profilering en voorspelling begrepen) van specifieke aspecten van de gegevens van de betrokkene?
  • Gebeurt de verwerking door middel van geautomatiseerde beslissingen die een aanzienlijk effect hebben op de betrokken personen?
  • Voert u systematische monitoring uit van data subjecten, inclusief binnen een publiek toegankelijk domein?
  • Worden er gevoelige data verwerkt?
  • Wordt data op grote schaal verwerkt?
  • Worden sets van data gekoppeld of gecombineerd?
  • Betreffen de gegevens die van kwetsbare personen zoals uiteengezet in overweging 75 van de AVG?
  • Is er sprake van innovatief gebruik of levert het technologische en organisatorische oplossingen op (bijvoorbeeld het gecombineerd gebruik van finger print en gezichtsherkenning)?
  • Is er overdracht van gegevens buiten de Europese Unie?
  • Zal de verwerking op zichzelf aan de betrokkene verhinderen om zich te beroepen op een recht, een dienst of een contract?

WP29 stelt als algemene regel dat een DPIA verplicht zal zijn wanneer aan minstens twee van de bovenstaande criteria wordt voldaan. Afhankelijk van de situatie kan DPIA echter vereist zijn als slechts één van de criteria wordt vervuld. De richtlijn raadt ook aan om een DPIA in te stellen wanneer men bij verwerking gebruik maakt van nieuwe dataverwerkingstechnologie. Indien er twijfel bestaat over de verplichting tot assessment wordt aanbevolen om op veilig te spelen en de DPIA uit te voeren. Zowel verwerkers als verwerkingsverantwoordelijken houden in het achterhoofd dat wanneer de verwerking wordt beschouwd als zijnde een verwerking met hoog risico, en aldus een DPIA verplicht is, er nog een aantal andere risico vereisten zijn waaraan dient te worden voldaan. Zo stipuleren artikel 33 en 34 AVG bijvoorbeeld de plicht om de betrokkenen en de toezichthoudende autoriteit te verwittigen indien er een data lek plaatsvindt.

Een DPIA is niet vereist wanneer de verwerking geen hoog risico inhoudt, wanneer de verwerking reeds werd toegestaan voor een zeer gelijkaardige verwerkingsopdracht, de verwerking een wettelijke grond heeft in Europees recht of het recht van een lidstaat, of wanneer de verwerkingsvorm werd opgenomen op de uitzonderingslijst die de toezichthoudende autoriteit kan opstellen.

De DPIA vereiste zal van toepassing zijn op alle verwerkingsopdrachten die zijn begonnen ná 25 mei 2018. De WP29 raadt aan om toch DPIA’s uit te voeren voor verwerkingsprojecten die daarvoor reeds zijn begonnen of die nog doorlopen na die datum, zeker wanneer de verwerking gebruik maakt van nieuwe technologie en wanneer de variabelen (het doel, het risico, de context, de bron) zijn veranderd.

Hoe wordt een DPIA uitgevoerd?

De assessment dient vóór de eigenlijke verwerking te worden uitgevoerd. Terwijl de DPIA zelf door een derde kan worden uitgevoerd blijft de eindeverantwoordelijkheid voor het nakomen van de vereiste bij de verwerkingsverantwoordelijke liggen. De AVG legt aan organisaties de verplichting op om in bepaalde gevallen advies in te winnen bij de uitvoering van een DPIA. Wanneer de organisatie een functionaris gegevensbescherming (of “data protection officer”) heeft aangesteld dient zijn advies over de DPIA altijd te worden ingewonnen. Indien van zijn advies wordt afgeweken is het aangeraden om dit grondig te motiveren. Ook de gegevensverwerker zelf dient in het DPIA proces te worden betrokken.

Een DPIA moet minimum de volgende vier elementen bevatten:

  • Een beschrijving van de voorgestelde verwerkingsopdrachten en hun doel
  • Een evaluatie van de noodzakelijkheid en de evenredigheid van de gegevensverwerking
  • Een evaluatie van de risico’s ten aanzien van de betrokken personen
  • Maatregelen die de risico’s inperken en het aantonen van nakoming van de AVG

Daarnaast kijkt de DPIA naar de naleving van andere toepasselijke gedragscodes.

Hoewel de voorgaande elementen noodzakelijk zijn blijft de exacte vorm en structuur van elke DPIA flexibel zodat het past binnen de bestaande structuur en gewoonten van de organisatie. De DPIA dient in om het even welke vorm als evaluatie van de risico’s en hulpmiddel om die risico’s aan te pakken. De bijlagen die aan de richtlijn zijn toegevoegd bevatten voorbeelden van hoe een acceptabele DPIA er kan uitzien. De WP29 moedigt het opstellen van sector specifieke kaders aan om specifieke verwerkingstypes beter te kunnen omvatten.

Het publiceren van een DPIA is niet wettelijk verplicht maar wordt in de richtlijn wel sterk aanbevolen om zo het vertrouwen en de transparantie van de verwerkingsprocessen te bevorderen. Dit is des te meer interessant  wanneer gegevens van burgers worden verwerkt en de DPIA bijvoorbeeld door een overheidsinstantie wordt uitgevoerd.

Raadpleeg de toezichthoudende autoriteit indien de resterende risico’s hoog zijn

In het geval dat de DPIA risico’s bloot legt die niet voldoende kunnen worden ingeperkt door de verwerkingsverantwoordelijke dan dient deze de toezichthoudende autoriteit te raadplegen.  Dit omvat ook de gevallen waarin de betrokkenen onomkeerbare gevolgen ervaren van de verwerking van hun gegevens of wanneer er weinig twijfel bestaat dat een risico effectief zal voorkomen. Verwerkingsverantwoordelijken moeten de toezichthoudende autoriteit ook raadplegen wanneer het recht van de lidstaat dit oplegt in de gevallen dat een verwerkingsopdracht wordt uitgevoerd in het publiek belang. De vereisten om de DPIA te documenteren en regelmatig te vernieuwen blijven in die gevallen gelden.

Conclusie

DPIA’s bevorderen de naleving van de AVG. De voorgestelde richtlijn van WP29 verduidelijkt de manieren waarom verwerkingsverantwoordelijken zich kunnen voorbereiden om de vereisten van de DPIA’s in hun verwerkingsprocessen op te nemen. Daarnaast geeft de richtlijn een indicatie aan zowel verantwoordelijken als verwerkers van wanneer een verwerking een ‘hoog risico’ inhoudt. Een goed begrip van die notie zal belangrijk zijn om zich te kunnen voorbereiden op de verscheidene risico bepalingen die de verordening formuleert.

Vragen over het uitvoeren van een DPIA of privacyrecht in het algemeen?

Contacteer Bart Van den Brande of Jef De Foer via mail (info@siriuslegal.be) of telefoon (02/721 13 00)