Wanneer moet ik een Data Protection Impact Assessment uitvoeren onder de GDPR?

De Algemene Verordening Gegevensbescherming bepaalt dat de verwerkingsverantwoordelijke in een aantal gevallen een Data Protection Impact Assessment (DPIA)  zal moeten uitvoeren. Maar wat impliceert dit nu precies en wanneer moet ik er één uitvoeren?

Wat is een DPIA en wie moet deze uitvoeren?

Een Data Protection Impact Assessment of in het Nederlands: “gegevensbeschermingseffectbeoordeling” is een analyse die men dient te maken vooraleer men tot verwerking van persoonsgegevens overgaat in een aantal gevallen. De situaties waarin men een dergelijke analyse dient te maken zullen veelal verband houden met het gebruik en de toepassing van nieuwe technologieën.

De verantwoordelijke voor het uitvoeren van een DPIA is de verantwoordelijke voor de verwerking. Hij/zij zal deze analyse moeten uitvoeren vóóraleer de verwerking wordt gestart. Heb je ook een data protection officer of DPO aangesteld? In dat geval zal ook hij/zij advies moeten geven over deze data protection impact assessment.

Wanneer moet ik een DPIA uitvoeren?

De GDPR bepaalt dat een DPIA dient uitgevoerd te worden wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijk personen. De WP29 stelde een aantal criteria voorop die in aanmerking dienen genomen te worden bij deze evaluatie. Hoe meer criteria op de verwerking van toepassing zijn, hoe groter het risico dat een DPIA dient uitgevoerd te worden.

Het gaat om volgende criteria:

Het evalueren of scoren van natuurlijk personen op basis van aspecten die verband houden met zijn/haar werkprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesse’s, betrouwbaarheid,…; Automatische beslissingsname die rechtsgevolgen teweeg brengt voor de natuurlijke persoon of een gelijkaardig effect heeft; Systematische monitoring van natuurlijke personen; Verwerken van gevoelige data; Op grote schaal verwerken van persoonsgegevens; Het combineren of matchen van datasets; Verwerken van persoonsgegevens m.b.t. kwetsbare personen (v.b. minderjarigen, werknemer t.a.v. werkgever,..); Innovatief gebruik van technologische en organisatorische oplossingen (vb. combinatie van gezichtsherkenning en vingerafdruk als toegangscontrole); Transfer van data buiten de Europese Unie; Wanneer de natuurlijke personen door de verwerking een recht niet kan uitoefenen, een dienst niet kan verkrijgen of geen contract kan bekomen.

Elk van deze criteria op zichzelf geven niet noodzakelijk aanleiding tot de noodzaak aan een DPIA, de combinatie van 2 of meer van deze aspecten wél.

Bijvoorbeeld (o.b.v. een advies van de WP29 van april 2017): het verwerken van genetische en medische gegevens van patiënten door een ziekenhuis, een onderneming die de activiteiten van zijn medewerkers wil monitoren door o.a. monitoring van internetgebruik; het gericht verzamelen en verwerken van publieke sociale media profielen door een onderneming teneinde een contactenlijst te kunnen aanleggen,…

Wat moet in dit document worden opgenomen?

De GDPR bepaalt ook wat precies in deze analyse dient opgenomen te worden.

In eerste instantie dient een omschrijving van de verwerking en het doel van de verwerking opgenomen te worden, daarnaast een onderzoek naar de noodzakelijkheid en proportionaliteit van de verwerking; een onderzoek naar het risico voor de rechten en vrijheden van betrokkenen en tot slot een oplijsting van de maatregelen die worden genomen om het risico te verminderen en om het naleven van de GDPR te verzekeren.

Het volledige advies van de WP29 kan u hier bekijken.

Vragen over het uitvoeren van een DPIA of over de GDPR in het algemeen?

Contacteer Bart Van den Brande (bart@siriuslegal.be) of Freekje De Vidts (freekje@siriuslegal.be).