Praktijkvraag

Laatste update: 14 december 2023

Door: en

Ik heb vernomen dat de nieuwe Europese Algemene verordening gegevensbescherming verplicht tot het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Binnen onze gemeente overwegen wij om een nieuwe technologie te gebruiken om persoonsgegevens te verwerken. Moeten wij als gemeente daarbij ingevolge de nieuwe AVG verplicht een PIA uitvoeren en zo ja, hoe moeten wij deze PIA uitvoeren?
Antwoord in het kort

Ja, het is mogelijk dat een gemeente verplicht een zogenoemde ‘gegevensbeschermingseffectbeoordeling’ moet uitvoeren. Deze moet uitgevoerd worden wanneer de verwerking van persoonsgegevens gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen. In de praktijk wordt dit ook wel een Data Protection Impact Assessment (DPIA) genoemd.

(Decentrale) overheden moeten zich vanaf 25 mei 2018 volledig aan de Algemene verordening gegevensbescherming (AVG) houden. De AVG verplicht de verwerkingsverantwoordelijke en/of verwerker van persoonsgegevens om in bepaalde situaties een DPIA uit te voeren. Een DPIA moet worden uitgevoerd om de oorsprong, de aard, het specifieke karakter en de ernst van het risico te evalueren. Zo kunnen passende maatregelen genomen worden om de Algemene verordening gegevensbescherming (AVG) na te leven.

Gegevensbeschermingseffectbeoordeling

Lid 1 van artikel 35 AVG stelt wanneer in het algemeen een DPIA moet worden uitgevoerd. Bij de verwerking van persoonsgegevens, en in het bijzonder een waarbij nieuwe technologieën gebruikt worden, en die gelet op de aard, omvang context en doeleinden waarschijnlijk een (hoog) risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet een DPIA uitgevoerd worden. U moet dan voorafgaand aan de verwerking een inschatting doen van de gevolgen met betrekking tot privacy. Wat is de impact van de verwerking, wat zijn de risico’s en is er een aanpak die minder gevolgen heeft voor de privacy van de betrokkenen?

Uit lid 1 blijkt dat een nieuwe technologie voor het verwerken van persoonsgegevens een risico zou kunnen inhouden voor de rechten en vrijheden van natuurlijke personen. Echter, de AVG noemt maar drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is:

  • Wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaats gaat vinden, zoals bedoeld in artikel 9 lid 1 of artikel 10 AVG. Art. 9 lid 1 gaat over de verwerking van bijzondere categorieën van persoonsgegevens en artikel 10 gaat over de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten. Op deze pagina kunt u meer informatie over bijzondere categorieën van persoonsgegevens vinden.
  • Wanneer er stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten plaatsvindt;
  • Wanneer er een verwerking plaats gaat vinden waar een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen plaatsvindt. Deze beoordeling moet dan gebaseerd zijn op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor natuurlijke personen rechtsgevolgen zijn verbonden of die deze natuurlijke personen op een vergelijkbare wijze treffen (artikel 4 lid 4 AVG geeft de definitie van profilering).

Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen; de hoeveelheid gegevens; de duur van de verwerking; de geografische reikwijdte van de verwerking. Als voorbeeld van een grootschalige verwerking noemen zij onder andere een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.

Het uitvoeren van een DPIA is momenteel al verplicht bij de ontwikkeling van nieuwe ICT-systemen of de aanleg van grote databestanden door de Rijksoverheid.

Lijst verplichte DPIA Autoriteit Persoonsgegevens

De toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens, heeft het recht om een lijst op te stellen van het soort verwerkingen waarvoor een DPIA verplicht is. Daarnaast kan de AP ook een lijst opstellen van het soort verwerkingen waarvoor geen DPIA vereist is.

Negen toetsingscriteria

Alle Europese toezichthouders, verenigd in de Artikel 29-Werkgroep, hebben richtsnoeren opgesteld over het bepalen van een hoog risico van een verwerking. Hierin noemen zij negen criteria om te toetsen of er een DPIA moet worden uitgevoerd.

  • Beoordelen van mensen op basis van persoonskenmerken
  • Geautomatiseerde beslissingen
  • Stelselmatige en grootschalige monitoring
  • Gevoelige gegevens
  • Grootschalige gegevensverwerkingen
  • Gekoppelde databases
  • Gegevens over kwetsbare personen
  • Gebruik van nieuwe technologieën
  • Blokkering van een recht, dienst of contract

Wanneer een verwerking aan twee van deze criteria voldoet, moet er waarschijnlijk een DPIA worden uitgevoerd. Ook als de verwerking slechts aan een criteria voldoet kan het risico voor de rechten en vrijheden van de betrokkenen zo hoog zijn, dat er een DPIA uit moet worden gevoerd. Dit kan per verwerking verschillen. Het is altijd aan te raden goed te onderbouwen waarom u er voor kiest geen DPIA uit te voeren, zelfs als uw verwerking slechts aan een van deze criteria voldoet.

Eenzelfde PIA voor vergelijkbare projecten 

Wanneer projecten voor het verwerken van persoonsgegevens op elkaar lijken, is het niet nodig om voor elk project een nieuwe DPIA uit te voeren. Eenzelfde DPIA mag gebruikt worden voor verwerkingen die vergelijkbare hoge risico’s tot het schenden van de rechten en vrijheden van de verwerker met zich mee brengen.

Wanneer bijvoorbeeld meerdere overheidsinstanties een applicatie- of verwerkingsplatform willen opzetten, of wanneer meerdere overheidsinstanties van plan zijn om een gemeenschappelijke verwerkingsomgeving in te voeren voor bijvoorbeeld één afdeling, dan kan er ook één DPIA uitgevoerd worden.

Verandering bestaande verwerking

Ook voor bestaande verwerkingen kan een DPIA moeten worden uitgevoerd. Dit is het geval wanneer er iets verandert aan het risico van de gegevensverwerking, en de gegevensverwerking vervolgens een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen. Door technologische ontwikkelingen kan bijvoorbeeld een onderdeel van het verwerkingsproces wijzigen.

De Autoriteit Persoonsgegevens raadt hierdoor aan om periodiek een DPIA uit te voeren, bijvoorbeeld elke drie jaar.

Wat moet er in een PIA staan?

Er moet bij elk geval van verwerking apart gekeken worden of en hoe een DPIA moet worden uitgevoerd. De AVG stelt in artikel 35 lid 7 AVG dat een PIA ten minste onderstaande informatie moet bevatten:

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
  • Beoordeling van de noodzaak en de evenredigheid;
  • Beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • Beoogde maatregelen om deze risico’s aan te pakken.

Functionaris Gegevensbescherming

Artikel 37 AVG stelt dat overheidsinstanties en overheidsorganen verplicht een Functionaris voor Gegevensbescherming (FG) moeten aanwijzen. U kunt daar hier meer over lezen. Bij het uitvoeren van een DPIA moet de verwerkingsverantwoordelijke ook advies inwinnen van de FG (artikel 35 lid 2).

Wat te doen bij een hoog risico

De AP moet voorafgaand aan de verwerking geraadpleegd worden, wanneer uit de DPIA blijkt dat de verwerking een hoog risico oplevert wanneer geen maatregelen genomen worden om dit risico in te perken. De verwerkingsverantwoordelijke moet dan onder andere de DPIA toesturen evenals de maatregelen die worden geboden ter bescherming van de rechten en vrijheden van de betrokkene (artikel 36 AVG).

Wanneer de verplichting tot het niet uitvoeren van een DPIA niet wordt nageleefd, kan een boete gegeven worden van maximaal €10.000.000,- of 2% van de wereldwijde omzet (art. 83 lid 4 sub a AVG).

Meer informatie

Privacy: de Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een
verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van Verordening 2016/679, Artikel 29-Werkgroep
Data Protection Impact Assessment (DPIA), Autoriteit Persoonsgegevens
Procedures van Autoriteit Persoonsgegevens aangepast, Kenniscentrum Europa decentraal
Functionaris voor Gegevensbescherming, Kenniscentrum Europa decentraal