Inhoudsopgave
Wanneer voer je een DPIA uit?
Een verwerking van persoonsgegevens begint vaak als een praktisch idee: efficiënter werken, beter sturen, slimmer automatiseren. Sommige verwerkingen kunnen een hoog risico voor mensen tot gevolg hebben, zoals discriminatie, stigmatisering of identiteitsdiefstal bij het bekend worden van gegevens. De AVG verplicht organisaties om bij een vermoeden van zo’n hoog risico vooraf een beoordeling uit te voeren. Deze beoordeling heet een DPIA.
Wat is een DPIA?
Een DPIA, voluit Data Protection Impact Assessment, is een beoordeling waarmee een organisatie onderzoekt welke risico’s een voorgenomen verwerking van persoonsgegevens voor mensen kan hebben, en welke maatregelen nodig zijn om deze risico’s terug te brengen tot een acceptabel niveau. In het Nederlands heet een DPIA een gegevensbeschermingseffectbeoordeling, of GEB. Een organisatie voert een DPIA altijd uit vóórdat de verwerking begint. Zo brengt een organisatie de risico’s voor mensen in een vroeg stadium in beeld en neemt zij maatregelen voordat de organisatie de persoonsgegevens daadwerkelijk verwerkt.
Waarom een DPIA?
Een DPIA helpt organisaties niet alleen om risico’s te herkennen, maar ook om beter te onderbouwen en aan te tonen waarom een verwerking nodig is, hoe die zorgvuldig wordt ingericht en hoe persoonsgegevens worden beschermd. De beoordeling moet duidelijk maken welke technische, organisatorische en juridische maatregelen nodig zijn om de risico’s te beperken. Daarmee is de DPIA een praktisch instrument voor zorgvuldige besluitvorming over gegevensverwerking.
Wettelijke basis
De wettelijke basis voor de DPIA staat in artikel 35 AVG. Daarin staat dat een organisatie vóór de verwerking een DPIA moet uitvoeren als die verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen. Dat geldt bijvoorbeeld bij nieuwe technologieën en bij verwerkingen die door hun aard, omvang, context of doelstelling waarschijnlijk een hoog risico betekenen voor de rechten en vrijheden van betrokkenen.
Wat staat er in een DPIA?
Een DPIA bevat een beschrijving van de voorgenomen verwerking, het doel van de verwerking, een beoordeling van hoe noodzakelijk de verwerking is en of deze in verhouding is, een analyse van de privacyrisico’s voor mensen en een overzicht van de maatregelen die worden genomen om die risico’s te beheersen. Blijkt uit de DPIA dat, ondanks die maatregelen, een hoog restrisico blijft bestaan, dan kan voorafgaande raadpleging van de toezichthouder verplicht zijn. De DPIA staat namelijk niet op zichzelf; het maakt deel uit van een bredere verantwoordingsplicht die een organisatie heeft onder de AVG.
Verschil tussen DPIA en PIA
PIA staat voor Privacy Impact Assessment. Die term wordt in de praktijk nog steeds gebruikt als oudere of meer algemene aanduiding voor een privacyrisicobeoordeling. Onder de AVG is DPIA echter de juridisch juiste term. Gaat het om een beoordeling die op grond van artikel 35 AVG verplicht is, dan spreek je dus van een DPIA.
Waarom is een DPIA belangrijk?
Voor organisaties en overheden die van plan zijn verwerkingen uit te voeren met een hoog risico voor betrokkenen, is een DPIA een handige manier om op een gestructureerde wijze inzicht te krijgen in de manier waarop een verwerking uitgevoerd zal moeten worden. Het instrument dwingt om vooraf scherp te krijgen of een verwerking verantwoord kan worden ingericht en hoe de gegevens van betrokkenen daadwerkelijk worden beschermd. Daarnaast kan een DPIA verplicht zijn en kan de Autoriteit Persoonsgegevens (AP) erom vragen in het kader van het toezicht dat de AP houdt op verwerkingen van persoonsgegevens.
Wanneer is een DPIA verplicht?
Een data protection impact assessment (DPIA) is een instrument waarmee organisaties vooraf de risico’s voor mensen in kaart brengen van een voorgenomen verwerkingvan persoonsgegevens. De Algemene verordening gegevensbescherming (AVG) verplicht het uitvoeren van een DPIA wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Maar wanneer is dat precies het geval?
De wet: drie situaties waarin een DPIA altijd verplicht is
Artikel 35 lid 3 AVG noemt drie situaties waarin een DPIA in ieder geval verplicht is. Ten eerste: wanneer een organisatie op geautomatiseerde wijze persoonlijke aspecten van mensen systematisch en uitgebreid beoordeelt (denk aan profilering) en daarop beslissingen baseert met rechtsgevolgen of andere wezenlijke gevolgen voor mensen. Ten tweede: wanneer een organisatie op grote schaal bijzondere persoonsgegevens (zoals gezondheidsgegevens of strafrechtelijke gegevens) verwerkt. Ten derde: wanneer een organisatie op grote schaal en stelselmatig mensen volgt in publiek toegankelijke ruimtes, bijvoorbeeld met cameratoezicht. Dit is geen uitputtende lijst: ook buiten deze drie gevallen kan een DPIA verplicht zijn.
De negen criteria van het EDPB
Om te bepalen of een verwerking waarschijnlijk een hoog risico oplevert, heeft het European Data Protection Board (EDPB) negen criteria opgesteld. Deze criteria zijn:
- evaluatie of scoring, waaronder profilering;
- geautomatiseerde besluitvorming met rechtsgevolgen of andere wezenlijke gevolgen;
- stelselmatige monitoring;
- verwerking van gevoelige gegevens of gegevens van zeer persoonlijke aard;
- grootschalige gegevensverwerkingen;
- het koppelen of samenvoegen van datasets;
- gegevens over kwetsbare betrokkenen, zoals kinderen of werknemers;
- innovatief gebruik of toepassing van nieuwe technologieën; en
- verwerkingen die betrokkenen beletten een recht uit te oefenen of een dienst te gebruiken.
Als vuistregel geldt: voldoet een verwerking aan twee of meer van deze criteria, dan is een DPIA verplicht.
De DPIA-lijst van de Autoriteit Persoonsgegevens
Naast de wettelijke criteria heeft de Autoriteit Persoonsgegevens (AP) een eigen lijst gepubliceerd met verwerkingen waarvoor een DPIA verplicht is. Deze lijst bevat zeventien concrete situaties. Het gaat om:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische persoonsgegevens
- Gezondheidsgegevens
- Samenwerkingsverbanden
- Cameratoezicht
- Flexibel cameratoezicht
- Controle werknemers
- Locatiegegevens
- Communicatiegegevens
- Internet of things
- Profilering
- Observatie en beïnvloeding van gedrag
- Biometrische gegevens
Deze lijst is niet uitputtend: staat de verwerking er niet op, dan moet een organisatie alsnog zelf beoordelen of sprake is van een hoog risico.
Niet verplicht, wel aan te raden
Ook wanneer een DPIA niet verplicht is, kan het verstandig zijn om er toch een uit te voeren. Een DPIA helpt om risico’s van gegevensverwerkingen vroeg te signaleren, passende maatregelen te nemen en te voldoen aan het verantwoordingsbeginsel uit de AVG. Bovendien raadt het EDPB aan om bij twijfel altijd een DPIA uit te voeren, ook als slechts één van de negen criteria van toepassing is, of wanneer er gebruik wordt gemaakt van nieuwe technologieën waarbij de gevolgen van de verwerking van persoonsgegevens voor de betrokkenen nog niet volledig bekend zijn. Zo houd je als organisatie grip op de persoonsgegevens die worden verwerkt, en blijf je in control.
Met het 7-stappenplan een DPIA uitvoeren
Een goede DPIA helpt om inzicht te krijgen in de verwerking van persoonsgegevens, en helpt om vooraf te beoordelen of een verwerking van persoonsgegevens juridisch houdbaar is, welke risico’s ontstaan en welke maatregelen nodig zijn om die risico’s te beperken. Dat is belangrijk bij bijvoorbeeld grootschalige monitoring, profilering, het gebruik van gevoelige gegevens of nieuwe technologie. Dit 7-stappenplan brengt structuur aan in het proces. Ook voorkomt het dat de DPIA pas wordt gestart als een project al klaarstaat voor gebruik.
Stap 1: Doe een pre-DPIA
Begin met een pre-DPIA: een korte drempelanalyse om te beoordelen of de verwerking waarschijnlijk een hoog risico oplevert voor mensen. Toets daarbij aan artikel 35 AVG, de EDPB-criteria en de lijst van de Autoriteit Persoonsgegevens, door onder andere te kijken naar de aard van de gegevens, de schaal, het gebruik van nieuwe technologieën en de mogelijke gevolgen voor mensen.
Als blijkt dat er sprake kan zijn van een hoog risico, dan is een volledige DPIA verplicht. Leg altijd vast waarom er wel of niet voor een DPIA is gekozen. De verantwoordingsplicht vereist dat organisaties kunnen aantonen of verwerkingen in overeenstemming zijn met de AVG. Bij twijfel of bij een verhoogde gevoeligheid kan een DPIA alsnog verstandig zijn, ook als deze niet verplicht is.
Stap 2: beschrijf de verwerking concreet
Beschrijf wat de organisatie van plan is te gaan verwerken, met welk doel en op basis van welke rechtsgrond. Noem daarbij welke persoonsgegevens worden gebruikt, over wie de persoonsgegevens gaan, met wie of welke partij(en) gegevens worden gedeeld en hoelang ze worden bewaard. Wees concreet; schrijf bijvoorbeeld niet alleen dat een verwerking nodig is vanwege een wettelijke verplichting, maar benoem ook welke verplichting dat precies is en op basis van welk onderliggend artikel.
Stap 3: beoordeel de noodzaak van de verwerking
Een verwerking mag alleen plaatsvinden als het noodzakelijk is om het doel te bereiken. De noodzakelijkheid stel je vast op twee onderdelen. Eerst wordt de proportionaliteit getoetst: Staat de impact op de privacy van betrokkenen in verhouding tot wat je wilt bereiken? Een verwerking kan nuttig zijn en toch te ver gaan als de inbreuk uit proportie is ten opzichte van het doel. Na de proportionaliteit wordt de subsidiariteit getoetst: kan hetzelfde doel worden bereikt op een minder ingrijpende manier, bijvoorbeeld met minder gegevens, een kortere bewaartermijn of beperktere toegang? Is dat het geval, dan is de verwerking in de huidige vorm niet toegestaan en moet deze worden aangepast voordat de verwerking van de persoonsgegevens kan starten.
Stap 4: identificeer de risico’s
Breng daarna de privacyrisico’s in kaart vanuit het perspectief van de personen wiens gegevens worden verwerkt. Denk hierbij aan risico’s rondom het verlies van controle over persoonsgegevens, ongewenste observatie, discriminatie, reputatieschade of misbruik van gegevens. Werk bij voorkeur met een risicomatrix waarin per risico de kans en de ernst wordt beoordeeld. Dat maakt zichtbaar waar maatregelen echt nodig zijn.
Stap 5: bepaal maatregelen
Koppel aan ieder relevant risico een passende maatregel. Dat kunnen technische maatregelen zijn, zoals logging, encryptie of autorisaties, maar ook organisatorische maatregelen zoals werkinstructies, training en afspraken met leveranciers. Beschrijf steeds welk risico de maatregel verlaagt en welk restrisico daarna overblijft.
Stap 6: documenteer en laat reviewen
Leg de uitkomsten van de DPIA goed vast.Heeft de organisatie een functionaris voor gegevensbescherming, dan is diens advies over de DPIA een verplicht onderdeel. Advies van een FG versterkt bovendien de kwaliteit van de analyse en de interne verantwoording.
Stap 7: monitor en herhaal
Een DPIA is geen eenmalige actie. Als de verwerking wijzigt, bijvoorbeeld door een nieuw doel, een extra dataset, een ander systeem, een andere leverancier of opschaling van het gebruik, heeft de DPIA een update nodig. Door dit op vaste momenten te evalueren blijft een de DPIA aansluiten op de praktijk. Blijft na alle maatregelen een hoog risico bestaan, dan kan voorafgaande raadpleging van de Autoriteit Persoonsgegevens verplicht zijn.
Lex Digitalis ondersteunt en adviseert organisaties bij pre-DPIA’s, volledige DPIA’s en de vertaling van uitkomsten naar concrete maatregelen.
DPIA template en voorbeeld
Een DPIA uitvoeren begint met een goede structuur. Maar welke elementen moet een DPIA bevatten, welk model past wanneer en hoe ziet dat er in de praktijk uit? Lex Digitalis geeft organisaties concrete handvatten.
Het Rijksmodel DPIA
De Rijksoverheid heeft een gestandaardiseerd DPIA-model ontwikkeld: het Rijksmodel DPIA. Dit model is gratis beschikbaar en wordt breed gebruikt door overheidsorganisaties, maar ook door private partijen als hulpmiddel bij het uitvoeren van een DPIA. Het model biedt een vaste structuur die aansluit op de vereisten van artikel 35 AVG en de richtsnoeren van de EDPB. Dit betekent dat een organisatie die dit DPIA-model gebruikt, vaak gemakkelijker voldoet aan de wettelijke verplichtingen die in de AVG worden beschreven. Het gebruik van een gestandaardiseerd model maakt het daarnaast eenvoudiger om de DPIA consistent uit te voeren, te documenteren en intern te laten reviewen.
Welke elementen bevat een DPIA?
Een DPIA bevat minimaal de volgende onderdelen: een systematische beschrijving van de voorgenomen verwerking en de doeleinden, een beoordeling van de noodzaak en evenredigheid van de verwerking, een analyse van de risico’s voor de rechten en vrijheden van betrokkenen en een beschrijving van de maatregelen om die risico’s aan te pakken. Daarnaast bevat een volledige DPIA doorgaans ook andere elementen. Denk bijvoorbeeld aan de bewaartermijnen en de betrokken verwerkers en ontvangers.
Template DPIA
Direct aan de slag? Download dan het DPIA-template van Lex Digitalis, een invul klaar model dat aansluit op de vereisten van de AVG en de richtsnoeren van de EDPB: DPIA Template – Lex Digitalis.
Voorbeelden uit de praktijk
GPS-registratie van dienstauto’s Een organisatie wil de ritten van medewerkers met dienstauto’s registreren en controleren om ongeoorloofd privégebruik te voorkomen. In de dienstauto worden GPS-locatiegegevens, reisduur, kilometerstanden en het personeelsnummer van de bestuurder geregistreerd. Die gegevens worden daarna gekoppeld aan reserveringsinformatie, pasnummerbestanden en agendagegevens.
Een DPIA is in dit scenario verplicht omdat sprake is van stelselmatige GPS-monitoring van medewerkers in de openbare ruimte, een verwerking die de Autoriteit Persoonsgegevens expliciet op de lijst van verplichte DPIA’s heeft geplaatst. Ook worden meerdere databronnen gecombineerd tot een gedetailleerd gedragsbeeld van individuele medewerkers. Beide onderdelen maken potentieel een flinke inbreuk op de privacy van de medewerker, daarom is een DPIA hier verplicht. Biometrische toegangscontrole op de werkvloer Een organisatie wil de toegang tot bepaalde ruimten beveiligen met vingerafdrukherkenning in plaats van een toegangspas. Het systeem registreert automatisch wie, wanneer en via welke ingang toegang heeft verkregen. Een DPIA is ook hier verplicht. In dit voorbeeld zijn vingerafdrukken biometrische gegevens die gebruikt worden voor de unieke identificatie van een natuurlijk persoon. De vingerafdrukken vallen onder de bijzondere categorieën persoonsgegevens van artikel 9 AVG. De EDPB heeft dergelijke biometrische toegangscontrolesystemen op de werkvloer als voorbeeld opgenomen bij de criteria voor verwerkingen die waarschijnlijk een hoog risico opleveren. De Autoriteit Persoonsgegevens zegt zelfs dat toegangscontrole met biometrie, zoals een vingerafdruk, vrijwel altijd verboden is. In de DPIA onderzoekt een organisatie of biometrie echt noodzakelijk is, of dat een minder ingrijpend middel een goed alternatief kan zijn. Heeft u hulp nodig bij het opstellen of reviewen van een DPIA? Lex Digitalis helpt u van pre-DPIA tot volledig rapport.
DPIA voor de publieke sector
Overheidsorganisaties verwerken persoonsgegevens op grote schaal, vaak op basis van wettelijke taken en met vergaande gevolgen voor burgers. Dat maakt de DPIA-plicht in de publieke sector naast juridisch verplicht, ook politiek en maatschappelijk relevant. We zetten kort uiteen waar publieke organisaties tegenaan lopen en wat een goede DPIA in deze context vereist.
Specifieke uitdagingen in de publieke sector
Organisaties zoals gemeenten, uitvoeringsinstanties en toezichthouders voeren taken uit die rechtstreeks ingrijpen in het leven van burgers: van bijstandsverlening en schuldhulpverlening tot handhaving en zorgcoördinatie. Vaak is er dus een duidelijke reden om persoonsgegevens te verwerken, maar dat maakt niet dat alles mag. Een wettelijke taak of een taak van algemeen belang mag alleen tot een verwerking leiden als de verwerking ook nodig is en in proportie met hoeveel inbreuk die maakt. Juist dat oordeel moet de DPIA onderbouwen.
Bij grote overheidsinstanties, zoals het UWV, de Belastingdienst, gemeenten, provincies en ministeries speelt de schaal van de verwerking een rol. Beslissingen over uitkeringen, toeslagen of handhaving raken grote groepen burgers tegelijk. Hoe groter de schaal en hoe ingrijpender het gevolg voor de personen over wie de verwerking gaat, hoe zwaarder de DPIA-plicht weegt.
Algoritme-inzet
Wanneer een algoritme wordt ingezet voor profilering of geautomatiseerde besluitvorming zonder dat er een mens dit tussentijds beoordeelt, met rechtsgevolgen of vergelijkbare significante gevolgen voor de mensen over wie de verwerking gaat, is een DPIA verplicht. Naast de DPIA kan een organisatie een Impact Assessment Mensenrechten en Algoritmen (IAMA) uitvoeren. Dit is een instrument dat specifiek is ontwikkeld voor de publieke sector om grondrechtelijke risico’s van algoritmische systemen in kaart te brengen. Beide instrumenten vullen elkaar aan: de DPIA richt zich op gegevensbeschermingsrisico’s, de IAMA op bredere grondrechtelijke gevolgen.
DPIA en de Wet politiegegevens
Voor de politie en andere opsporingsdiensten geldt niet de AVG, maar de Wet politiegegevens. Die wet kent eigen regels voor gegevensbescherming en stelt andere eisen aan de beoordeling van verwerkingen. Een DPIA onder de Wet politiegegevens wijkt daarom soms af van een DPIA onder de AVG, onder meer wat betreft de rechtsgrond voor de verwerking en de bewaartermijnen.
Voorbeelden uit de praktijk
Een gemeente wil camera’s plaatsen in het uitgaansgebied om de openbare orde te handhaven. Omdat het gaat om stelselmatige monitoring van een openbaar toegankelijke ruimte op grote schaal, is een DPIA verplicht. In de DPIA beoordeelt de gemeente onder meer of cameratoezicht noodzakelijk is, welk gebied en welke tijdvakken worden gedekt en hoe lang beelden worden bewaard.
Een uitvoeringsorganisatie wil een fraudedetectiesysteem inzetten dat op basis van meerdere databronnen risicoprofielen opstelt van uitkeringsgerechtigden zonder menselijke tussenkomst. Profilering die nadelig gevolgen kan hebben voor betrokkenen valt onder de criteria van de EDPB die een DPIA verplicht stellen. De DPIA moet in dit geval ook ingaan op de werking van het algoritme, de kans op discriminatoire uitkomsten en, indien sprake is van volledig geautomatiseerde besluitvorming zonder menselijke tussenkomst, de mogelijkheid voor betrokkenen om die beslissing aan te vechten.
Rol van de FG
Publieke organisaties zijn in de meeste gevallen verplicht een functionaris voor gegevensbescherming aan te stellen. De FG speelt een centrale rol bij de DPIA: hij of zij adviseert over de opzet en uitvoering, beoordeelt de uitkomsten en bewaakt of de vastgestelde maatregelen ook daadwerkelijk worden getroffen. Organisaties zonder interne FG kunnen die rol extern beleggen.
Heeft u hulp nodig? Lex Digitalis ondersteunt publieke organisaties bij DPIA’s en IAMA’s, begeleidt FG’s bij complexe verwerkingen en adviseert over de inzet van algoritmen.
Pre-DPIA: wanneer nodig?
Pre-DPIA: de drempelanalyse die bepaalt of je een volledige DPIA nodig hebt
Iedereen die met persoonsgegevens werkt, kent het dilemma: je voert een wijziging door in een proces of systeem, maar je weet niet zeker of je wettelijk verplicht bent om een uitgebreide DPIA te doen. Organisaties maken soms de fout om óf direct in een loodzwaar traject te duiken, óf het risico volledig te negeren. Beide keuzes kosten uiteindelijk onnodig veel tijd, geld en frustratie. De pre-DPIA is de ideale tussenstap. Het is een korte, gestructureerde toets die bepaalt of de risico’s daadwerkelijk hoog zijn, zodat je alleen zwaar geschut inzet als het echt moet.
De criteria: de zwarte lijst en het grijze gebied
De AVG verplicht organisaties om bij verwerkingen die waarschijnlijk een hoog privacyrisico hebben een DPIA uit te voeren. De kernvraag is dus altijd: “Is dit een hoog risico voor de mensen van wie we gegevens verwerken?” Een goede pre-scan helpt je deze vraag te beantwoorden.
De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld met verwerkingen die per definitie een hoog risico vormen. Denk hierbij aan grootschalig cameratoezicht of fraudebestrijding via zwarte lijsten. Staat jouw project op deze lijst? Dan is er geen discussie: een DPIA is verplicht.
Ook als een verwerking niet op de zwarte lijst staat kan er sprake zijn van een hoog risico. Daarom is het verstandig om niet alleen naar de zwarte lijst van de AP te kijken, maar ook te toetsen aan de negen criteria van de Europese toezichthouder (EDPB). Die criteria behelzen onder andere het verwerken van gegevens van kwetsbare groepen, het gebruik van nieuwe technologieën of het combineren van datasets. De Europese richtlijn is helder: voldoe je aan twee of meer criteria? Dan gaat de toezichthouder ervan uit dat er een hoog privacyrisico is. Een DPIA is dan verplicht.
Voordelen: bewijslast en efficiëntie
De pre-DPIA snijdt aan twee kanten. Enerzijds borg je de wettelijke verantwoordingsplicht: scoor je laag op de criteria, dan is de ingevulde pre-scan jouw directe bewijsstuk richting de toezichthouder dat een zwaar onderzoek niet nodig was. Anderzijds voorkom je dat de organisatie verzandt in onnodige bureaucratie. Door direct de projecten met een lager risico eruit te filteren, kan de organisatie haar kostbare tijd besteden aan de projecten wiens risico’s écht de aandacht vragen. De pre-DPIA is daarom een instrument dat zorgt voor efficiëntie en compliance.
Rijksmodel DPIA
Het Rijksmodel DPIA: een solide start voor je onderzoek
Een blanco vel papier is vaak de grootste vijand bij de start van een project. Je moet een Data Protection Impact Assessment (DPIA) uitvoeren, maar waar begin je? Hoe zorg je dat je niets over het hoofd ziet en dat je analyse stevig staat? Het antwoord is om niet zelf het wiel uit te vinden, maar gebruik te maken van een bestaande standaard: het Rijksmodel.
Wat is het Rijksmodel?
Het Rijksmodel is ontwikkeld als de standaard voor privacy-onderzoeken binnen de Rijksoverheid. Het is een gestructureerd raamwerk dat je stap voor stap door de wettelijke vereisten van de AVG loodst. Binnen ministeries is het gebruik vaak verplicht. Maar ook bij gemeenten, in de zorg en in het bedrijfsleven, wordt het model vaak toegepast. Het biedt houvast en zorgt ervoor dat je verwerkingen, betrokkenen en risico’s systematisch in kaart brengt. Een groot voordeel van het Rijksmodel is dat het duidelijke documentatie heeft. Het ‘Model DPIA Rijksdienst’ is een nuttig document dat het proceskader van een DPIA in kaart brengt. Daarnaast bevat het model een toelichting op elk onderdeel van de RijksDPIA. Hierdoor heb je als schrijver altijd een stevig houvast tijdens het uitvoeren van de DPIA. Onze tip: begin vroeg met de scope. Hoewel het Rijksmodel inhoudelijk sterk is, biedt het weinig ruimte voor de afbakening. In onze ervaring is dit echter cruciaal voor een gestroomlijnd proces. Voordat je de inhoud induikt, is het verstandig om helder te definiëren wat wel en wat niet onderdeel is van de DPIA. Gaat het bijvoorbeeld om een volledige applicatie, of alleen de nieuwe functionaliteit?
Waar te vinden?
Het Rijksmodel is openbaar beschikbaar. Je downloadt de nieuwste versie en bijbehorende handreikingen eenvoudig via de website van de Rijksoverheid of het CIP.
Kwaliteit door uniformiteit
Het grootste winstpunt van het Rijksmodel zit in de uniformiteit. Doordat je niet telkens het wiel opnieuw uitvindt, zijn risicoanalyses onderling vergelijkbaar. Je bouwt aan een consistent privacy-dossier dat staat als een huis. Dat scheelt tijd en zorgt ervoor dat je belangrijke zaken niet zomaar over het hoofd ziet.
Veelgestelde vragen over DPIA
Hieronder beantwoorden wij de meest gestelde vragen over de DPIA. Van de vraag wie een DPIA moet uitvoeren tot de gevolgen van het niet uitvoeren van een DPIA.
Wat is het verschil tussen een DPIA en een PIA?
PIA staat voor Privacy Impact Assessment. Die term werd voor introductie van de AVG breed gebruikt als aanduiding voor een privacyrisicobeoordeling. Onder de AVG is DPIA de juridisch juiste term. Een PIA kan informeler zijn en kent in Nederland geen wettelijke vereisten. Gaat het om een beoordeling die op grond van artikel 35 AVG verplicht is, dan spreken we van een DPIA.
Wie moet een DPIA uitvoeren?
De verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren. Dat is de organisatie die het doel en de middelen van de verwerking bepaalt. Zijn meerdere organisaties gezamenlijk verwerkingsverantwoordelijke, dan leggen zij in een onderlinge regeling vast wie de DPIA uitvoert en hoe de verantwoordelijkheden zijn verdeeld.
Hoelang duurt een DPIA?
De AVG schrijft geen termijn voor. De doorlooptijd hangt af van de complexiteit van de verwerking, de beschikbaarheid van relevante informatie en de betrokken partijen. Een eenvoudige DPIA kan binnen enkele weken worden afgerond. Bij complexe verwerkingen met meerdere systemen, leveranciers of rechtsgronden is meer tijd nodig. Belangrijk is dat de DPIA is afgerond vóórdat de verwerking van start gaat.
Moet een DPIA gepubliceerd worden?
De AVG verplicht niet tot publicatie van de volledige DPIA. Wel moet de organisatie de DPIA kunnen overleggen aan de Autoriteit Persoonsgegevens op verzoek. Overheidsorganisaties kunnen op grond van transparantiebeleid of politieke afweging besluiten de DPIA geheel of gedeeltelijk openbaar te maken, maar dat is geen wettelijke verplichting.
Kan ik een DPIA uitbesteden?
Ja. De uitvoering van een DPIA kan worden uitbesteed aan een externe adviseur of juridisch specialist. De verantwoordelijkheid blijft echter altijd bij de verwerkingsverantwoordelijke te liggen. Uitbesteding ontslaat een organisatie dus niet van de plicht om de uitkomsten te beoordelen, te documenteren en waar nodig op te handelen.
Wat zijn de gevolgen van het niet uitvoeren van een DPIA?
Het niet uitvoeren van een verplichte DPIA is een overtreding van de AVG en kan leiden tot een boete van de Autoriteit Persoonsgegevens. De maximale boete voor deze overtreding bedraagt tien miljoen euro of twee procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kan de Autoriteit Persoonsgegevens een verwerkingsverbod opleggen, ook zonder dat een boete wordt opgelegd. In de praktijk kan dat ingrijpender zijn dan de boete zelf.
Hoe vaak moet een DPIA herhaald worden?
Een DPIA is geen eenmalige actie. De verwerkingsverantwoordelijke beoordeelt zo nodig of de verwerking nog overeenkomstig de DPIA wordt uitgevoerd. Een herziening is in elk geval aan de orde wanneer de verwerking wijzigt, bijvoorbeeld door een nieuw doel, een extra dataset, een nieuwe leverancier of opschaling van het gebruik. Ook een significante verandering in het risico van de verwerking kan aanleiding zijn voor een nieuwe DPIA.
Heeft u vragen over uw specifieke situatie of twijfelt u of een DPIA verplicht is? Lex Digitalis denkt graag met u mee.
DPIA hulp nodig? Lex Digitalis helpt!
Een DPIA uitvoeren kost tijd en vraagt juridische, technische en organisatorische kennis. Zeker bij complexe verwerkingen, algoritme-inzet of verwerkingen binnen de publieke sector is het verstandig om die expertise in huis te halen of extern te beleggen.
Van pre-DPIA tot definitief rapport
Lex Digitalis voert DPIA’s uit voor gemeenten, provincies, ministeries, uitvoeringsorganisaties, overige overheidsorganisaties en private partijen. Wij begeleiden u van de eerste pre-DPIA tot het definitieve rapport: van het beoordelen of een DPIA verplicht is, het opstellen van de risicoanalyse en het bepalen van maatregelen, tot het adviseren over de uitkomsten en het bewaken van de opvolging. Heeft uw organisatie een FG, dan ondersteunen wij hem of haar bij de uitvoering en review van de DPIA.
Specialist in de publieke sector
Lex Digitalis heeft ruime ervaring met DPIA-trajecten in de publieke sector. Wij kennen de juridische kaders van wettelijke taken, de gevoeligheid van politieke besluitvorming en de eisen die publieke verantwoording stelt aan een goede onderbouwing. Of het nu gaat om cameratoezicht in de openbare ruimte, gegevensuitwisseling in ketens, algoritme-inzet of HR-verwerkingen: wij zorgen voor een DPIA die juridisch klopt en in de praktijk werkt.
Uitbesteden of begeleid uitvoeren
Elke organisatie is anders. Daarom bieden wij DPIA-ondersteuning in verschillende vormen:
- Volledig uitbesteden: wij voeren de DPIA van A tot Z uit, inclusief rapportage en afstemming met de FG.
- Begeleiding en co-creatie: wij ondersteunen interne teams bij het uitvoeren van de DPIA, bijvoorbeeld via workshops, reviews en gerichte adviezen.
- Second opinion of review: wij toetsen bestaande DPIA’s op kwaliteit, volledigheid en juridische houdbaarheid.
Meer dan compliance
Een goede DPIA is meer dan voldoen aan artikel 35 AVG. Het is een kans om betere keuzes te maken, risico’s voor betrokkenen tijdig te mitigeren en vertrouwen van burgers en klanten te versterken. Lex Digitalis vertaalt wet- en regelgeving naar de praktijk van uw organisatie, sluit aan op het Rijksmodel DPIA en andere publieke standaarden en integreert waar nodig FG-advies, het IAMA en sectorspecifieke wetgeving.
Wilt u de DPIA volledig uitbesteden of heeft u behoefte aan een second opinion op een bestaand rapport? Neem contact met ons op. Wij denken graag met u mee.
Gerelateerde artikelen
