De AVG schrijft voor dat in sommige gevallen een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd. Dit wordt ook wel de data privacy impact assessment (DPIA) genoemd. Het is in feite een rapportage van een beoordeling die u heeft gemaakt over een verwerking die u wilt gaan uitvoeren, de risico’s die die verwerking met zich meebrengt en de getroffen maatregelen om de risico’s te beperken.

Een DPIA is alleen verplicht als een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Hier is het weer de vraag wanneer je van verwerkingen met een hoog risico kunt spreken. U moet dit in principe zelf beoordelen, de AVG vult dit niet concreet in. De Europese privacytoezichthouders hebben wel aangegeven dat u als vuistregel kunt hanteren dat u waarschijnlijk een DPIA moet uitvoeren als uw verwerking aan 2 of meer van de onderstaande 9 punten voldoet:

1. U beoordeelt mensen op basis van persoonskenmerken (voorbeeld: een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt).

2. U neemt geautomatiseerde beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben (voorbeelden: geautomatiseerde verkeersboetes, geautomatiseerde beslissingen van overheidsinstanties, zoals de Sociale Verzekeringsbank die op een AOW-aanvraag beslist).

3. U houdt zich bezig met stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht.

4. U verwerkt gevoelige persoonsgegevens (het gaat hierbij om bijzondere categorieën van persoonsgegevens, maar ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens).

5. U houdt zich bezig met grootschalige gegevensverwerkingen. Of verwerkingen grootschalig zijn, hangt af van de hoeveelheid mensen van wie gegevens worden verwerk, de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt, de tijdsduur van de gegevensverwerking en de geografische reikwijdte van de gegevensverwerking.

6. U combineert databases met persoonsgegevens met elkaar of koppelt databases met gegevens aan elkaar.

7. U verwerkt persoonsgegevens over kwetsbare personen (er is vaak sprake van een ongelijke machtsverhouding tussen u en de betrokkene. Denk aan werknemers, kinderen en patiënten).

8. U maakt gebruik van nieuwe technologieën (bijvoorbeeld vingerafdruksystemen en gezichtsherkenning t.b.v. toegangscontrole, een automatic numberplate recognition camera of “internet of things” applicaties die een grote impact kunnen hebben op het dagelijks leven en de privacy van mensen).

9. De verwerking van persoonsgegevens kan leiden tot het niet kunnen uitoefenen van een recht, het niet gebruik kunnen maken van een dienst of het niet kunnen afsluiten van een contract (voorbeelden: gegevensverwerkingen die plaatsvinden in de openbare ruimte en die mensen niet kunnen vermijden, een bank die de kredietwaardigheid van klanten toetst om te bepalen of zij een lening krijgen).

Bovenstaande laat onverlet dat ook in andere gevallen waarbij de verwerking waarschijnlijk een hoog risico oplevert, een DPIA verplicht is. De AP zal op termijn een lijst publiceren van verwerkingen waarvoor in ieder geval een DPIA verplicht is.

Is een DPIA in uw geval verplicht, dan moet u de voorgenomen verwerkingen beoordelen op de volgende aspecten:

1. De gegevens die u wilt gaan verwerken en het doel van de verwerking;
2. Als een gerechtvaardigd belang uw grondslag voor verwerking is, moet u ook het belang of de belangen benoemen;
3. De noodzaak van de verwerking op de manier zoals u dat wilt gaan doen (kan het niet op een manier die minder inbreuk maakt op de privacy);
4. Of de inbreuk op de privacy wel in verhouding staat tot het doel dat u met de verwerking wilt bereiken;
5. Welke risico’s de verwerking met zich meebrengt voor de betrokkenen;
6. Welke maatregelen u gaat nemen om de risico’s te voorkomen/beperken en wat u gaat doen om aan te tonen dat u aan de AVG voldoet.

De bovenstaande beoordeling zult u schriftelijk moeten vastleggen.

Wilt u meer in detail weten hoe u een DPIA moet uitvoeren? Voor een handreiking voor de uitvoering verwijst de AP zelf naar de beroepsorganisatie van IT-auditors: https://www.norea.nl/download/?id=522.

Bij de personeels- en loonadministratie zult u wellicht hebben geconstateerd dat u gevoelige persoonsgegevens verwerkt en tegelijkertijd gegevens over kwetsbare personen. Zelfs als aan twee criteria is voldaan, betekent dit niet altijd dat een DPIA moet worden uitgevoerd. Metaalunie meent dat de meeste mkb’ers geen DPIA hoeven uit te voeren voor de verwerkingen binnen de personeels- en loonadministratie, omdat deze verwerkingen waarschijnlijk geen hoog risico inhouden voor de betrokkenen. Wij baseren dit op de voorbeelden die de Autoriteit Persoonsgegevens noemt van hoog-risico-verwerkingen en die niet goed te vergelijken zijn met de verwerkingen binnen de personeels- en loonadministratie van een gemiddelde mkb’er.

Ten aanzien van de andere administratieve onderdelen schatten wij in dat bij de gemiddelde mkb’er vaak niet aan twee of meer van bovenstaande criteria zal zijn voldaan. Verwerkingen zullen ook in de meeste gevallen geen hoog risico inhouden. Omdat wij een zeer gevarieerde achterban hebben en alleen u weet welke verwerkingen u uitvoert, blijft het van groot belang zelf te bekijken of een DPIA al dan niet verplicht is. Twijfelt u of u verwerkingen uitvoert met waarschijnlijk een hoog risico, neemt u dan contact met ons op. Verder zullen wij u op de hoogte stellen zodra de AP haar lijst met verwerkingen heeft gepubliceerd waarvoor in ieder geval een DPIA is verplicht.