Als organisatie moet u zelf bepalen of uw gegevensverwerking een hoog privacyrisico oplevert. En u dus een DPIA moet uitvoeren. De volgende criteria kunnen u hierbij helpen:

• Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer u een DPIA moet uitvoeren.
• De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor u een DPIA moet uitvoeren.
• De 9 criteria voor een DPIA van de Europese privacytoezichthouders.

DPIA volgens de AVG

De AVG geeft aan dat u in ieder geval een DPIA moet uitvoeren als u als organisatie:

• Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt. Dit doet u op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop baseert u besluiten die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
• Op grote schaal bijzondere persoonsgegevens verwerkt.
• Strafrechtelijke gegevens verwerkt.
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

DPIA-lijst van de AP

De AP heeft daarnaast een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is voordat u met verwerken begint. 

Heimelijk onderzoek
Grootschalige verwerkingen van persoonsgegevens en-of stelselmatige monitoring waarbij informatie
wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te
stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader
van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van
auteursrechten). Een gegevensbeschermingseffectbeoordeling (DPIA) is ook verplicht in geval van
heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door
werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)).

Zwarte lijsten
Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare
feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door
bedrijven of particulieren worden verwerkt en gedeeld met derden (artikel 33, vierde lid, aanhef en
onder c, van de Uitvoeringswet Algemene verordening gegevensbescherming)(zwarte lijsten of
waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven,
winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig
gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus). 

Fraudebestrijding
Grootschalige verwerkingen van (bijzondere) persoonsgegevens en-of stelselmatige monitoring in het
kader van fraudebestrijding (bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars).

Creditscores
Grootschalige gegevensverwerkingen en/of stelselmatige monitoring die leiden tot of gebruik maken
van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking
gebracht in een creditscore. 

Financiële situatie
Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de
inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld
overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of
overzichten van mobiele- of pinbetalingen). 

Genetische persoonsgegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens
(bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken,
biodatabanken). 

Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of
voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook
grootschalige elektronische uitwisseling van gegevens over gezondheid (let wel: individuele artsen en
individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening
gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling
(DPIA) uit te voeren).

Samenwerkingsverbanden
Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere
overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische
schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg
of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of
informatieknooppunten.

Cameratoezicht
Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van
camera’s, webcams of drones.

Flexibel cameratoezicht
Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht (camera’s op kleding of helm van
brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten).  Controle werknemers
Grootschalige verwerking van persoonsgegevens en-of stelselmatig monitoring van activiteiten van
werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van
werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding). 

Locatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot
natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van
locatiegegevens van reizigers in het openbaar vervoer).

Communicatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens inclusief
metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming
van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het
randapparaat van de eindgebruiker.

Internet of things
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden
gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins
gegevens kunnen versturen of uitwisselen (‘internet of things’- toepassingen, zoals slimme televisies,
slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische
hulpmiddelen, etcetera).

Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen
gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van
beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag. 

Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd of beïnvloed, dan wel gegevens
daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural
advertising worden verzameld.

Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel
een natuurlijk persoon te identificeren. Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene
verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of
beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

De 9 criteria van toezichthouders voor DPIA

Staat uw verwerking niet op de DPIA-lijst en moet u zelf beoordelen of u een DPIA moet uitvoeren? Dan kunt u de 9 criteria voor een DPIA gebruiken die de EU-privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.

Let op: De 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan geen of slechts 1 van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van uw verantwoordingsplicht.

Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling en het maken van prognoses. Vooral op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

Voorbeelden hiervan zijn:

• een bank die de kredietwaardigheid van klanten bepaalt (creditscoring);
• een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen;
• een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

Geautomatiseerde besluiten

Het gaat hierbij om besluiten die rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben voor mensen. Bijvoorbeeld dat mensen worden uitgesloten of gediscrimineerd. Besluiten zonder (grote) gevolgen vallen niet onder dit criterium. Voor meer informatie, zie de Guidelines over geautomatiseerde besluitvorming en profilering van de EDPB.

Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat mensen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

Gevoelige gegevens

Het gaat hierbij om:

• bijzondere persoonsgegevens;
• strafrechtelijke gegevens;
• gegevens die over het algemeen als privacygevoelig worden beschouwd.

Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van 'grootschalige gegevensverwerkingen'. De Europese privacytoezichthouders hebben het begrip grootschalig verder ingevuld.

Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit 2 of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.

Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Daardoor kunnen betrokkenen niet in vrijheid toestemming geven of weigeren voor het verwerken van hun gegevens. Voorbeelden zijn werknemers, kinderen en patiënten.

Gebruik van nieuwe technologieën

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. Want dit kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken. Met mogelijk grote privacyrisico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt u dan om de risico’s te begrijpen en te verhelpen.

Sommige internet of things-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen. Daarom is hierbij een DPIA nodig.

Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat mensen:

• een recht niet kunnen uitoefenen;
• een dienst niet kunnen gebruiken;
• een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of iemand een lening krijgt.

Bij een grootschalige verwerking verwerkt een organisatie op grote schaal persoonsgegevens. Of het ‘op grote schaal’ is, hangt af van: het aantal betrokkenen, de hoeveelheid gegevens, hoe lang de verwerking duurt en de geografische reikwijdte ervan.

Criteria grootschalige gegevensverwerking

Wilt u bepalen of uw organisatie volgens de wet op grote schaal (bijzondere) persoonsgegevens verwerkt? Kijk dan naar deze criteria:

• het aantal betrokkenen;
• de hoeveelheid gegevens die u verwerkt;
• de duur van de gegevensverwerking;
• de geografische reikwijdte van de verwerking.

Voorbeelden van grootschalige verwerkingen

Dit is een aantal voorbeelden van verwerkingen die de Europese privacytoezichthouders als grootschalig zien: 

• Een ziekenhuis dat patiëntgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een vervoersmaatschappij die reisinformatie verwerkt van mensen die met het openbaar vervoer in een bepaalde stad reizen. Bijvoorbeeld door hen te volgen via reiskaarten.
• Een verwerker die gespecialiseerd is in marktonderzoek en die in opdracht van een internationale fastfoodketen de actuele locatiegegevens van klanten verwerkt voor statistische doeleinden.
• Een verzekeringsmaatschappij of bank die klantgegevens verwerkt als onderdeel van de gebruikelijke werkzaamheden.
• Een zoekmachine die persoonsgegevens verwerkt om advertenties te kunnen tonen op basis van internetgedrag.
• Een telefoon- of internetprovider die gegevens verwerkt over het telefoon- en/of internetgedrag van klanten. Zoals inhoud, verkeer en locatie.

Voorbeeld van een niet-grootschalige verwerking

De privacytoezichthouders beschouwen verwerkingen van bijzondere persoonsgegevens door individuele artsen of advocaten ('eenpitters') niet als grootschalig.

Een gegevensbeschermingseffectbeoordeling of ook wel GEB genoemd is hetzelfde als een Data Protection Impact Assessment.

U hoeft geen DPIA uit te voeren wanneer uw gegevensverwerking:

• Waarschijnlijk geen hoog privacyrisico oplevert.
• Sterk lijkt op een andere gegevensverwerking, waarvoor al een DPIA is uitgevoerd.
• Wordt geregeld door een andere Europese of nationale wet. En er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is.
• Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen lijst opgesteld.

Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Die basisvereisten zijn dat u in uw DPIA in ieder geval het volgende moet opnemen:

• Een systematische beschrijving van de gegevensverwerking die u van plan bent en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerking.
• Een beoordeling van de privacyrisico's voor de mensen van wie u gegevens wilt verwerken.
• De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Let op: Uw voorgenomen gegevensverwerking moet in elk geval rechtmatig zijn.

Start de DPIA in de ontwerpfase van de gegevensverwerking, zo vroeg als praktisch gezien mogelijk is. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default.

Bij de beoordeling van de privacyrisico’s moet u inschatten of er sprake is van hoge restrisico’s. Het gaat dan over ernstige situaties, die ondanks uw voorzorgmaatregelen nog steeds kunnen gebeuren. Besteed hierbij in uw DPIA in elk geval aandacht aan de volgende punten:

• Geef aan welke hoge privacyrisico’s u niet volledig kunt voorkomen.
• Vermeld specifiek in welke situaties of bij welke onderdelen er sprake is van een hoog restrisico.
• Geef aan hoe waarschijnlijk het u lijkt dat de omschreven situatie zich voordoet, ondanks de maatregelen die u treft. 
• Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt. 

Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U zult altijd moeten (blijven) monitoren of uw gegevensverwerking wijzigt en of u daarom de DPIA moet bijstellen.

Heeft uw organisatie een functionaris gegevensbescherming (FG) aangesteld? Dan bent u verplicht om de FG om advies te vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.

Het is aan te raden om de FG advies te vragen over:

• de afweging om wel of niet een DPIA uit te voeren;
• de onderzoeksmethode die geschikt is voor de DPIA;
• de vraag of u als organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
• de waarborgen die nodig zijn om de privacyrisico’s te beperken;
• de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

PrivacyTeam heeft verschillende FG diensten om uw organisatie te ondersteunen (www.privacyteam.nl).

Afhankelijk van uw specifieke situatie, moet u aan deze partijen advies vragen over uw DPIA:

• de functionaris gegevensbescherming (FG);
• de verwerker;
• de betrokkenen;
• overige partijen.

Gaat een verwerker in opdracht van u de gegevensverwerking uitvoeren? Dan moet de verwerker u ondersteunen bij het uitvoeren van de DPIA. En u de informatie verstrekken die u nodig heeft.

U moet als het nodig is de betrokkenen of hun vertegenwoordigers om hun mening vragen. Er zijn verschillende geschikte manieren waarop u dat kunt doen. Die zijn afhankelijk van uw specifieke situatie. Bijvoorbeeld:

• een intern of extern onderzoek doen;
• consumenten- of werknemersorganisaties consulteren;
• uw toekomstige klanten een vragenlijst sturen.

Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen documenteren om al dan niet met de verwerking door te gaan. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

U bent niet wettelijk verplicht om uw DPIA te publiceren. Maar dit is wel aan te raden. Dit kan het vertrouwen in uw gegevensverwerkingen bevorderen. Bovendien legt u hiermee verantwoording af en bent u transparant. Dit geldt vooral als de verwerking van invloed is op het algemeen publiek, zoals bij de overheid.

De gepubliceerde DPIA hoeft niet de hele beoordeling te bevatten. Er is wellicht informatie die u niet openbaar wilt maken, zoals informatie over beveiligingsrisico’s of concurrentiegevoelige informatie. U kunt dan volstaan met een samenvatting van de belangrijkste resultaten van de DPIA.

Bij veranderingen is een nieuwe DPIA nodig. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet daarom altijd blijven monitoren of er veranderingen zijn in:

• uw gegevensverwerking;
• de risico’s van de verwerking;
• de context van de verwerking.

Vanwege deze veranderingen is het sowieso aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.

Dit geldt ook voor bestaande verwerkingen waarvoor u niet eerder een DPIA heeft uitgevoerd. Verandert er iets, dan kunt u alsnog verplicht zijn een DPIA uit te voeren.

Veranderingen in gegevensverwerking

Uw verwerking verandert bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn.

Veranderingen in de risico’s van de verwerking

Verandert het privacyrisico van uw verwerking? Dan kunt u ook verplicht zijn een DPIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel. Daardoor kunnen nieuwe kwetsbaarheden ontstaan.

Veranderingen in de context van de verwerking

Tot slot kunt u verplicht zijn een DPIA uit te voeren omdat de context van uw organisatie of de maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden. Of omdat nieuwe categorieën mensen kwetsbaar worden voor discriminatie.

Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.

In het geval dat u heeft ingeschat in uw DPIA dat er restrisico’s zijn. Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

Als een algoritme persoonsgegevens verwerkt en een hoog risico kan vormen voor de rechten en vrijheden van personen, moet je een DPIA uitvoeren. Een DPIA is nodig als het algoritme bijvoorbeeld grootschalige monitoring, profilering, of automatische besluitvorming uitvoert met aanzienlijke gevolgen. Het doel is om privacyrisico's te identificeren en passende maatregelen te nemen om deze risico's te beperken.

In EasyDPIA kun je aan algoritme  / AI assessment starten als onderdeel van de DPIA.

Een PIA (Privacy Impact Assessment) is een brede analyse van privacyrisico's bij gegevensverwerkingen. Het helpt risico's te identificeren en te mitigeren, maar is niet wettelijk verplicht.

Een DPIA (Data Protection Impact Assessment) is specifiek verplicht onder de AVG voor verwerkingen met een hoog privacyrisico. Het richt zich op een diepgaande beoordeling van gegevensbescherming en mogelijke gevolgen voor betrokkenen, met als doel naleving van wettelijke eisen te garanderen.

Kortom, een DPIA is strenger, verplicht en gericht op hoogrisicovraagstukken.

Waarschijnlijk moet je een DPIA uitvoeren als je AI inzet in je bedrijfsproces, vooral als de AI persoonlijke gegevens verwerkt. Volgens de AVG is een DPIA verplicht wanneer een technologie waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van individuen, zoals bij geautomatiseerde besluitvorming of profiling. Een DPIA helpt risico's te identificeren en te mitigeren, en toont aan dat je voldoet aan de privacywetgeving.

Ook de AI verordening geeft aan dat je bij AI met een hoog risico verplicht bent om een DPIA uit te voeren.

In EasyDPIA kun je aan algoritme  / AI assessment starten als onderdeel van de DPIA.

De EU AI-verordening (AI Act) stelt dat organisaties een DPIA moeten uitvoeren als het gebruik van AI aanzienlijke risico's inhoudt voor de rechten en vrijheden van individuen. Dit geldt vooral voor AI-systemen die vallen onder "high-risk" toepassingen, zoals biometrische identificatie of systemen in kritieke sectoren (bijv. gezondheidszorg). De DPIA beoordeelt potentiële impact op privacy, veiligheid en discriminatie, en vereist maatregelen om risico's te minimaliseren, in lijn met de AVG en ethische richtlijnen.

Er zijn verschillende modellen om een DPIA uit te voeren zoals het Rijksmodel, het model van NOREA en sectorspecifieke modellen.

Veelgebruikte DPIA modellen zijn de modellen uit het Handboek DPIA's. Als je de modellen uit het Handboek gebruikt, start je met het uitvoeren van een Pre-DPIA. In het model Pre-DPIA bepaal je of er sprake is van een hoog risico voor betrokkenen. Als dit het geval is, ga je verder met het uitvoeren van een model DPIA Compact of Uitgebreid. Deze werkwijze en de modellen zijn in elektronische vorm beschikbaar in EasyDPIA, zodat je op een efficiënte en tijdbesparende manier met je team (Pre-) DPIA's kunt uitvoeren.

Het Rijksmodel is geschikt voor het uitvoeren van een DPIA. Het is ontworpen om organisaties te helpen voldoen aan de eisen van de AVG. Het model biedt een gestructureerde aanpak om privacyrisico's in kaart te brengen en te beoordelen. Door middel van duidelijke stappen en richtlijnen helpt het Rijksmodel risico’s te identificeren en passende maatregelen te bepalen.

Het model in EasyDPIA is een volwaardig DPIA model en geinspireerd op het Rijksmodel en de modellen van de ICO (Engelse toezichthouder) en de CNIL (Franse toezichthouder). En de laatste versie van het Rijksmodel? Dat is weer geinspireerd door het DPIA model uit EasyDPIA.

De afkorting DPIA wordt steeds bekender, maar de term DTIA (Data Transfer Impact Assessment) is een relatieve nieuwkomer op het gebied van het privacyrecht. De opkomst van de DTIA is één van de minder bekende gevolgen van de Schrems II omtrent de doorgifte van persoonsgegevens buiten de EU/EER. Wat moeten we hiermee?

Passend beschermingsniveau.
Doorgifte van persoonsgegevens aan een derde land of organisatie is alleen mogelijk wanneer het derde land een passend beschermingsniveau biedt. Voor een aantal landen heeft de Europese commissie daarom een adequaatheidsbesluit genomen. Daarmee geeft de commissie aan dat dit land of sector een passend beschermingsniveau van persoonsgegevens waarborgt volgens art 45 van de AVG. En dat men persoonsgegevens vrij kan uitwisselen met organisaties die in deze landen zijn gevestigd.

Schrems II
De Schrems II – uitspraak van het Hof van Justitie in 2020 heeft behoorlijk wat roet in het eten gegooid en de doorgifte van persoonsgegevens onder het EU-VS Privacy-Shield ongeldig verklaard. Hierdoor is het adequaatheidsbesluit niet meer van toepassing op de Verenigde Staten en is er dus geen sprake meer van een passend beschermingsniveau. Veel populaire clouddiensten die we tegenwoordig dagelijks gebruiken hebben hun hoofdvestiging in de VS waardoor er sprake is van een doorgifte van persoonsgegevens aan de VS. Om deze doorgifte rechtmatig te laten verlopen moet men voortaan dus gebruik maken van andere passende waarborgen.

Standard Contractual Clauses (SCC’s)
Een van de meest gebruikte passende waarborgen is het sluiten van een Standard Contractual Clauses (SCC’s). Er is echter een probleem met het gebruik van de SCC’s. Door de contractuele aard zijn deze modelcontractbepalingen namelijk niet ongevoelig voor de wetgeving van een derde land. Vooral de FISA (Foreign Intelligence Surveillance Act) lijkt de privacybescherming van de AVG onderuit te halen. Amerikaanse aanbieders moeten namelijk op verzoek van de Amerikaanse overheid persoonsgegevens verstrekken. Het simpelweg ondertekenen van SCC’s is niet meer voldoende.

DTIA

Er zal daarom voorafgaand aan de doorgifte buiten de EU/EER van persoonsgegevens een DTIA oftewel risicoanalyse moeten plaatsvinden. U zult hierin voldoende moeten onderbouwen waarom u als organisatie gebruik maakt van de leverancier in een derde land, en op welke wijze ervoor wordt gezorgd dat de privacy van betrokkenen wordt gewaarborgd. Volgens de Recommendations 01/2020 van de EDPB, bestaat een DTIA uit de volgende stappen:

• Aan welke landen/organisaties worden welke persoonsgegevens voor welke doeleinden doorgegeven? En is dat noodzakelijk?

• Breng de relevante (nationale) wetgeving en praktijken (zoals bevoegdheden van nationale inlichtingendiensten) in kaart die van toepassing zijn in het land waarnaar de persoonsgegevens worden doorgegeven.

• Identificeer de benodigde aanvullende (beveiligings-)maatregelen (zoals end-to-end encryptie) om het beschermingsniveau tot een gelijkwaardig niveau te brengen en pas deze toe.

• Tref benodigde procedurele waarborgen (zoals het overeenkomen van SCC’s).

Uiteindelijk volgt er een risicobeoordeling. Kortom, het is zeer verstandig om na te gaan of een DTIA noodzakelijk is alvorens over te gaan tot een doorgifte van persoonsgegevens buiten de EU/EER en om deze ook daadwerkelijk uit te voeren en te documenteren.  

Kies een goed DPIA model

Veelgebruikte DPIA modellen zijn de modellen uit het Handboek DPIA's. Als je de modellen uit het Handboek gebruikt start je met het uitvoeren van een Pre-DPIA, In het model Pre-DPIA bepaal je of er sprake is van een hoog risico voor betrokkenen. Als dit het geval is ga je verder met het uitvoeren van een model DPIA Compact of Uitgebreid. Deze werkwijze en de modellen zijn in elektronische vorm beschikbaar in EasyDPIA, zodat je op een efficiente en tijdbesparende manier met je team (Pre-) DPIA's kunt uitvoeren.

Klik hier voor meer informatie en om een goed model aan te vragen

De tijdens de Pre-DPIA ingevoerde gegevens komen ook direct beschikbaar als rapport ‘register van verwerkingsactiviteiten’ en kunnen worden gebruikt om het register van verwerkingsactiviteiten te vullen. Indien u van alle verwerkingsactiviteiten een Pre-DPIA heeft uitgevoerd, dan heeft u in EasyDPIA® een compleet register van verwerkingsactiviteiten.

Daarmee voldoet u overigens ook direct aan de verplichting om per verwerking inzichtelijk te hebben of deze een hoog risicoverwerking betreft of niet.

In EasyDPIA® kunt u met meerdere personen aan een DPIA werken. Het systeem kent daarvoor meerdere rollen die u kunt kiezen bij de samenstelling van uw DPIA team. U kunt teams samenstellen bij DPIA’s die u zelf heeft aangemaakt of als u deelneemt aan een DPIA en de rol van DPIA-eigenaar heeft gekregen.