#3: PIA of DPIA

Een DPIA (of in het Nederlands: een gegevensbeschermingseffectbeoordeling) is een van de "nieuwe" onderwerpen in de AVG.

Een DPIA is geen allesomvattend tovermiddel om in een keer te voldoen aan privacywetgeving. Concreet is een DPIA een vragenlijst, een heel goed doordachte vragenlijst. Er zijn diverse DPIA’s templates ontwikkeld, die treft u hieronder aan. 

In de praktijk wordt nog vaak gesproken over een PIA, privacy impact assessment. Deze term werd ten tijde van de Wbp gebruikt. Tegenwoordig wordt met een PIA de "eerste check" bedoeld waarmee wordt vastgesteld of er persoonsgegevens worden verwerkt en of er sprake is van een hoog risico verwerking.

De WG29 (nu: EDPB) en de AP hebben een toelichting gepubliceerd op de verplichting tot het uitvoeren van een DPIA. De toelichting van de AP bestaat uit een concrete lijst van verwerkingen waarvoor een DPIA uitgevoerd moet worden.

  • Stukje achtergrond (Wbp naar AVG)
    Onder de AVG is het uitvoeren van een DPIA (data protection impact assessment) in specifieke situaties verplicht. Zie de vraag hierna.

    De meningen verschillen over het antwoord op de vraag of het uitvoeren van een DPIA onder de Wbp ook al verplicht was. Onder de Wbp werd overigens gesproken van een PIA, privacy impact assessment. Een term die nog steeds gangbaar is.

    Strikt genomen staat de verplichting tot het uitvoeren van een PIA/DPIA niet in de Wbp. Uit diverse uitlatingen en publicaties van de AP blijkt echter dat om te voldoen aan artikel 13 Wbp (beveiliging) het uitvoeren van een PIA nodig is.

    Uitlatingen en publicaties AP
    In 2013 heeft het Cbp (nu AP) de Richtsnoeren beveiliging van persoonsgegevens gepubliceerd. Hierin wordt de bekende plan-do-act-check cyclus besproken. In de Richtsnoeren wordt letterlijk benoemd dat voor aanvang van deze cyclus een PIA moet worden uitgevoerd. Tot 2013 werd algemeen aangenomen dat een PIA in feite gelijk was aan het zich continue herhalende proces van de plan-do-act-check cyclus. De AP heeft in de Richtsnoeren beveiliging (en daarna) echter aangegeven dat een PIA voor aanvang van een nieuwe (of hernieuwde) verwerking moet worden uitgevoerd en voor de nakoming van artikel 13 Wbp (beveiliging) nodig is.
    Ook in eerdere presentaties, toespraken en uitlatingen van de AP valt de PIA verplichting af te leiden. Hier doelen wij op de nadruk die door de AP is gelegd op het hanteren van de beginselen van privacy by design en privacy by default. Deze beginselen staan nu letterlijk als verplichting in de AVG (artikel 25). Deze beginselen kunnen in principe ook alleen worden toegepast door eerst een beoordeling te maken van de privacy effecten die een beoogde verwerking heeft. Dit gebeurt door het uitvoeren van een PIA.
    Sinds 1 september 2013 geldt voor de Rijksoverheid het Toetsmodel Privacy Impact Assessment Rijksdienst. Binnen de overheid zal bij de ontwikkeling van nieuwe wetgeving en beleid standaard een PIA worden uitgevoerd.

    Werkgroep 29
    De WG 29 heeft zich in een adviserende opinie over RFID toepassingen concreet uitgelaten over het uitvoeren van een PIA. Dit betreft Opinion 9/2011 on the revised industry proposal for a privacy and data PIA framework for RFID applications. Uit de opinie blijkt in ieder geval dat ook de Werkgroep 29 een PIA ziet als middel om ingebouwde privacy (by design) te bevorderen, zodat een PIA dus voor aanvang van een nieuwe verwerking moet worden uitgevoerd.
  • Onder de AVG
    De AVG bepaalt in artikel 35 de verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (een PIA). Samengevat bestaat de verplichting indien:
    • een soort verwerking, vooral met gebruik van nieuwe technologieën, gelet op de aard, omvang, context en de doeleinden waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (inderdaad, een "fill in yourself" open norm);
    • de verwerking profiling betreft, of een andersoortige systematische en uitgebreide beoordeling van persoonlijke aspecten gebaseerd op een geautomatiseerde verwerking betreft;
    • er op grote schaal bijzondere persoonsgegevens (artikel 9 AVG) of strafrechtelijke gegevens (artikel 10 AVG) worden verwerkt (Let op: de AVG benoemd specifiek nu ook genetische en biometrische gegevens als bijzonder persoonsgegeven);
    • sprake is van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (denk aan wifi-tracking)
    • de verwerking wordt vermeld op de door een toezichthoudende autoriteit opgestelde en openbaar gemaakte lijst.

    De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van verwerkingen waarvoor géén PIA is vereist. Een soort vrijstellingsbesluit.

    Inmiddels heeft de artikel 29 Werkgroep zich in oktober 2017 nogmaals uitgelaten over de verplichting tot uitvoeren van een PIA. Deze aangepaste richtsnoeren vindt u hier.

    Download: WG29 Guidelines on DPIA October 2017.pdf

  • Omvang verplichting
    Juridisch is de verplichting tot het uitvoeren van een PIA interessant. Is dit een inspanningsverplichting? In de zin van "u moet een assessment uitvoeren". Of gaat het hier om een resultaatsverplichting? In de zin van "u moet een bruikbaar assessment uitvoeren".

    Zoals de verplichting nu in de AVG staat geformuleerd, is sprake van een inspanningsverplichting. Alhoewel de tekst van artikel 35 lid 7 sub d en artikel 35 lid 11 AVG er blijk van geven dat het resultaat en de beoogde maatregelen die uit de PIA volgen wél ter zake doen. Een zekere mate van resultaatsverplichting is dus wel in artikel 35 AVG te lezen.

    Dit betekent dat er niet lichtvaardig met de verplichting kan worden omgegaan. Zeker niet nu overtreding van een verplichting uit de AVG grote financiële gevolgen kan hebben. Zeker niet nu het aantoonbaar voldoen aan de beginselen van de AVG een van de basis principes is geworden. Een PIA levert een rapportage op, zodat u daarmee kunt aantonen dat u in ieder geval (een deel van) uw verwerkingen en verplichtingen in kaart heeft gebracht.

    Uit jurisprudentie over wettelijke inspanningsverplichtingen volgt het criterium "dat ter nakoming van de verplichting redelijkerwijs gedaan moet worden wat van een zorgvuldig handelde normadressaat in dat kader verwacht mag worden". 

    Op dit moment is ook het "redelijkerwijs doen" en "zorgvuldig handelen" nog niet ingevuld voor het uitvoeren van een PIA. Er is nog geen concrete handleiding voor het doen van een PIA beschikbaar van de AP (wel van andere toezichthouders, zie hierna). Ook is er nog geen opinie van de artikel 29 werkgroep. Los van de discussie over de status van deze documenten, is het aan te raden om deze te volgen zodra ze beschikbaar zijn. En tot die tijd? Zou de verplichting kunnen worden ingevuld door:
    • De NOREA PIA (gehele document) goed te lezen en als uitgangspunt te nemen;
    • Een goed team samen te stellen van tenminste een IT-auditor en een jurist;
    • de uitkomsten van de PIA ter harte te nemen en hier actie op te ondernemen.
  • Wie voert een DPIA uit?
    De verantwoordelijke (verwerkingsverantwoordelijke volgens de AVG). Dit is dus geen verplichting die rechtstreeks bij een verwerker wordt neergelegd.

    De verwerkingsverantwoordelijke mag zelf bepalen wie de DPIA uitvoert. Het is aan te raden om een team samen te stellen waarbij tenminste een IT-auditor en een jurist zijn betrokken. De uitkomsten van de DPIA kunnen dan ook zowel technisch als juridisch (documenten en overeenkomsten) worden opgepakt.

    Let op: Artikel 35 lid 2 AVG verplicht de verwerkingsverantwoordelijke om advies in te winnen bij de FG bij het uitvoeren van de DPIA.
  • Handleiding voor een PIA
    Iedere PIA is anders. Toch is het mogelijk om aan te geven waaraan een PIA moet voldoen om bruikbaar te zijn.

    De Engelse toezichthouder, ICO, en de Franse toezichthouder, CNIL, hebben hier een document over gepubliceerd. Als u van plan bent om een PIA te initiëren, begeleiden of als u om advies wordt gevraagd dan is het handig om deze documenten eens door te lezen.

    In de WG29 (nu:EDPB) guidelines over DPIA's wordt ook omschreven hoe een DPIA uitgevoerd moet worden. Door de vragende schrijfwijze en de vele voorbeelden, is dit een van de meest praktische guidelines die zijn gepubliceerd. In de bijlage wordt een lijst gegeven met criteria waaraan een DPIA dient te voldoen.

    Download: ICO pia-code-of-practice.pdf CNIL-PIA-1-Methodology.pdf WG29 Guidelines on DPIA October 2017.pdf

  • Voorbeelden van een DPIA
    Een DPIA of een PIA is geen statische vragenlijst. Een PIA wordt per vraagstuk opnieuw ontwikkeld en opgesteld.

    Er zijn wel PIA's vrij beschikbaar die zijn ontwikkeld door commerciële of niet commerciële partijen. NOREA, de beroepsorganisatie van IT-auditors, heeft als een van de eerste partijen een PIA ontwikkeld. Hier is inmiddels al een tweede versie van beschikbaar waarin ook de meldplicht datalekken is verwerkt. Deze treft u hierbij aan.

    Diverse Europese Privacy Toezichthouders hebben DPIA tools beschikbaar gesteld. De Franse toezichthouder, de CNIL, heeft een DPIA tool in de vorm van down te loaden software gepubliceerd op haar website. Deze tool heeft diverse taalinstellingen, waaronder Nederlands.

    PrivacyAdvocaat heeft een template DPIA voor u opgesteld. Deze template bevat een extra tabblad waarin aandacht wordt besteed aan de algemene beginselen van de AVG. De template treft u bijgaand aan.

    Uiteraard kunnen wij ook een Privacy Quickscan op maat voor u maken en uitvoeren. Dit kost max Euro 1250,00 ex BTW. Wij hebben ook de nodige ervaring met PIA's en werken samen met IT-auditors die diverse PIA's hebben opgesteld en uitgevoerd.

    Download: NOREA PIA v1.2.pdf Template DPIA.xlsx . . .

Meer informatie over uw specifieke situatie? Wij helpen u graag verder