Een DPIA, voluit: een data protection impact assessment. Of in het Nederlands: gegevensbeschermingseffectbeoordeling. Dat is nog eens een mooi woord voor galgje. Maar dat niet alleen! Het is een instrument uit de privacywet om vooraf privacyrisico’s in kaart te brengen.
Het uitvoeren van een DPIA is verplicht
Als je een risicovolle gegevensverwerking gaat doen, is een DPIA verplicht. Wanneer gegevensverwerking risicovol is, verschilt nogal eens. Om die reden is er een overzicht gemaakt van verwerkingen waarvoor een DPIA altijd verplicht is.
Hieronder vind je een aantal onderdelen uit die lijst:
- Cameratoezicht in openbare ruimten.
- Het doen van heimelijk onderzoek, bijvoorbeeld naar de overtreding van auteursrechten.
- Het monitoren of controleren van werknemers, bij een vermoeden van diefstal of fraude.
- Het bijhouden van een zwarte lijst, bijvoorbeeld van wanbetalers.
- Het doen van DNA-analyses.
- Het grootschalig verwerken van gezondheidsgegevens, bijvoorbeeld het uitwisselen ervan.
- Het delen van gegevens tussen samenwerkingsverbanden.
- Profilering op grote schaal.
- En nog een aantal meer grootschalige verwerkingsvormen.
Een DPIA uitvoeren kan op allerlei manieren
Er zijn vragenlijsten beschikbaar die invulling geven aan de DPIA. En er zijn online tools ontwikkeld die je door een aantal stappen heen leiden. Je kunt ook een uitgebreid (juridisch) adviesrapport op laten stellen door een privacy professional. De manier waarop je een impact assessment doet maakt niet uit. Maar jouw manier moet wel voldoen aan de minimumeisen uit de wet.
Het is in elk geval aan te bevelen om de DPIA niet enkel te zien als administratieve plicht. Gebruik het liever als een methode om jouw bedrijfsplannen goed te analyseren. Niet alleen vanuit privacyperspectief, maar ook uit commercieel perspectief.
Een voorbeeld:
Stel dat je jouw bedrijfseigendommen beter wilt beschermen. Je besluit daarom de beveiliging aan te scherpen. Je neemt een pakket af bij een dienstverlener. In dat pakket krijg je een nieuw alarmsysteem, camerabeveiliging in het hele pand en een beveiliger op afroep.
Voor het gebruik van camerabeveiliging op de werkvloer is een DPIA verplicht. Daarom besluit je van de nood een deugd te maken. Je neemt het hele beveiligingspakket onder de loep.
Bij de uitvoering van de DPIA zie je dat 5 van de 20 camera’s continu direct gericht zijn op de werknemers. Dat betekent een grote inbreuk op de privacy van de werknemers. Maar eigenlijk heb je die 5 camera’s ook helemaal niet nodig. Je wilde immers in het algemeen je bedrijfspand en bedrijfseigendommen beschermen. Daarvoor is het niet nodig om continu de werknemers in het oog te houden.
Deze DPIA heeft je dus geholpen om in te zien dat je de kosten van de bedrijfsbeveiliging kunt reduceren. En dat simpelweg door 5 camera’s niet te laten installeren.
Zorg daarom dat jouw DPIA-methode voldoet aan de eisen
En bovenal: zet de methode praktisch in om de bedrijfsvoering en kostbare plannen te toetsen. Of neem het mee in bestaande methoden voor het indienen van een business case.