AVG Uitgediept #11: Wel of geen Data Protection Impact Assessment?

De AVG spreekt over een verplichte PIA wanneer een soort verwerking - in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt - een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Met name is zo'n PIA een vereist wanneer er sprake is van 1) profilering en geautomatiseerde besluitvorming, 2) grootschalige verwerking van bijzondere persoonsgegevens, en 3) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Dit is geen uitputtende lijst van situaties waarbij een PIA verplicht is. Een hoog risico is steeds de bepalende factor. De Europese privacytoezichthouders hebben 9 categorieën genoemd die een aanwijzing kunnen zijn voor een hoog risico:

1. Evaluatie of scoretoekenning. Denk hierbij aan een financiële instelling die kredietwaardigheidsonderzoeken uitvoert, een fraudedatabank, een tool om ziekte- en gezondheidsrisico's van consumenten te beoordelen en te voorspellen, of een bedrijf dat gedrags- of marketingprofielen opstelt op basis van het gebruik van de website.
2. Geautomatiseerde besluitvorming met een rechtsgevolg. Verwerking die gericht is op het nemen van beslissingen met betrekking tot betrokkenen waaraan voor betrokkenen rechtsgevolgen zijn verbonden of de betrokkene op vergelijkbare wijze wezenlijk treft. Belangrijk is dus dat de verwerking gevolgen moet hebben voor de betrokkene.
3. Stelselmatige monitoring. Verwerkingen waarbij gebruik wordt gemaakt van het observeren, monitoren of controleren van betrokkenen. Hieronder vallen ook de via netwerken verzamelde gegevens en de monitoring van openbaar toegankelijke ruimten.
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard. Denk hierbij aan de bijzondere categorie van persoonsgegevens, maar ook aan gegevens waarvan wij allemaal vinden dat het gevoelige gegevens zijn. In dit opzicht kan het relevant zijn of de gegevens al openbaar zijn gemaakt door de betrokkene.
5. Op grote schaal verwerkte gegevens. Niet bekend is wat nou precies wordt bedoeld met grootschalig, maar de volgende factoren spelen een rol: 1) het aantal betrokkenen, 2) het volume van gegevens en/of het bereik, 3) de duur of het permanente karakter van de verwerkingsactiviteit en 4) de geografische omvang van de verwerkingsactiviteit.
6. Matching of samenvoeging van datasets. Denk hierbij aan het combineren van twee (of meer) verschillende datasets die voor verschillende doeleinden zijn verkregen. Een factor hierbij is dat de betrokkene redelijkerwijs deze combinatie niet zou kunnen verwachten.
7. Gegevens met betrekking tot kwetsbare betrokkenen. Dit zijn bijvoorbeeld kinderen, werknemers, geesteszieken, asielzoekers, bejaarden, patiënten, etc. Een kwetsbare groep is in ieder geval een groep waarin onevenwichtigheid bestaat in de relatie tussen de betrokkene en verantwoordelijke.
8. Innovatief gebruik/innovatieve toepassing van nieuwe technologieën. Innovatie wordt erg gestimuleerd door bedrijven en overheden, maar brengt ook risico's met zich mee. Vingerafdrukken en gezichtsherkenning worden gecombineerd om betere fysieke toegangscontroles te realiseren en sensors worden geplaatst om de veiligheid van senioren te waarborgen. Het gebruik van dergelijke technologieën kan nieuwe vormen van verwerking inhouden waarbij de risico's voor de rechten en vrijheden van betrokkenen hoog kunnen zijn. Deze risico's kunnen onbekend zijn en moeten daarom actief in kaart worden gebracht alvorens over te gaan tot verwerking.
9. Waarbij betrokkenen niet langer een recht kunnen uitoefenen of beroep kunnen doen op een dienst of overeenkomst. Dit omvat verwerkingen die erop zijn gericht om de toegang van betrokkenen tot een dienst toe te staan, te wijzigen of te weigeren. De toezichthouders noemen het voorbeeld van een kredietwaardigheidsonderzoek, hetgeen ook valt onder categorie #1.

Over het algemeen moet aangenomen worden dat indien twee of meer categorieën op een verwerking van toepassing zijn, een PIA uitgevoerd moet worden. Hoe meer categorieën van toepassing zijn, hoe aannemelijker het is dat een verwerking een hoog risico inhoudt. Bent u toch van mening dat een PIA niet uitgevoerd hoeft te worden? Dan moet u dit motiveren en documenteren. In die documentatie moet eventueel de mening van de Functionaris Gegevensbescherming (FG) worden meegenomen.

De mening van de FG is niet alleen belangrijk, maar ook de mening van de betrokkenen zelf. In voorkomend geval moet de verantwoordelijke de betrokkenen (of hun vertegenwoordigers) naar hun mening vragen over de voorgenomen verwerking. Dit kan bijvoorbeeld middels een generieke studie, een vraag aan een ondernemingsraad/personeelsvertegenwoordiging of enquêtes. Besluit de verantwoordelijke dat het niet passend is om de mening te vragen, dan moet ook de motivering hiervoor gedocumenteerd worden.

De PIA moet voorafgaand aan de verwerking worden uitgevoerd en regelmatig worden herzien. Heeft u de risico's in kaart gebracht en komt u tot de conclusie dat u geen maatregelen kunt vaststellen waarmee de risico's worden beperkt? Dan moet u voorafgaande raadpleging aanvragen bij de Autoriteit Persoonsgegevens (AP). Dit houdt in dat u met de AP moet overleggen voordat u met de verwerking mag starten.

Wanneer het niet waarschijnlijk is dat een verwerking een hoog risico inhoudt, is een PIA niet verplicht. Daarnaast zijn nog andere gevallen denkbaar waarbij een PIA niet verplicht is. Dit is het geval wanneer:

1. een vergelijkbare PIA al bestaat. Het gaat dan wel om verwerkingen die vergelijkbaar zijn in termen van aard, omvang, context, doel en risico's. Dit kan ook van toepassing zijn op vergelijkbare verwerkingen die door verschillende verwerkingsverantwoordelijken worden uitgevoerd. In dat geval moet een referentie-PIA beschikbaar zijn die wordt gedeeld of publiek toegankelijk wordt gemaakt. De beschreven maatregelen in de PIA moeten dan wel door de betreffende verantwoordelijke worden geïmplementeerd. Trouw aan de documentatieplicht vereist de AVG ook dat schriftelijk gemotiveerd wordt waarom men volstaat met een referentie-PIA.
2. de verwerking voor mei 2018 al door de AP is gecontroleerd en geautoriseerd (bijvoorbeeld in geval van een verplichte melding). Voorwaarde is wel dat de specifieke omstandigheden sindsdien niet zijn gewijzigd.
3. een verwerking plaatsvindt op grond van een wettelijke verplichting of publiekrechtelijke taak en de wetgever al een PIA heeft uitgevoerd inzake die specifieke verwerking. De Rijksoverheid is namelijk nu al verplicht om bij de totstandkoming van nieuwe wetgeving een PIA uit te voeren en daar rekening mee te houden. Deze uitzondering geldt niet als de AP toch heeft besloten dat een PIA nodig is.
4. de verwerking is opgenomen in een vrijstellingslijst van de AP. De AP heeft een lijst met verplichte PIA's aangekondigd, maar nog geen lijst van vrijstellingen.
5. de verwerking plaatsvindt door een individuele arts, zorgprofessional of advocaat.

De AVG vraagt kortom heel veel van u. Met name de administratieve lasten zullen hoog zijn, aangezien u vrijwel alles moet motiveren, documenteren en aantonen. Om het u enigszins makkelijker te maken, heeft de AP gezegd op termijn een lijst te zullen publiceren van verwerkingen waarvoor een PIA verplicht is. In ieder geval raadt de AP organisaties aan om vrijwillig een PIA uit te voeren, omdat dit ook de organisatie zelf voordelen oplevert. Het uitvoeren van een PIA kan ook een belangrijk verantwoordingsinstrument zijn in het kader van de AVG. Hiermee toont de organisatie namelijk aan dat zij heeft nagedacht over de noodzaak en evenredigheid van de verwerking, de risico's heeft beoordeeld en dit - voor zover mogelijk - heeft afgedekt. Hiermee kunnen organisaties aantonen dat zij passende maatregelen hebben genomen om aan de AVG te voldoen. Daar de verordening voornamelijk gestoeld is op verantwoording en transparantie, kan een PIA dus zeer nuttig zijn. De Europese privacytoezichthouders raden ook aan om bij twijfel toch een PIA uit te voeren.

Let wel, zelfs wanneer een PIA niet verplicht is, moet u blijven voldoen aan de algemene verplichting van de AVG om maatregelen te treffen om risico's op passende wijze te beheren. Op grond van de documentatieplicht, moet u dit ook documenteren.

Als geen PIA wordt uitgevoerd terwijl dat wel verplicht is, als een PIA niet correct wordt uitgevoerd of als de AP niet wordt geraadpleegd terwijl dat wel vereist is, kan dat leiden tot een boete van maximaal EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet. De verantwoordelijke is verantwoordelijk voor het uitvoeren van de PIA, ook al zal in sommige gevallen de verwerker de feitelijke uitvoering doen. Voor de verwerker geldt de verplichting om de verantwoordelijke te helpen met het uitvoeren van de PIA en alle noodzakelijke informatie te verstrekken.

Twijfelt u of u een PIA moet uitvoeren of wilt u weten hoe u de PIA moet uitvoeren? Neem dan contact op met ons privacyteam. Wij helpen u graag verder.