Menu
De Groote – De Man

De cruciale rol van een DPO bij de Data Protection Impact Assessment (DPIA).

GDPR
8 februari 2024

Geen enkele ondernemer kan nog ontkomen aan de digitale golf en wordt verplicht mee te surfen aan een razend tempo. Dit betekent dat ongetwijfeld heel wat persoonsgegevens door de onderneming worden verwerkt. Om ervoor te zorgen dat de privacyrechten van de betrokkenen worden gerespecteerd, heeft de Europese Algemene Verordening Gegevensbescherming (“AVG” of “GDPR”) een instrument in het leven geroepen: de gegevensbeschermingseffectbeoordeling (ook bekend als een Data Protection Impact Assessment, of kortweg “DPIA”).

In dit artikel leggen we uit:

  • wat een DPIA is;
  • hoe je bepaalt wanneer een DPIA vereist is;
  • hoe je een DPIA uitvoert;
  • wanneer je de Belgische Gegevensbeschermingsautoriteit dient te raadplegen
  • en vooral wat de meerwaarde van een Data Protection Officer (hierna “DPO”) is in heel dit proces.

 

Wat is een Data Protection Impact Assessment, afgekort DPIA?

Zoals de naam al doet vermoeden, is een DPIA een evaluatie van de privacy risico’s verbonden aan (nieuwe) verwerkingsactiviteiten. Het helpt ondernemingen om bewust te worden van de risico’s die gepaard gaan met nieuwe of potentieel risicovolle verwerkingsactiviteiten, zodat ze de risico’s ervan kunnen minimaliseren voordat ze van start gaan.

 

Hoe bepaal je welke gegevensverwerkingen een DPIA nodig hebben?

Het bepalen welke gegevensverwerkingen een DPIA vereisen, kan een uitdagende taak zijn. Een DPO kan hierbij voor de nodige verhelderingen zorgen en jou bijstaan bij een aantal moeilijke afwegingen. Een DPO geeft gericht advies over welke methodologie gevolgd moet worden bij het uitvoeren van dergelijke beoordeling in jouw specifieke situatie.

Ten eerste verplicht de GDPR elke verwerkingsverantwoordelijke om een DPIA uit te voeren wanneer die een verwerking wil verrichten die mogelijks een verhoogd risico inhoudt op de rechten en vrijheden van natuurlijke personen. De GDPR bevat een lijst met een aantal verplichte situaties waarin een DPIA vereist is, zoals bij de beoordeling van persoonlijke aspecten van individuen, gebaseerd op geautomatiseerde verwerking, en waarop belangrijke beslissingen worden genomen; een grootschalige verwerking van bijzondere categorieën persoonsgegevens; en de stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

De Belgische Gegevensbeschermingsautoriteit (hierna de “GBA”) voegt hier ook nog enkele verplichte gevallen aan toe:

  • Deze zijn onder andere het gebruik van biometrische gegevens (bijv. vingerafdrukken) voor identificatiedoeleinden in openbare ruimten;
  • het inzamelen van persoonsgegevens bij derden voor besluitvorming over een dienstverlening;
  • de grootschalige gegevensverzameling voor analyse van persoonlijke informatie (bijv. de economische situatie, gezondheid, persoonlijke interesses, etc.)
  • en de grootschalige gegevensverwerking gegenereerd door internet of things-toepassingen.

Als je geplande verwerking niet onder deze verplichte gevallen valt, moet je nog steeds een DPIA uitvoeren als deze voldoet aan de criteria opgesteld door de European Data Protection Board (voorheen de “Artikel 29 Werkgroep”). Deze criteria omvatten bijvoorbeeld ‘evaluatie en scoretoekenning’, met als voorbeeld een financiële instelling die haar klanten screent op basis van een databank die wordt ingezet in de strijd tegen witwaspraktijken en terrorismefinanciering.

Het is belangrijk om te weten dat indien jouw onderneming een DPO heeft aangesteld, de DPO verplicht is om hierover advies te verlenen indien gevraagd.

 

Hoe voer je een DPIA uit?

Een DPO zal eveneens advies en bijstand verlenen over de wijze waarop een DPIA dient uitgevoerd te worden. Er zijn geen strikte regels, maar je moet bepaalde elementen vastleggen, zoals de beschrijving van de verwerkingen, een beoordeling van de noodzaak en evenredigheid, een risicobeoordeling en de maatregelen om de risico’s aan te pakken. Dergelijke maatregelen kunnen bijvoorbeeld het pseudonimiseren of anonimiseren van gegevens inhouden.

 

Wanneer moet je de Belgische Gegevensbeschermingsautoriteit raadplegen?

Als de beoordeelde risico’s te groot zijn en onvoldoende (kunnen) worden aangepakt, moet  je als verwerkingsverantwoordelijke verplicht de GBA raadplegen voordat je verdergaat met de verwerking (de verwerkingen vertonen als het ware een “hoog restrisico”).

Ook hier kan een DPO een meerwaarde betekenen voor uw onderneming, door enerzijds nauw samen te werken met de GBA en anderzijds te fungeren als een contactpunt met de GBA.

 

Schakel een van onze DPO’s in

Een DPO zal dus adviseren over de noodzaak, methodologie en waarborgen van een DPIA en speelt als dusdanig een essentiële rol om uw naleving van de GDPR te verzekeren.

Als jouw onderneming nog geen DPO heeft, kan je overwegen om een van onze DPO’s in te schakelen. Voor meer informatie, kan je contact opnemen met ons gespecialiseerd Data, Technology & Entertainment Team.

Geschreven door

Stefanie Dams

Stefanie Dams is advocaat Data, Tech & Entertainment