Onder de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt, moet je als webwinkelier onder bepaalde omstandigheden een Data Protection Impact Assessment (DPIA, of gegevensbeschermingseffectbeoordeling) uitvoeren. Dit is in ieder geval noodzakelijk als een verwerking van persoonsgegevens binnen je organisatie een hoog privacyrisico oplevert. Of dit het geval is, moet je als webshop zelf inschatten. De Artikel 29-werkgroep (WG29), een samenwerkingsverband van Europese toezichthouders, heeft richtlijnen opgesteld met hierin criteria om ondernemers te helpen om dit zo goed mogelijk te kunnen overzien. Hieronder geven we een korte uitleg van wat de DPIA inhoudt en bespreken we kort de criteria van de WG29.
Wat houdt de DPIA in?
Een DPIA helpt bij het ontdekken van privacyrisico’s bij nieuwe en bestaande verwerkingen van persoonsgegevens, en vermindert zo de kans dat deze risico’s zich in de praktijk voordoen. Een DPIA geeft inzicht in de mogelijke negatieve gevolgen voor personen van wie gegevens worden verwerkt. Daarnaast maakt hij op systematische wijze overzichtelijk hoe groot de kans is dat deze negatieve gevolgen tot uiting komen en waar de risico’s zich voordoen. Aan de hand van een DPIA wordt het effect van de verwerking van persoonsgegevens vooraf beoordeeld. Op basis van de uitkomst(en) kun je gericht acties ondernemen om deze risico’s te verminderen. Een DPIA stimuleert je als webwinkelier om goed na te denken over de volgende vragen:
- Wat is de impact van het beoogde project op de privacy van de betrokkenen?
- Wat zijn de risico’s voor de betrokkenen en voor de organisatie?
- Is er, op basis van de doelstellingen van het project, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy?
Verwerkingen met hoog risico
Onder de AVG moeten organisaties een DPIA opstellen als een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de natuurlijke personen van wie de gegevens worden verwerkt. Een DPIA is in ieder geval vereist als je:
- personen van wie je de gegevens verwerkt op systematische en uitgebreide basis beoordeelt (of evalueert) op grond van persoonlijke aspecten en als daar dan besluiten op worden gebaseerd, met rechtsgevolgen voor deze persoon (bijvoorbeeld een verandering in zijn rechtspositie). Hierbij kan aan besluitvorming op basis van profilering worden gedacht;
- ·op een grootschalige manier bijzondere persoonsgegevens verwerkt (bijvoorbeeld wat iemands politieke voorkeur of ras is);
- ·openbaar toegankelijke ruimten stelselmatig en grootschalig monitort.
Dit zijn de enige omstandigheden die de AVG specifiek geeft voor verwerkingen met een groot privacyrisico. De WG29 geeft ter verduidelijking criteria aan de hand waarvan je het risico van de verwerking kan bepalen. Zo hoef je geen DPIA uit te voeren als een verwerking erg lijkt op een eerdere gegevensverwerking waarvoor je al een DPIA hebt uitgevoerd.
In de huidige situatie in Nederland hoef je onder de Wet bescherming persoonsgegevens (Wbp) niet verplicht een Privacy Impact Assessment (PIA) uit te voeren, al wordt dit wel aangeraden. Een PIA houdt ongeveer hetzelfde in als een DPIA, maar onder de AVG heeft dit instrument een andere naam gekregen.
De criteria van de WG29
Als de verwerking van jouw webshop aan minstens twee van de onderstaande tien criteria voldoet, ben je volgens de WG29 verplicht om een DPIA uit te voeren.
-
- Personen worden beoordeeld op basis van persoonlijke aspecten
Bijvoorbeeld het maken van prognoses op grond van iemands persoonlijke voorkeuren, economische situatie of gezondheid.
- Er vindt geautomatiseerde besluitvorming plaats waaraan rechtsgevolgen zijn verbonden
Een besluit dat ervoor kan zorgen dat mensen bijvoorbeeld worden uitgesloten of gediscrimineerd.
- Personen worden systematisch gemonitord
Het gaat hierbij om de monitoring van openbaar toegankelijke ruimten, waarbij personen niet weten dat hun persoonsgegevens worden vastgelegd.
- Er worden gevoelige gegevens verwerkt
Het verwerken van bijzondere persoonsgegevens, zoals iemands seksuele voorkeur of geloofsovertuiging.
- Er worden gegevens op grote schaal verwerkt
De AVG definieert niet wat gegevensverwerking op grote schaal inhoudt, maar de WG29 geeft aan dat de volgende criteria hierbij relevant zijn:
- Het aantal betrokken personen.
- De hoeveelheid gegevens.
- De duur van de gegevensverwerkingsactiviteit.
- De geografische omvang van de verwerkingsactiviteit.
- Er worden datasets gecombineerd
Persoonsgegevens worden aan elkaar gekoppeld of gecombineerd, zoals bij gegevens van twee verschillende gegevensverwerkingen.
- Er worden gegevens over kwetsbare personen verzameld
Er bestaat een machtsverhouding met degene van wie je gegevens verzamelt (bijvoorbeeld als dat je werkgever is) of het betreffen kwetsbare groepen zoals kinderen of patiënten.
- Er worden nieuwe technologieën gebruikt
Deze technologieën kunnen nieuwe methoden van gegevensverwerking met zich meebrengen, waarvan je de risico’s nog niet goed kunt inschatten.
- Er worden gegevens naar buiten de EU doorgegeven
Je moet beoordelen of het land waarnaar je de gegevens doorgeeft een goed beschermingsniveau biedt.
- De gegevensverwerking blokkeert de uitoefening van een recht, service of contract
- Personen worden beoordeeld op basis van persoonlijke aspecten
Bijvoorbeeld een bank die de kredietwaardigheid van een persoon evalueert.
Handreiking
Voor meer informatie over de (D)PIA verwijzen we net als de Autoriteit Persoonsgegevens (AP) graag naar de handreiking die is uitgegeven door NOREA, de beroepsorganisatie van ict-auditors. Omdat er tussen een PIA of DPIA inhoudelijk weinig verschil is, kan deze handreiking waarschijnlijk ook na inwerkingtreding van de AVG worden gebruikt als handvat.
Bron: Thuiswinkel.org