Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/6.4.1
6.4.1 Algemeen: art. 35 AVG
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660933:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Een DPIA kan gericht zijn op een enkele gegevensverwerking, maar ook op meerdere vergelijkbare verwerkingen. Zie art. 29-werkgroep 2017, WP 248rev.01, p. 8.
Art. 35 lid 7 AVG; preambule AVG, o. 90. Zie ook art. 29-werkgroep 2017, WP 248rev.01, p. 4. Als de verwerkingsverantwoordelijke niet genoeg maatregelen kan vinden om de risico’s tot een acceptabel niveau te beperken, dan moet hij de toezichthouders raadplegen (art. 29-werkgroep 2017, WP 248rev.01, p. 24).
Art. 29-werkgroep 2017, WP 248rev.01, p. 23.
Preambule AVG, o. 91 AVG. Zie ook art. 29-werkgroep 2017, WP 248rev.01, p. 10-13, waaruit blijkt dat het ook van belang is of er bijv. sprake is van stelselmatige monitoring, geautomatiseerde besluitvorming met een rechtsgevolg of een vergelijkbaar wezenlijk gevolg en gegevens van kwetsbare betrokkenen. Overigens hebben nationale toezichthouders, de art. 29-werkgroep en het Europees Comité voor gegevensbescherming verwerkers hierbij verder houvast gegeven (art. 35 lid 4 AVG). Zie voor de lijst van de Autoriteit Persoonsgegevens ‘Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is’, Autoriteit Persoonsgegevens, Stcrt. 2019, 64418. Zie verder art. 29-werkgroep 2017, WP 248rev.01 en Europese Toezichthouder voor gegevensbescherming 2019-I.
Verwerkingsverantwoordelijken die een verwerking met een hoog risico voor de rechten en vrijheden van natuurlijke personen willen (laten) uitvoeren, moeten op grond van art. 35 AVG eerst een gegevensbeschermingseffectbeoordeling verrichten.1 Deze beoordeling is beter bekend onder haar Engelse naam: het data protection impact assessment, oftewel DPIA. Een DPIA dient ertoe de verwerkingsrisico’s te analyseren en houvast te geven bij het beperken daarvan. Het is een instrument waarmee verwerkingsverantwoordelijken de effecten van een verwerking op een systematische manier in kaart brengen voordat de verwerking wordt verricht.2 Aan de hand van deze beoordeling kunnen ze een inschatting maken van het effect van een voorgenomen verwerking (of het specifieke type verwerking) op de bescherming van persoonsgegevens.3
Een gegevensbeschermingseffectbeoordeling is veelomvattend. Bij de uitvoering van een DPIA moet een verwerkingsverantwoordelijke onderzoeken welke risico’s gepaard gaan met de door hem voorgenomen verwerking en wat de oorsprong, aard, ernst en het specifieke karakter van deze risico’s zijn.4 Verder dient hij kritisch te kijken naar de maatregelen, waarborgen en mechanismen waarmee hij deze risico’s wil beheersen, de betrokken gegevens wil beschermen en wil aantonen dat de AVG wordt nageleefd.5 Daarbij moet hij nagaan of deze maatregelen de risico’s die hij heeft geïdentificeerd beperken tot een acceptabel niveau.6 Naast risicogerelateerde elementen zijn ook andersoortige elementen van belang in de context van de gegevensbeschermingseffectbeoordeling: art. 35 AVG bepaalt nadrukkelijk dat deze beoordeling ook een beschrijving bevat van de beoogde verwerkingsdoelen, waarbij ook de gerechtvaardigde belangen die de verwerkingsverantwoordelijke met de verwerking behartigt van belang zijn.7
De verwerkingsverantwoordelijke is alleen verplicht tot het uitvoeren van een DPIA wanneer de voorgenomen verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.8 Hiervan is bijvoorbeeld sprake als er een nieuwe technologie wordt toegepast, als er grote hoeveelheden persoonsgegevens worden verwerkt, of als de voorgenomen verwerking gegevens betreft die gevoelig van aard zijn.9