Wat is een GDPR impactanalyse en wanneer moet een onderneming deze opstellen? | Agoria

Wat is een GDPR impactanalyse en wanneer moet een onderneming deze opstellen?

Afbeelding
Gepubliceerd op 07/09/21 door Thomas Van Gremberghe
Monitort u werknemers via camerabewaking of op hun internetgebruik? Evalueert u personen (werknemers, prospecten) met innovatieve technologieën? Verrijkt u uw databases met gegevens uit andere bronnen (data brokers)? Ontwikkelt uw onderneming digitale toepassingen die (gevoelige en/of gezondheids-) gegevens verwerken? Het zijn herkenbare toepassingen, die misschien wel een formele impactanalyse vereisen. Er zijn geen uitzonderingen voor kleine(re) organisaties.

Eén van de zwaarste nieuwe verplichtingen volgend uit de Algemene Verordening Gegevensbescherming (AVG of GDPR) is de verplichting om een gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) op te stellen indien een bepaalde verwerking aan enkele voorwaarden voldoet.

Wanneer is de DPIA verplicht?

De AVG omschrijft drie gevallen wanneer een DPIA verplicht is :

  1. Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die rechtsgevolgen voor de natuurlijke persoon met zich meebrengen.
  2. Grootschalige verwerking van een bijzondere categorie gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
  3. Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Ook de European Data Protection Board of de EDPB heeft verschillende criteria (of risico's) vooropgesteld om te beoordelen of een verwerking een hoog risico is voor de rechten van de personen. Vanaf het ogenblik dat aan twee of meer criteria zijn voldaan, is het volgens de EDPB vereist een DPIA uit te voeren. Enkele van deze criteria zijn :

  • Het evalueren van personen
  • Stelselmatig monitoren
  • Op grote schaal gegevens verwerken
  • Innovatief gebruik,
  • Enz.

Elementen van een DPIA

De inhoud van een data protection impact assessment (DPIA) bevat de volgende onderdelen:

  • een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden 
    • waarbij een beoordeling wordt gemaakt van de noodzaak en de proportionaliteit van de verwerking in het kader van het specifieke doeleinde en
    • waarbij de risico's voor de rechten en vrijheden van de betrokkenen wordt beoordeeld.
  • Ten slotte zal de verwerkingsverantwoordelijke in de DPIA de beoogde maatregelen moeten beschrijven die de risico's zouden moeten beperken. Deze maatregelen omvatten de waarborgen, veiligheidsmaatregelen en andere mechanismen om de bescherming van de persoonsgegevens te garanderen.  

De praktische toepassing van een gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA) doet nog steeds veel vragen rijzen, aangezien het vrij onontgonnen terrein is dat erg abstract blijft. Ondernemingen blijven met verschillende vragen zitten :

  • Wanneer is een DPIA écht nodig?
  • Wie moet een DPIA opstellen?
  • Hoe bepalen of een verwerking proportioneel en noodzakelijk is?
  • Wat is de impact van de beoogde verwerking?
  • Hoe beoordelen we de risico’s van de verwerking?
  • Op welke wijze kunnen de risico’s beperkt worden?
  • Wat is de rol van de Gegevensbeschermingsautoriteit bij de DPIA?

 

Agoria Academy 'GDPR & DPIA'

Agoria heeft samen met de telecomsector een framework opgesteld met handige bouwblokken om een volledige en kwalitatieve DPIA op te stellen. Agoria organiseert tevens een Agoria Academy DPIA tijdens welke u een grondige training krijgt om zelf aan de slag te gaan met DPIA’s. Deze vindt plaats op donderdag 14 oktober. Reserveer hier uw plaats!
Was dit artikel nuttig?