The obligation to carry out a DPIA has been set out in the:

• General Data Protection Regulation (GDPR);
• Dutch Police Data Act (Wpol);
• Dutch Judicial Data and Criminal Records Act (Wjsg).
   

In the (original) Dutch version of these Acts, the DPIA is called a 'gegevensbeschermingseffectbeoordeling' (GEB).
 

When must a DPIA be carried out?

As an organisation, you have to decide for yourself if your data processing operation entails a high privacy risk. And if you therefore have to carry out a DPIA. The following criteria can help you determine this:

• What the General Data Protection Regulation (GDPR) says about when you have to carry out a DPIA.
• The list of the Dutch Data Protection Authority (Dutch DPA) with types of processing operations for which you must carry out a DPIA.
• The 9 criteria for a DPIA of the European data protection agencies.
   

DPIA according to the GDPR

The GDPR states that you must in any case carry out a DPIA if as an organisation you:

• Systematically and comprehensively assess personal aspects of people. You do this on the basis of automated personal data processing, including profiling. And you base decisions on this that have consequences for people. For example, that they cannot take out a loan. An example of this is credit scoring.
• Process special personal data on a large scale.
• Process criminal data.
• Systematically and on a large scale track people in a publicly accessible area. For example with camera surveillance.

DPIA list of the Dutch DPA

In addition, the Dutch DPA has drawn up a list of types of processing operations for which carrying out a DPIA is mandatory before you start processing.

• View the DPIA list as a web page on Overheid.nl
• View the DPIA list as PDF

Note:
 

The DPIA list is not exhaustive. It is possible that your processing operation is not on this list. You will have to assess for yourself then if your processing entails a high risk for the people whose data you want to process.
 

De 9 criteria van toezichthouders voor DPIA

Staat uw verwerking niet op de DPIA-lijst en moet u zelf beoordelen of u een DPIA moet uitvoeren? Dan kunt u de 9 criteria voor een DPIA gebruiken die de EU-privacytoezichthouders hebben opgesteld. 

Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.

Let op: De 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan geen of slechts 1 van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van uw verantwoordingsplicht.

1. Beoordelen van mensen op basis van persoonskenmerken

Het gaat hierbij onder meer om profiling en het maken van prognoses. Vooral op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen.

Voorbeelden hiervan zijn:

• een bank die de kredietwaardigheid van klanten bepaalt (creditscoring);
• een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen;
• een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

2. Geautomatiseerde besluiten

Het gaat hierbij om besluiten die rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben voor mensen. Bijvoorbeeld dat mensen worden uitgesloten of gediscrimineerd. Besluiten zonder (grote) gevolgen vallen niet onder dit criterium. Voor meer informatie, zie de Guidelines over geautomatiseerde besluitvorming en profilering van de EDPB.

3. Stelselmatige en grootschalige monitoring

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat mensen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

4. Gevoelige gegevens

Het gaat hierbij om:

• bijzondere persoonsgegevens;
• strafrechtelijke gegevens;
• gegevens die over het algemeen als privacygevoelig worden beschouwd.

5. Grootschalige gegevensverwerkingen

De AVG geeft geen definitie van 'grootschalige gegevensverwerkingen'. De Europese privacytoezichthouders hebben het begrip grootschalig verder ingevuld.

6. Gekoppelde databases

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit 2 of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.

7. Gegevens over kwetsbare personen

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Daardoor kunnen betrokkenen niet in vrijheid toestemming geven of weigeren voor het verwerken van hun gegevens. Voorbeelden zijn werknemers, kinderen en patiënten.

8. Gebruik van nieuwe technologieën

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. Want dit kan gepaard gaan met nieuwe manieren om gegevens te verzamelen en gebruiken. Met mogelijk grote privacyrisico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt u dan om de risico’s te begrijpen en te verhelpen.

Sommige internet of things-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen. Daarom is hierbij een DPIA nodig.

9. Blokkering van een recht, dienst of contract

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat mensen:

• een recht niet kunnen uitoefenen;
• een dienst niet kunnen gebruiken;
• een contract niet kunnen afsluiten.

Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of iemand een lening krijgt.

Tip: In de gegevensbeschermingsgids voor het mkb van de EDPB vindt u een handig interactief stroomschema om erachter te komen of u een DPIA moet uitvoeren.

Geen DPIA nodig

U hoeft geen DPIA uit te voeren wanneer uw gegevensverwerking:

• Waarschijnlijk geen hoog privacyrisico oplevert.
• Sterk lijkt op een andere gegevensverwerking, waarvoor al een DPIA is uitgevoerd.
• Wordt geregeld door een andere Europese of nationale wet. En er bij de totstandkoming van deze wet al een DPIA is uitgevoerd. Tenzij de privacytoezichthouder oordeelt dat er toch een DPIA nodig is.
• Op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is. De AVG geeft de privacytoezichthouder de mogelijkheid om zo’n lijst op te stellen, maar dit is niet verplicht. De AP heeft geen lijst opgesteld.

Uitvoering DPIA

Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Die basisvereisten zijn dat u in uw DPIA in ieder geval het volgende moet opnemen:

• Een systematische beschrijving van de gegevensverwerking die u van plan bent en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 
• Een beoordeling van de noodzaak en de proportionaliteit van de verwerking.
• Een beoordeling van de privacyrisico's voor de mensen van wie u gegevens wilt verwerken.
• De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Let op: Uw voorgenomen gegevensverwerking moet in elk geval rechtmatig zijn.

Restrisico’s inschatten

Bij de beoordeling van de privacyrisico’s moet u inschatten of er sprake is van hoge restrisico’s. Het gaat dan over ernstige situaties, die ondanks uw voorzorgmaatregelen nog steeds kunnen gebeuren. Besteed hierbij in uw DPIA in elk geval aandacht aan de volgende punten:

• Geef aan welke hoge privacyrisico’s u niet volledig kunt voorkomen.
• Vermeld specifiek in welke situaties of bij welke onderdelen er sprake is van een hoog restrisico.
• Geef aan hoe waarschijnlijk het u lijkt dat de omschreven situatie zich voordoet, ondanks de maatregelen die u treft. 
• Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt. 

Zo vroeg mogelijk starten met DPIA

Start de DPIA in de ontwerpfase van de gegevensverwerking, zo vroeg als praktisch gezien mogelijk is. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default.

Let op: Dat u de DPIA misschien gaandeweg moet aanpassen, is geen argument om de DPIA uit te stellen of achterwege te laten. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U zult altijd moeten (blijven) monitoren of uw gegevensverwerking wijzigt en of u daarom de DPIA moet bijstellen.

DPIA uitbesteden

Als verwerkingsverantwoordelijke moet u ervoor zorgen dat er een DPIA wordt uitgevoerd. U hoeft de DPIA niet zelf uit te voeren. Dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. Bijvoorbeeld door een gespecialiseerd bureau. U blijft wel eindverantwoordelijk.

Advies vragen over DPIA

Afhankelijk van uw specifieke situatie, moet u aan deze partijen advies vragen over uw DPIA:

• de functionaris gegevensbescherming (FG);
• de verwerker;
• de betrokkenen;
• overige partijen.

Advies FG

Heeft uw organisatie een functionaris gegevensbescherming (FG) aangesteld? Dan bent u verplicht om de FG om advies te vragen. U moet in het rapport over de DPIA opnemen wat de FG heeft geadviseerd en wat u daarmee heeft gedaan. De FG heeft ook als taak de uitvoering van de DPIA in de gaten te houden.

Het is aan te raden om de FG advies te vragen over:

• de afweging om wel of niet een DPIA uit te voeren;
• de onderzoeksmethode die geschikt is voor de DPIA;
• de vraag of u als organisatie de DPIA zelf uitvoert of hiervoor een gespecialiseerd bureau inschakelt;
• de waarborgen die nodig zijn om de privacyrisico’s te beperken;
• de vraag of de uitkomsten van de DPIA in overeenstemming zijn met de wet.

Advies verwerker

Gaat een verwerker in opdracht van u de gegevensverwerking uitvoeren? Dan moet de verwerker u ondersteunen bij het uitvoeren van de DPIA. En u de informatie verstrekken die u nodig heeft.

Advies betrokkenen

U moet als het nodig is de betrokkenen of hun vertegenwoordigers om hun mening vragen. Er zijn verschillende geschikte manieren waarop u dat kunt doen. Die zijn afhankelijk van uw specifieke situatie. Bijvoorbeeld:

• een intern of extern onderzoek doen;
• consumenten- of werknemersorganisaties consulteren;
• uw toekomstige klanten een vragenlijst sturen.

Wijkt uw uiteindelijke beslissing af van de mening van de betrokkenen? Dan moet u uw redenen documenteren om al dan niet met de verwerking door te gaan. U moet ook uw argumentatie documenteren als u oordeelt dat het niet nodig is om de betrokkenen om hun mening te vragen.

Advies overige partijen

Tot slot is het aan te raden om vast te stellen en te documenteren welke andere partijen u in uw specifieke situatie kunt betrekken bij een DPIA. En wat hun verantwoordelijkheden dan zijn. Bijvoorbeeld de IT-afdeling, andere afdelingen en onafhankelijke experts. Zoals advocaten, technici, beveiligingsexperts, sociologen etc.

Na de DPIA

U heeft nu inzicht in de privacyrisico’s en in de maatregelen die u moet nemen om deze risico’s af te dekken. Het is vervolgens aan u om die maatregelen ook daadwerkelijk te treffen.

Voorafgaande raadpleging

Tenzij u heeft ingeschat in uw DPIA dat er restrisico’s zijn. Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd.

DPIA publiceren

U bent niet wettelijk verplicht om uw DPIA te publiceren. Maar dit is wel aan te raden. Dit kan het vertrouwen in uw gegevensverwerkingen bevorderen. Bovendien legt u hiermee verantwoording af en bent u transparant. Dit geldt vooral als de verwerking van invloed is op het algemeen publiek, zoals bij de overheid.

De gepubliceerde DPIA hoeft niet de hele beoordeling te bevatten. Er is wellicht informatie die u niet openbaar wilt maken, zoals informatie over beveiligingsrisico’s of concurrentiegevoelige informatie. U kunt dan volstaan met een samenvatting van de belangrijkste resultaten van de DPIA.

Nieuwe DPIA bij veranderingen

Bij veranderingen is een nieuwe DPIA nodig. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet daarom altijd blijven monitoren of er veranderingen zijn in:

• uw gegevensverwerking;
• de risico’s van de verwerking;
• de context van de verwerking.

Vanwege deze veranderingen is het sowieso aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.

Dit geldt ook voor bestaande verwerkingen waarvoor u niet eerder een DPIA heeft uitgevoerd. Verandert er iets, dan kunt u alsnog verplicht zijn een DPIA uit te voeren.

Veranderingen in gegevensverwerking

Uw verwerking verandert bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn.

Veranderingen in de risico’s van de verwerking

Verandert het privacyrisico van uw verwerking? Dan kunt u ook verplicht zijn een DPIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel. Daardoor kunnen nieuwe kwetsbaarheden ontstaan.

Veranderingen in de context van de verwerking

Tot slot kunt u verplicht zijn een DPIA uit te voeren omdat de context van uw organisatie of de maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden. Of omdat nieuwe categorieën mensen kwetsbaar worden voor discriminatie.

Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.