Privacy Impact Assessment

PIA DPIA GEB

Privacy Impact Assessment

Een proces dat ertoe strekt om risico’s te evalueren in verband met de rechten en vrijheden van natuurlijke personen, die ontstaan of dreigen te ontstaan naar aanleiding van de verwerking van persoonsgegevens, evenals om de mogelijkheden tot beheersing van deze risico’s te evalueren.

Een Privacy Impact Assessment (PIA) wordt in het vakjargon ook een Data Protection Impact Assessment (DPIA) genoemd. In het Nederlands (ook in de wetgeving) luisteren we naar de naam “Gegevensbeschermingseffectbeoordeling” of kortweg GEB. Laat het ons in deze sectie houden op de Nederlandstalige afkorting GEB.

De GDPR wetgeving bevestigt de reeds bestaande gegevensbeschermingsprincipes, maar voorziet ook in een aantal nieuwe rechten en verplichtingen. Eén van die nieuwe verplichtingen betreft de verplichting tot het uitvoeren – in bepaalde omstandigheden – van een GEB.

Een GEB is een proces dat ertoe strekt om risico’s te evalueren in verband met de rechten en vrijheden van natuurlijke personen, die ontstaan of dreigen te ontstaan naar aanleiding van de verwerking van persoonsgegevens, evenals om de mogelijkheden tot beheersing van deze risico’s te evalueren. De nieuwe verplichting tot het uitvoeren van een GEB roept meteen een aantal praktische vragen op, zoals: wanneer is het uitvoeren van een GEB verplicht? Wat zijn de vereiste elementen van GEB? Welke actoren dienen bij een GEB betrokken te worden?

De verplichting tot het uitvoeren van een GEB dient gezien te worden in het licht van twee centrale beginselen van de GDPR, het beginsel van de verantwoordingsplicht en het beginsel van de risico-gebaseerde aanpak.
1. Het beginsel van de verantwoordingsplicht (“accountability“) houdt in dat de verwerkingsverantwoordelijke niet enkel gehouden is om de beginselen en verplichtingen van de GDPR na te leven, maar dat hij tevens de naleving ervan moet kunnen aantonen. De GEB vormt een belangrijk instrument in dit verband, aangezien deze kan bijdragen zowel tot de naleving van de beginselen en de verplichtingen van de GDPR, als het aantonen van de naleving ervan.
2. Het beginsel van de verantwoordingsplicht van de verwerkingsverantwoordelijke gaat gepaard met een risico-gebaseerde aanpak (“risk-based approach“). Deze aanpak heeft als doel om een “schaalbare en proportionele aanpak” te bevorderen, zonder daarmee om de gegevensbeschermingsbeginselen of de rechten van de betrokkenen op de helling te plaatsen. Dit betekent dat men voor verwerkingen met een hoog risico meer beschermingsmaatregelen zal dienen te nemen dan verwerkingen met een laag risico. De GDPR legt de accenten op de verplichting om een GEB uit te voeren voor verwerkingen die een “waarschijnlijk hoog risico” met zich meebrengen en op de maatregelen die kunnen worden genomen om deze risico’s te verminderen.
Bij risicobeheer kan er doorgaans een onderscheid gemaakt worden tussen het “inherente” risico en het “residuele” risico. Het “inherente” risico verwijst naar de waarschijnlijkheid dat een negatieve impact zich zal voordoen wanneer er geen beschermingsmaatregelen genomen worden. Het “residuele” risico verwijst daarentegen naar de waarschijnlijkheid dat een negatieve impact zich zal voordoen, ondanks de maatregelen die genomen worden om het (inherent) risico te beïnvloeden (beperken).

Verschillende gegevensverwerkingen kunnen verschillende (inherente) risico’s inhouden voor de rechten en vrijheden van natuurlijke personen. Overweging (75) van de GDPR lijst, bij wijze van voorbeeld, somt een aantal omstandigheden op waarin de verwerking aanleiding geven tot risico’s voor de rechten en vrijheden van natuurlijke personen, met name:
– waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaan making van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel;
– wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen;
– wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen;
– wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken;
– wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of
– wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.
– Nood aan een contextuele analyse

Deze informatie is een resumé uit het ontwerp van aanbeveling uit eigen beweging mbt de GEB van de CBPL (Commissie voor de Bescherming van de Persoonlijke Levenssfeer).

GDPR

Ready
Set
Go

Klik hier voor een lijst van het soort verwerking waarvoor geen GEB verplicht is.

Wanneer is een PIA of GEB verplicht?

Artikel 35(4) GDPR verplicht iedere toezichthoudende autoriteit om een lijst op te stellen van het soort verwerkingen waarvoor een GEB verplicht is en om vervolgens deze lijst mee te delen aan het Europees Comité voor gegevensbescherming (ECGB).
De Commissie wenst te benadrukken dat het bestaan van een lijst van bijzondere verwerkingen waarvoor het uitvoeren van een GEB verplicht is op geen enkele manier afbreuk doet aan de algemene verplichting van de verwerkingsverantwoordelijke om aan behoorlijke risicobeoordeling en risicobeheersing te doen. Bovendien is de onderstaande lijst geenszins exhaustief: het uitvoeren van een GEB is steeds vereist van zodra de toepassingsvoorwaarden bepaald bij artikel 35 GDPR voldaan zijn. Tot slot vestigt de Commissie er nog de aandacht op dat deze lijsten evolutief zijn en aangepast kunnen worden wanneer blijkt dat zij hun beoogde doel niet bereiken.
Naast de gevallen voorzien bij artikel 35(2) GDPR, en rekening houdende met de uitzondering voorzien bij artikel 35(10), zal de uitvoering van een GEB steeds verplicht zijn:

1. wanneer de verwerking gebruik maakt van biometrie ter identificatie van betrokkenen;
2. wanneer de verwerking gebruik maakt van genetische gegevens;
3. wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een dienstverlening te weigeren of stop te zetten;
4. wanneer de verwerking dient om de financiële solvabiliteit van de betrokkene te beoordelen of om enig ander risico-profiel van betrokkene te genereren dat in aanmerking genomen wordt bij dienstverlening aan de betrokkene (of bij de beslissing om een dienstverlening te weigeren of stop te zetten);
5. wanneer de verwerking van die aard is dat een inbreuk op persoonsgegevens de fysieke gezondheid van de betrokkene in het gedrang zou kunnen brengen;
6. wanneer de verwerking financiële of gevoelige persoonsgegevens betreft die (her)gebruikt worden voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld, behoudens wanneer de verwerking hetzij is gebaseerd is op de toestemming van de betrokkene, hetzij noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
7. wanneer de verwerking aanleiding geeft tot een mededeling of ter beschikking stelling aan het publiek van persoonsgegevens die betrekking hebben op een groot aantal betrokkenen;
8. wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
9. wanneer er op grote schaal profielen van natuurlijke personen worden opgesteld;
10. ingeval van grootschalige verwerking van persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld;
11. wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;
12. wanneer de verwerking ertoe strekt om de kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen te registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden.