EDPS publiceert resultaten van DPIA enquête

Author info

De European Data Protection Supervisor (EDPS) hield in het voorjaar van 2020 een enquête bij diverse Europese instellingen. Deze maand publiceerde ze daar de resultaten van. De enquête ging over de gegevensbeschermingseffectbeoordeling of data protection impact assesment (GEB of DPIA). In haar rapport deelt ze een aantal aangeraden praktijken bij zo’n GEB. Hoewel de bevindingen uitsluitend betrekking hebben op Europese instellingen, zijn ze zeker ook relevant in een private context.

Europese instellingen vallen onder de EUDPR (i.p.v. GDPR)

Ter herinnering, Europese instellingen vallen onder het toepassingsgebied van Verordening (EU) 2018/1725 van 23 oktober 2018 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG. Deze verordening wordt meestal afgekort als “EUI-GDPR” of “EUDPR”. Wij zullen de laatste afkorting gebruiken. De EUDPR lijkt sterk op de GDPR, maar is op sommige punten toch verschillend. 

Wat is een GEB?

Op vlak van de GEB (DPIA) zijn er echter weinig verschillen tussen de EUDPR en de GDPR. Algemeen gesteld wordt een GEB uitgevoerd om te evalueren of een bepaalde verwerking risico’s inhoudt voor de rechten en vrijheden van een betrokkene (de persoon waarvan de persoonsgegevens worden verzameld) en hoe deze risico’s worden gemitigeerd. 

In een aantal gevallen is zo’n GEB verplicht voor Europese instellingen (artikel 39 EUDPR), net zoals onder de GDPR (artikel 35 GDPR). Dat is het geval wanneer de gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Daarnaast bepaalt de GDPR een aantal gevallen waarbij het uitvoeren van een GEB sowieso verplicht is:

  • bij de systematische en uitgebreide beoordeling van persoonlijke aspecten van betrokkenen waarop besluiten worden gebaseerd die de betrokkene wezenlijk treffen (bv. bij profilering);
  • bij de grootschalige verwerking van bijzondere categorieën van persoonsgegevens (bv. gezondheidsgegevens) of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;
  • bij de stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

De verantwoordelijke voor de verwerking is in de eerste plaats verplicht om zo’n GEB uit te voeren in bovenvermelde gevallen, maar kan soms ook een beroep doen op de hulp van zijn verwerker (indien die er is). Dergelijke bijstand is immers verplicht in het kader van een verwerkersovereenkomst. De verantwoordelijke zorgt ervoor dat de juiste stakeholders binnen de organisatie betrokken worden bij de beoordeling van de het risico. Indien er een functionaris voor gegevensbescherming (DPO) is aangewezen, dient hij of zij ook te worden betrokken. Voor meer informatie over de DPO, lees onze eerdere blog.

Belangrijkste bevindingen van de EDPS

De EDPS ontving zowel heel beknopte tot zeer omvangrijke GEB’s (5 tot 55 pagina’s) van de Europese instellingen. Hieruit concludeert de EDPS dat 5 pagina’s te kort is. Wij wensen erop te wijzen dat er geen minimum lengte geldt voor een GEB. Dit zal vaak afhangen van de grootte van de organisatie en de verwerkingen die het onderwerp vormen van de GEB. Aangezien een GEB meestal een zeer diepgaande oefening is, lijkt het inderdaad aannemelijk dat 5 pagina’s zeer kort is. 

Bij het nagaan of bepaalde verwerkingen een hoog risico inhouden voor de rechten en vrijheden van de betrokkene is het volgens de EDPS ook belangrijk om een brede denkwijze te hanteren. Zo kunnen ook bepaalde IT-gerelateerde risico’s van belang zijn om het risiconiveau te bepalen. De EDPS verwijst hierbij ook naar de richtlijn over dit onderwerp van de WP29 die reeds bevestigd zijn door de EDPB. De WP29 vermeldde negen criteria en wanneer de verwerking aan minstens twee ervan voldoet, dan is een GEB verplicht. De Belgische Gegevensbeschermingsautoriteit heeft ook een lijst opgesteld met verwerkingen waarvoor een GEB vereist is. Zie daarvoor onze eerdere blog.

Voor de beslissing om al dan niet een GEB uit te voeren is het ook van belang om er geen loutere “box ticking” oefening van te maken. Een checklist met enkel ja/nee antwoorden zal vaak niet volstaan. Als er geen GEB wordt uitgevoerd, kan de organisatie deze beslissing best documenteren. Daarnaast kunnen organisaties overwegen om de GEB (of een verkorte versie daarvan) te publiceren, bijvoorbeeld op hun website. Hoewel niet elk Europese instelling dit deed, moedigt de EDPS dat wel aan om redenen van transparantie. 

Indien er een DPO is aangewezen, speelt die ook een belangrijke rol. Hij of zij kan advies of bijstand verlenen, templates opstellen, een register bijhouden of zelf de GEB opstellen of de GEB opgesteld door business users nakijken. De enquête van de EDPS toonde eveneens aan dat bijna alle deelnemers tevreden tot heel tevreden waren over hun DPO. 

De meeste Europese instellingen gebruiken voor het opstellen van hun GEB een bestaande methodologie ontwikkeld door de EDPS, de EDPB, de Franse CNIL of de Britse ICO. Soms werden deze gecombineerd of aangepast. Met ander woorden: one size does not fit all. Voor het opstellen van de GEB wordt dus de meest gepaste methodologie gebruikt.

Besluit

De enquête van de EDPS heeft aangetoond dat er geen rode draad loopt door de manier waarop de Europese instellingen een GEB uitvoeren. Er zijn verschillende mogelijkheden en een GEB bestaat er in verschillende maten en kleuren. De DPO en gehanteerde methodologie spelen steeds een belangrijke rol en ook als er geen GEB wordt uitgevoerd, moet die beslissing kunnen worden verantwoord en wordt die dus best grondig gedocumenteerd.

Hulp nodig bij het opstellen van een GEB of DPIA? Contacteer Timelex.