De DPIA en voorafgaande raadpleging vormen preventief een erg belangrijke waarborg voor de bescherming van persoonsgegevens. Ze verplichten bedrijven immers op voorhand alle mogelijke privacyrisico’s te benoemen die de meest ingrijpende gegevensverwerkingen met zich meebrengen. Bovendien moeten bedrijven aangeven welke maatregelen ze zullen implementeren om aan al deze privacyrisico’s voldoende tegengewicht te bieden. Laat ons hierover even bezinnen.
Data protection impact assessment (DPIA)
In een Data Protection Impact Assessment (DPIA) (en we kunnen het niet verhelpen, maar in het Nederlands is dit: een gegevensbeschermingseffectbeoordeling of GEB), brengt de verwerkingsverantwoordelijke vooraf de privacyrisico’s van een gegevensverwerking in kaart. Na deze risicoanalyse kunnen ondernemingen nagaan welke maatregelen ze moeten nemen om de risico’s te verkleinen. Wanneer heb je een correct uitgevoerde DPIA? Als deze inzicht geeft in alle privacyrisico’s die de futuristisch verwerking oplevert voor de betrokkenen, alsook in de maatregelen die de verwerkingsverantwoordelijke moet nemen om deze risico’s te verkleinen.
Altijd verplicht bij 3 soorten verwerkingen
In bepaalde gevallen moet je verplicht een DPIA uitvoeren. De GDPR duidt in de eerste plaats 3 soorten gegevensverwerkingen aan waarin een DPIA sowieso vereist is. Deze verwerkingen brengen volgens de Verordening immers altijd hoge privacyrisico’s met zich mee:
- systematische en uitgebreide beoordeling van de persoonlijke aspecten van personen, inclusief profilering;
- verwerking van gevoelige gegevens op grote schaal; of
- stelselmatige en grootschalige monitoring van openbare ruimten.
Profilering
Bij profilering gaat een geautomatiseerde verwerking aan de hand van persoonsgegevens persoonlijke aspecten van een persoon evalueren, en dit om zijn economische situatie, beroepsprestaties, gezondheid, gedrag, betrouwbaarheid, persoonlijke voorkeuren, interesses, locatie of verplaatsingen te analyseren of te voorspellen. Door het samenbrengen van verschillende gegevens over een individu, komt men enorm veel over iemand te weten. In een verdere stap kan men mensen dan opdelen in categorieën. Elke ondernemer zal het belang van segmentering onderkennen, en profilering zal daarbij een grote rol spelen. We hoeven dus niet enkel te kijken naar datagiganten zoals Facebook en Google, al hebben deze door ons surfgedrag natuurlijk erg veel kennis over het individu.
De gevolgen die aan profilering kunnen gekoppeld worden, gaan mogelijks zeer ver. Het is dan ook een goede zaak dat ondernemingen in de EU transparant moeten zijn over dergelijke verwerkingsactiviteiten. Of er zich ook ernstige privacyrisico’s aandienen, is in grote mate afhankelijk van deze concrete gevolgen die gekoppeld worden aan een categorisering. Vandaag wordt in het bedrijfsleven reeds volop aan profilering gedaan, voornamelijk voor direct marketing-doeleinden. Het aanbieden van gepersonaliseerde advertenties, gepersonaliseerde aanbiedingen of gepersonaliseerde nieuwsbrieven, zijn immers allemaal vormen van profilering.
Méér ingrijpend wordt het natuurlijk wanneer men geautomatiseerde beslissingen neemt die een grote impact hebben op betrokkenen. Denk maar aan het geautomatiseerd weigeren van bepaalde categorieën van personen in het kader van sollicitatieprocedures, contractsluiting of kredietverlening. Of nog: wanneer bepaalde personen op geautomatiseerde wijze hogere prijzen aangeboden krijgen dan andere personen. Deze laatste vorm van profilering staat de GDPR trouwens enkel toe indien het noodzakelijk is voor de uitvoering van een overeenkomst (bv. verzekeringspolis) óf wanneer de betrokkene hiervoor uitdrukkelijk toestemming heeft gegeven.
Camerabewaking in het openbaar
Het meest typerende voorbeeld van “stelselmatige en grootschalige monitoring van openbare ruimten” is camerabewaking in het openbaar. Stel je voor dat je zomaar via camera’s gevolgd wordt wanneer je gezellig met vrienden de stad verkent, of dat beeldopnames worden bewaard van jou van alle openbare plaatsen waar je komt. De huidige stand van de technologie maakt zelfs gezichtsherkenning mogelijk. Nogal logisch dat we ons vragen stellen over het wie, hoe, waarom en waarvoor. Hiervoor bestaat echter de privacy regelgeving, en de verplichte a priori effectbeoordeling van de GDPR maakt daar onlosmakelijk deel van uit. Zo moest in deze pandemietijd het gebruik van slimme camera’s om de opkomst van mensen te meten aan de Belgische kust, op voorhand een DPIA ondergaan.
Verplicht volgens GBA lijst
De GBA heeft zelf ook een lijst gepubliceerd met bepaalde verwerkingen waarvoor een DPIA vereist is. Eigenlijk liggen deze in het verlengde van de 3 bovenstaande verwerkingen en zijn het daar concrete toepassingen van.
Een voorbeeld hiervan zijn ‘internet of things’-toepassingen, zoals slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz. Ze zijn opgenomen in de lijst omdat ze een grootschalige verwerking van gegevens inhouden, gegenereerd door toestellen met sensoren die via het internet of via een ander medium gegevens versturen en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen.
Verplicht want ‘waarschijnlijk een hoog privacyrisico’
Vervolgens zal in alle andere gevallen een DPIA verplicht zijn wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico inhoudt voor de personen wiens gegevens verwerkt worden. Het is de verwerkingsverantwoordelijke zelf die moet uitmaken of dat het geval is. Ja? Dan mag je niet starten met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd. Vandaar dus eerst bezinnen, dan pas beginnen!
Nog enkele bemerkingen
Indien geen van deze situaties zich voordoen, is het uitvoeren van een DPIA vrijblijvend. Maar bij twijfel, raden wij absoluut aan om toch een DPIA uit te voeren.
De DPIA doe je dus voorafgaand aan de verwerking, maar daar stopt het niet. Eigenlijk moet je de gegevensbeschermingsbeoordeling beschouwen als een continu proces dat je regelmatig moet herbekijken en verbeteren indien nodig.
Is er een functionaris (Data Protection Officer of DPO) aangesteld voor de gegevensverwerking, dan moet de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA diens advies inwinnen. Dat biedt immers extra zekerheid dat de DPIA voldoende de risico’s weergeeft en dat er voldoende maatregelen genomen worden om deze te dekken.
Voorafgaande raadpleging
Wat nu als uit je DPIA blijkt dat de beoogde verwerking van persoonsgegevens een hoog privacyrisico meebrengt voor de betrokkenen en het lukt je niet om maatregelen te vinden om dit risico voldoende te beperken? Je zal dan met de Gegevensbeschermingsautoriteit (GBA) moeten overleggen voordat je aan de verwerking begint. Dat heet een voorafgaande raadpleging.
Hoe gaat dat dan in z’n werk? De verwerkingsverantwoordelijke of de DPO kunnen hiertoe een verzoek indienen bij de GBA. Zolang deze autoriteit het verzoek nog niet heeft beoordeeld, mag je nog niet starten met de gegevensbescherming. In normale omstandigheden geeft de GBA binnen een maximumtermijn van 8 weken na de ontvangst van het verzoek schriftelijk advies aan de verwerkingsverantwoordelijke. Soms ook aan de verwerker. Gaat het daarentegen om een zeer complexe voorgenomen verwerking, dan zal de GBA deze termijn kunnen verlengen met 6 weken.
Conclusie
Privacy bewustzijn is een lang en doorlopend proces, dat begint bij de concept fase maar aanwezig moet zijn gedurende de ganse periode van de verwerking van persoonsgegevens. Het vereist gebalanceerd wikken en wegen, en je hebt alle baat bij een goede documentatie. Natuurlijk kan je bij deJuristen terecht voor advies! Samen kunnen we bekijken of je al dan niet een DPIA moet uitvoeren en of de voorgenomen maatregelen voor jouw ondernemingsactiviteiten voldoende gaan zijn.
Bij vragen hierover kan u ons steeds contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
