De Autoriteit Persoonsgegevens heeft onlangs een hoge boete opgelegd aan creditcardbedrijf ICS. Reden? Het ontbreken van een wettelijk verplichte DPIA. Dit instrument om privacyrisico’s in kaart te brengen wordt nog weleens door bedrijven over het hoofd gezien. Daarom lichten we deze casus toe en delen we de ins & outs van de DPIA nog een keer met u.

Boete ICS voor ontbreken DPIA

De AVG verplicht organisaties om in een aantal gevallen eerst een risicoanalyse uit te voeren, de zogeheten data protection impact assessment (DPIA) uit te voeren. Deze risicoanalyse moet voorafgaand aan bepaalde gegevensverwerkingen gedaan worden om te voorkomen dat privacygevoelige informatie in verkeerde handen valt.

Creditcardbedrijf ICS heeft deze analyse in 2019 nagelaten toen het begon met het digitaal identificeren van klanten in Nederland. ICS had een DPIA wel moeten uitvoeren, omdat het bij de identiteitscontroles ging om zo’n 1,5 miljoen mensen.

Daarnaast was de informatie die verzameld werd gevoelig van aard. Het ging niet alleen om een naam, adres en telefoonnummer, maar mensen moesten ook een foto van zichzelf opsturen. Deze foto’s gebruikte ICS om ze te vergelijken met kopieën van identiteitsbewijzen.

Identiteitscontrole is wettelijk verplicht voor financiële instellingen en daarom was het vragen om een foto in dit geval toegestaan. ICS moet echter heel zorgvuldig omgaan met die privacygevoelige informatie en daarom was een DPIA voorafgaand aan de verwerking verplicht. Dit heeft het bedrijf dus nagelaten.

Om die reden heeft de Autoriteit Persoonsgegevens (AP) een boete van €150.000 opgelegd aan de ICS.

Wanneer is een DPIA verplicht?

Allereerst even een korte toelichting op dit instrument voor risicoanalyse. Een DPIA is bedoeld om vooraf:

  • de privacyrisico’s van gegevensverwerking te beschrijven;

  • de noodzaak en evenredigheid van de verwerking te beoordelen; en

  • maatregelen te nemen om de risico’s te verkleinen.

Volgens de AVG moet in ieder geval een DPIA worden uitgevoerd, indien (art 35 lid 3 AVG):

  • een organisatie systematisch en uitgebreid persoonlijke data evalueert gebaseerd op geautomatiseerde verwerking (waaronder profiling) en daarop besluiten baseert die gevolgen hebben voor mensen;

  • een organisatie op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt; en/of

  • een organisatie op grote schaal systematisch mensen volgt in een publiek toegankelijk gebied.

Daarnaast heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is, voordat de verwerking plaatsvindt. Het gaat vooral om verwerkingen met een hoog risico. Deze lijst vindt u hier.

Tot slot: waaraan moet een DPIA voldoen?

Is het voor u verplicht een DPIA uit te voeren?

Dan wilt u dat natuurlijk wel goed doen. Goed om te weten: een DPIA is in principe vormvrij, maar moet in ieder geval voldoen aan de volgende punten.

  • Een systematische beschrijving bevatten van de beoogde verwerkingen en de verwerkingsdoeleinden. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.

  • Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden.

  • Een beoordeling van de privacyrisico's voor de mensen van wie u gegevens wilt verwerken.

  • De beoogde maatregelen om de risico’s aan te pakken en aan te tonen dat u aan de AVG voldoet. Denk hierbij aan waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen. Daarbij rekening houdend met de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Let op!

De AP adviseert om de DPIA in de ontwerpfase van de gegevensverwerking te starten, zo vroeg als praktisch gezien mogelijk is. Zelfs als nog niet alle details van de verwerking bekend zijn.

Hulp nodig?

Bent u verplicht een DPIA op te stellen of wilt u juist weten of een DPIA voor u noodzakelijk is?

Onze ervaren ICT-juristen staan voor u klaar. Neem contact met ons op via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.