Data Protection Impact Assessments – nu ook bij biometrische gegevens!

8 januari 2020 | Blog

De Algemene Verordening Gegevensbescherming (“AVG”) kent vele verplichtingen; zo ook de uitvoering van een Data Protection Impact Assessment (“DPIA”). Zijn bepaalde factoren van toepassing, dan kan een DPIA verplicht zijn. Is er sprake van een verwerking welke voorkomt op de lijst van de Autoriteit Persoonsgegevens (“AP”), dan is een DPIA in elk geval verplicht. Deze lijst is onlangs uitgebreid met de categorie biometrische gegevens, wat mogelijk leidt tot een verplichte DPIA voor uw organisatie. Lees in dit blog hoe de AVG de term biometrische gegevens definieert en waar een DPIA aan moet voldoen

Data Protection Impact Assessments

Op basis van een DPIA (gegevensbeschermingseffectenbeoordeling in het Nederlands) kunnen, voorafgaand aan een verwerking, eventuele privacy-risico’s worden vastgesteld. Vervolgens kunnen maatregelen worden genomen om dergelijke risico’s te verkleinen of weg te nemen.

De AVG verplicht de uitvoering van een DPIA “wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen” (artikel 35 lid 1 AVG).

Bij de bepaling of een DPIA verplicht is moet, zo volgt uit de ‘Richtsnoeren voor gegevensbeschermingseffectenbeoordelingen’, ook rekening worden gehouden met een 9-tal criteria welke een indicatie geven of een DPIA verplicht is op grond van artikel 35 lid 1 AVG. Voorbeelden van deze criteria zijn: evaluatie of scoretoekenning, gevoelige gegevens of gegevens van zeer persoonlijke aard en innovatief gebruik van nieuwe technologische of organisatorische oplossingen.

Waar dient een DPIA aan te voldoen?

Er bestaat geen verplichte methode die gebruikt moet worden bij de uitvoering van een DPIA. Er zijn echter wel een aantal onderwerpen die in elk geval aan bod moeten komen. Een DPIA dient 1) een systematische beschrijving van de beoogde verwerkingen, 2) een beoordeling van de noodzaak en evenredigheid met het oog op de doeleinden, 3) een beoordeling van risico’s voor betrokkenen en 4) een omschrijving van de beoogde maatregelen ter beperking van deze risico’s te bevatten. Tevens moet de functionaris gegevensbescherming – indien die is aangesteld – om advies worden gevraagd voorafgaand aan de uitvoering van een DPIA.

Is het niet gelukt om door middel van een DPIA risico’s in kaart te brengen en vervolgens weg te nemen, waardoor er dus nog steeds een (te) hoog risico voor betrokkenen bestaat? Dan moet overleg worden gepleegd met de AP voorafgaand aan de daadwerkelijke verwerking. Dit heet voorafgaande raadpleging. De AP geeft in zo’n geval advies over of de verwerking rechtmatig kan worden uitgevoerd.

Tot slot is het van belang om op te merken dat de verwerkingsverantwoordelijke moet blijven toetsen of de verwerking plaatsvindt op de wijze zoals bepaald middels de DPIA, zeker wanneer bepaalde omstandigheden zijn veranderd.

Lijst van verwerkingen door de AP

Eveneens op basis van artikel 35 AVG is de AP verplicht om een lijst op te stellen met soorten verwerkingen waarvoor een DPIA in elk geval verplicht is. Onlangs publiceerde de AP, na een aantal conceptversies, haar definitieve lijst.

Nieuw op de lijst zijn de biometrische gegevens. Wanneer er sprake is van verwerking hiervan van biometrische gegevens, is een voorafgaande DPIA verplicht. Immers, zo stelt de AP, de verwerking van biometrische gegevens omvat stelselmatige monitoring, het op grote schaal verwerken van gegevens en het innovatief gebruik van nieuwe technologische of organisatorische oplossingen, zoals ook genoemd als indicatiefactoren in de Richtsnoeren.

Biometrische gegevens

De AVG definieert biometrische gegevens als volgt: “persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens” (artikel 4 lid 14 AVG).

In dat kader is het van belang om op te merken dat in de AVG wordt overwogen dat de verwerking van foto’s niet zonder meer is aan te merken als de verwerking van een biometrisch gegeven – dit is slechts het geval wanneer zij worden verwerkt met behulp van technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken.

Biometrische gegevens worden aangemerkt als bijzondere persoonsgegevens. De verwerking van biometrische gegevens is als gevolg daarvan in beginsel verboden, tenzij een beroep kan worden gedaan op één van de uitzonderingen van artikel 9 lid 2 AVG.

Ook heeft Nederland in de Nederlandse Uitvoeringswet AVG (hierna UAVG) een aanvullende (specifieke) uitzondering op het verbod om biometrische gegevens te verwerken opgenomen, namelijk wanneer de verwerking van biometrische gegevens noodzakelijk is voor authenticatie en beveiligingsdoeleinden (artikel 29 UAVG).

Belang uitvoering en vastlegging DPIA

Op basis van de verantwoordingsplicht dienen organisaties in staat te zijn om aan te tonen dat zij voldoen aan de AVG. In dat kader dienen zij ook DPIA te kunnen overleggen.

Het is dus van belang dat organisaties onderzoeken of zij DPIAs moeten uitvoeren en vervolgens ofwel vastleggen waarom dit niet het geval is, dan wel DPIAs schriftelijk vastleggen.

Juridisch advies of meer informatie

Heeft u hulp nodig bij het uitvoeren van een DPIA of heeft u vragen of wanneer dit noodzakelijk is? Neem dan contact op met Martin Hemmer.

Dit blog is geschreven door Sophie Hendriks.

 

Meld u aan voor onze nieuwsbrieven