Creditcardmaatschappij ICS en Politie Rotterdam hebben met elkaar gemeen dat zij beiden een boete kregen van de Autoriteit Persoonsgegevens (AP). Deze boete kregen zij vanwege het ontbreken van een DPIA, een Data Protection Impact Assessment. Wat is een DPIA en waarom is een DPIA zo belangrijk? En wat kunnen we leren van deze praktijkvoorbeelden? Wij leggen het uit.
22 februari 2024 • Nieuws
Riskeer geen boete zoals ICS & Politie Rotterdam, voer een DPIA uit
Een DPIA is een verplichting die voortkomt uit de AVG. Een organisatie is verplicht dit impact assessment te doen als een verwerking van persoonsgegevens een ‘hoog privacy risico’ inhoudt voor de betrokken personen. Maar wat is precies een ‘hoog privacy risico’? Dat moet u als organisatie zelf inschatten. De Autoriteit Persoonsgegevens heeft wel een lijst van soorten verwerkingen waarvoor een DPIA verplicht is. Of een DPIA verplicht is, zult u per geval moeten beoordelen. Hieronder zullen we deze 2 praktijkcases uiteen zetten, om zo ook een beeld te krijgen van wat er allemaal onder een hoog risico verstaan kan worden.
Boete ICS – 150.000 Euro
ICS verzamelde persoonsgegevens voor het digitaal identificeren van klanten in Nederland. Het ging daarbij om gegevens van zo’n 1,5 miljoen personen. Naast dat het een zeer grote hoeveelheid persoonsgegevens betrof, waren de gegevens ook gevoelig van aard. Het betrof naam, adres, telefoonnummer en e-mail van klanten, maar ook foto’s die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten. Voordat gestart werd met de verwerking (2019) had ICS een DPIA moeten uitvoeren. Het bedrijf geeft aan dat er wel een DPIA is gedaan, maar dit was in 2021.
Waarom een hoog privacy risico?
- Gevoelige persoonsgegevens
- Voor digitale identificatie
- Grote aantallen betrokkenen (1,5 miljoen)
DPIA
- De DPIA ontbrak c.q. was niet voorafgaand aan de verwerking uitgevoerd
Boete Politie Rotterdam – 50.000 Euro
In het coronajaar 2020 heeft de gemeente Rotterdam en de politie vijf weken lang camera auto’s ingezet om te controleren of mensen wel 1,5 meter afstand van elkaar hielden. Met behulp van 360 graden camera’s werden scherpe beelden gemaakt, met voldoende detail om mensen te identificeren. Omdat er sprake was van het gebruik van een nieuwe technologie, er beelden werden verzameld van grote groepen mensen (ook mensen die wél voldoende afstand hielden) en omdat deze mensen niet wisten dat ze gefilmd werden, had een DPIA uitgevoerd moeten worden. Overigens is dit op grond van de Wet Politiegegevens, die net als de AVG een DPIA verplichting kent en waarvoor de AP ook de toezichthouder is.
Waarom een hoog privacy risico?
- Beeldmateriaal door overheid verzameld
- Veel persoonsgegevens waaronder ook ‘bijvangst’
- Geen informatie aan betrokkenen
DPIA
- De DPIA ontbrak
Het doel van een DPIA
Een DPIA heeft als doel om de (mogelijke) risico’s van de verwerkingen in kaart te brengen en de impact ervan te bepalen. Ook moet de DPIA beschrijven hoe de risico’s aangepakt gaan worden. De DPIA moet uitgevoerd worden voordat gestart wordt met de verwerking van persoonsgegevens.
Dat de Autoriteit Persoonsgegevens hier in 2 jaar tijd 2 boetes voor heeft gegeven, geeft wel aan dat de toezichthouder dit een belangrijke verplichting vindt. Dat is niet zo gek, want in een DPIA komen de principes van de AVG aan bod waaronder de rechtmatigheid, noodzaak en evenredigheid, risico’s en rechten van betrokkenen, passende technische en organisatorische maatregelen. Dat maakt het ook een vrij ingewikkeld assessment.
Wilt u meer lezen over de DPIA? Kijk dan eens in onze kennisbank. Ook hebben wij een DPIA checklist opgesteld, deze is gratis te downloaden.
Heeft u nog vragen naar aanleiding van dit artikel of worstelt u met het maken van een DPIA? Neem dan contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
