Risicoanalyses voor AVG: DPIA en DTIA

DPIA: risico’s van gegevensverwerking binnen de EER

Een Data Protection Impact Assessment (DPIA) is een instrument waarmee je de privacyrisico’s van gegevensverwerking in kaart brengt en de benodigde maatregelen hiervoor bepaalt. Denk aan gegevens die verwerkt worden in leerlingvolgsystemen, via de mail of bij cameratoezicht op school. Wat zijn de risico's die hieraan vasthangen? En hoe kun je deze risico’s tot een laag niveau terugbrengen? Dat analyseer je met een DPIA. Bij iedere nieuwe of gewijzigde manier van persoonsgegevens verwerken, moet je opnieuw een DPIA uitvoeren. 

Een DPIA is verplicht: 

• wanneer een manier van (een deel van) gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (denk aan medewerkers, leerlingen of ouders);
• wanneer je als school gezondheidsgegevens verwerkt; 

Bekijk ook de poster van Privacy op School over wanneer je als school een DPIA moet uitvoeren. 

Doe je het niet? Dan kun je een (hoge) boete krijgen van de Autoriteit Persoonsgegevens (AP). En die kan hoog oplopen! Een tijdje geleden heeft de AP een boete van 50.000 euro opgelegd aan een organisatie die geen DPIA had uitgevoerd, terwijl dit bij de situatie wel verplicht was. 

Een DPIA uitvoeren is veel werk en hierbij is specifieke deskundigheid nodig. Bekijk een voorbeeld van een DPIA-template. 

Voorbeeldsituatie waarbij een DPIA wordt uitgevoerd

Stel je voor: de intern begeleiders binnen de stichting maken gespreksverslagen van leerlingen. In deze verslagen staan persoonlijke gegevens, onder andere over gezondheid. Dit is een vorm van gegevensverwerking: de begeleiders bewerken de gegevens en slaan deze ergens op. 

Met een DPIA zet je de risico’s van deze gegevensverwerking op een rijtje, denk aan: de begeleiders delen de verslagen intern met collega’s, die eigenlijk geen toegang mogen hebben. Of een begeleider raakt een verslag per ongeluk kwijt. 

Per risico bepaal je of de gevolgen groot zijn. Kan er bijvoorbeeld een datalek ontstaan waardoor persoonlijke gegevens van leerlingen op straat komen te liggen? Bij zo’n hoog risico is de volgende stap: het bepalen van maatregelen die nodig zijn om het risico te verkleinen. Denk aan het gebruiken van een veilige mailoplossing, zodat een gespreksverslag niet zomaar bij de ‘verkeerde’ collega terechtkomt. 

Heb je de maatregel doorgevoerd? Dan voer je opnieuw een DPIA uit, om te controleren hoe hoog het risico nu is. Wanneer de maatregel niet heeft geholpen en het risico te groot blijft, kun je beslissen dat deze manier van gegevensverwerking niet is toegestaan volgens de AVG. 

DTIA: risico’s van gegevensverwerking buiten EER

Een Data Transfer Impact Assessment (DTIA) zet je in als aanvulling op de DPIA om de risico’s en de benodigde maatregelen bij gegevensoverdracht naar een derde land buiten de Europese Economische Ruimte (EER) in kaart te brengen. Een DTIA kan bijvoorbeeld aantonen dat het ontvangende land geen goede bescherming van (een deel van) de gegevens garandeert. Dan moet je aanvullende maatregelen inzetten (zoals versleuteling) of besluiten dat een overdracht naar dit land niet is toegestaan. 

Een DTIA is verplicht wanneer je persoonsgegevens overdraagt naar een land buiten de EER waarover de Europese Commissie geen adequaatheidsbesluit heeft genomen. Zo’n besluit houdt in dat de gegevensbescherming in het land van een vergelijkbaar niveau is als de AVG. 

Ook een DTIA kan erg complex zijn: de analyse vergt veel internationale juridische kennis. Bekijk een globaal stappenplan. 

Voorbeeldsituatie waarbij een DTIA wordt uitgevoerd

Stel je voor: de scholen binnen jouw stichting maken gebruik van een cloudapplicatie, waarvan de helpdesk zich in India bevindt (een land buiten de EER). Een intern begeleider heeft een inhoudelijke vraag over de applicatie en benadert de helpdesk. De helpdeskmedewerkers kijken even mee en hebben hierdoor toegang tot bepaalde persoonsgegevens. 

Maar is dat wel veilig? Dat analyseer je met een DTIA. Hiermee controleer je welke gegevens er precies in het land terechtkomen en hoe het land is beschermd. Is het goed geregeld, dan ben je klaar. Zo niet, dan dien je de stappen van een DPIA uit te voeren: het bepalen van maatregelen die de risico’s verlagen. Wanneer je er niets tegen kan doen, moet je constateren dat de gegevensoverdracht niet is toegestaan volgens de AVG.