Tag archieven: DTIA

DPIA en DTIA

Geplaatst op door

De GDPR legt verwerkingsverantwoordelijken in bepaalde gevallen de verplichting op een Data Protection Impact Assessment (DPIA), of in het Nederlands een Gegevensbeschermingseffectbeoordeling uit te voeren.

Die verplichting geldt wanneer de verwerking betrekking heeft op:

  • een geautomatiseerde verwerking die dienen om beslissingen te nemen met rechtsgevolgen voor de betrokkene;
  • grootschalige verwerking van gevoelige persoonsgegevens, zoals bijvoorbeeld medische gegevens;
  • een systematische en grootschalige monitoring van mensen in publieke ruimten, zoals bijvoorbeeld supermarkten.

Maar de GDPR legt dit ook op wanneer de (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de betrokkenen.

Dit is o.a. het geval wanneer er sprake is van nieuwe technologieën.

DPIA

Zoals reeds aangegeven moet een verwerkingsverantwoordelijke in bepaalde gevallen een DPIA opmaken, maar dit is evenwel niet altijd het geval.

In sommige gevallen kan de GBA voor bepaalde activiteiten de verplichting uitsluiten om een DPIA op te maken.

Net zoals de lijst waarbij het opmaken van een DPIA niet verplicht is, moet de lijst van activiteiten waarbij het opmaken van een DPIA wel verplicht is door de GBA openbaar zijn gemaakt.

Inhoud van een DPIA

De DPIA is een document dat tot doel heeft risico’s en mogelijke risico’s van de voorgenomen verwerkingen en verwerkingen van persoonsgegevens in kaart te brengen.

Er bestaat geen officieel model of lijst van wat er in een DPIA moet worden opgenomen. De GDPR somt wel een minimum aantal zaken op.

Zo bevat een DPIA minimaal:

  • een systematische beschrijving van de (voorgenomen) verwerkingen;
  • de verwerkingsdoeleinden;
  • indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke;
  • of de voorgenomen verwerkingen noodzakelijk en evenredig zijn voor het beoogde doel;
  • de risico’s van deze (voorgenomen) verwerkingen voor de data subjecten;
  • de voorgenomen maatregelen om deze risico’s te remediëren.

Los van het feit dat in sommige gevallen het opmaken van een DPIA verplicht is, kan dit document ook dienst doen als management document van de (voorgenomen) verwerking; door er bekomende elementen aan toe te voegen.

Hierbij kunnen we o.a. denken aan BPMN-, UML-, ERD-documentatie.

DTIA

Hoewel niet expliciet gedefinieerd in de GDPR is een Data Transfer Impact Assessment (DTIA) een soort DPIA, maar dan voor de doorgiften van persoonsgegevens naar derde landen.

Bij het opmaken van een DTIA zal zorgvuldig moeten worden nagegaan welke garanties er aan de data subjecten wordt geboden en of het derde land naar waar de persoonsgegevens worden doorgegeven vergelijkbare garanties biedt als degene die voorzien zijn in de GDPR.

Bij de beoordeling of een derde land vergelijkbare garanties biedt kan men een onderscheid maken tussen die gevallen waarbij wel en degene waarbij geen toestemming is vereist van de GBA.

Deze materie heeft vele nuances. Hierna wordt slechts zeer summier en in algemene termen de situaties genoemd waarbij wel of geen toestemming vereist is voor een doorgifte aan derde landen, gebieden of sectoren.

Geen toestemming nodig

Doorgiften mogen zonder toestemming naar die derde landen, gebieden of een of meerdere sectoren van een derde land plaatsvinden wanneer een adequaatheidsbesluit voorhanden is, dat niet door de Commissie werd ingetrokken.

Deze lijst is publiek beschikbaar, en wordt op geregelde tijdstippen bijgewerkt.

Ook wanneer er passende waarborgen worden geboden, die voldoen aan bepaalde eisen van de GDPR zoals bijvoorbeeld standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, is er doorgaans geen toestemming nodig voor de doorgifte van persoonsgegevens.

Wel toestemming nodig

Wanneer de doorgifte gebaseerd wordt op bindende bedrijfsvoorschriften, dan moeten deze eerst zijn goedgekeurd door de bevoegde toezichthoudende autoriteit.

Ook kunnen doorgiften van persoonsgegevens naar derde landen o.a. plaatsvinden indien de betrokkene zelf heeft toegestemd, mits hij of zij volledig op de hoogte werd gesteld inzake de risico’s van deze beslissing wanneer er geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn.

Verhouding met eerder afgesloten verdragen

Een apart geval zijn doorgiften op basis van reeds gesloten en nog in werking zijnde internationale verdragen.

Indien een dergelijk verdrag aanwezig is, dan is een doorgifte op basis van dat internationale verdrag nog steeds mogelijk.

Een voorbeeld hiervan zijn de doorgiften op basis van het FATCA-verdrag voor fiscale administraties en financiële instellingen.

Eindnoot

Organisaties hebben er alle belang bij hun verwerkingen grondig te documenteren. Het vormt de basis waarop eventuele verdere analyses inzake comformiteit van de verwerkingen met de GDPR zullen gebeuren.

Het niet beschikken over dergelijke documentatie zal een signaal kunnen geven dat men nooit heeft nagedacht over de verwerkingen van persoonsgegevens die men uitvoert.

Dit is nu niet bepaald de situatie waarop men als organisatie moet op zitten te wachten.

Bloep, 21 december 2025.