Checklist: Is een DPIA verplicht in een BI & Analytics-omgeving?

15 december 2020 Consultancy.nl

Om datagedreven te werken maken organisaties steeds meer gebruik van business intelligence- en advanced analytics-oplossingen. Wanneer hierbij persoonsgegevens worden verwerkt, dient in sommige gevallen een Data Protection Impact Assessment (DPIA) te worden uitgevoerd. Wanneer is een DPIA verplicht? Een checklist.

Een Data Protection Impact Assessment is sinds de invoering de Algemene Verordening Gegevensbescherming (AGVR, of GDPR in het Engels) verplicht als de persoonsgegevens die gebruikt worden op grote schaal worden verwerkt en als gegevens een hoog privacyrisico met zich meebrengen. Denk bijvoorbeeld aan gegevens over iemands etnische achtergrond, godsdienst, gezondheid of politieke opvattingen.

Het burgerservicenummer (BSN) valt in de AVG niet onder de definitie ‘bijzonder persoonsgegeven’, maar mag door organisaties buiten de overheid alleen worden gebruikt als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners en onderwijsinstellingen. 

Wanneer is een DPIA verplicht in een BI & Analytics-omgeving

De Europese privacytoezichthouders hebben een lijst met negen criteria opgesteld om te beoordelen of een voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor de betrokken personen. Indien aan twee of meer van deze criteria wordt voldaan (vuistregel), dan is het uitvoeren van een DPIA verplicht.

In de context van business intelligence en advanced analytics kent de verwerkingen van persoonsgegevens specifieke privacyrisico’s die anders zijn dan in primaire bedrijfsprocessen. Vaak worden grote hoeveelheden persoonsgegevens met elkaar gecombineerd, voor veel verschillende doeleinden gebruikt en voor een groot aantal eindgebruikers beschikbaar gesteld.

Voor Data Officers is het dus van belang om voor het starten van een geavanceerde data-analyse in een BI-omgeving eerst in kaart te brengen of een DPIA al dan niet verplicht is. In de whitepaper ‘Wanneer is een DPIA verplicht in een BI & Analytics-omgeving?’ delen de experts van Hot ITem een checklist die hierbij kan helpen. Aan de hand van dertien vragen wordt de noodzaak voor een DPIA getoetst.

Met een DPIA leggen organisaties de consequenties en risico’s van de verwerking voor de privacy van de betrokkenen vast. Zo kunnen ze bepalen of er maatregelen genomen dienen te worden om de privacy van de betrokkenen (extra) te beschermen.

Tot slot, vijf succesfactoren van de adviseurs van Hot ITem voor het succesvol uitvoeren van een DPIA:

Tip 1. Baken de scope zorgvuldig af en bewaak deze
Tip 2. Kies het juiste moment
Tip 3. Wees niet te kort door de bocht
Tip 4. Maak de business verantwoordelijk
Tip 5. Beoordeel de DPIA periodiek opnieuw