Vanuit PrivacyTeam is al meerdere keren aandacht gevraagd voor de Pre-DPIA. De Pre-DPIA is een handig hulpmiddel om de verwerking van persoonsgegevens in beeld te brengen en een afweging te maken of een verwerking al dan niet een ‘hoog risico’ inhoudt voor de rechten en vrijheden van betrokkenen. Indien dit namelijk het geval is, is een volledige DPIA verplicht.
Soms hebben privacy professionals twijfel of een Pre-DPIA wel verplicht is: het zou onnodig veel werk met zich meebrengen en bovendien niet verplicht, dus waarom zou je dit doen?
Met de brief van de Autoriteit Persoonsgegevens aan de gemeente Eindhoven is dus min of meer bevestigd dat je bij elke verwerking een Pre-DPIA moet uitvoeren.
De Autoriteit Persoonsgegevens stelt de gemeente Eindhoven de volgende vragen (ga er even goed voor zitten en vraag jezelf af of jouw organisatie dit soort vragen super eenvoudig kan beantwoorden):
Uit het verbeterplan blijkt echter dat u verschillende verwerkingen samenvoegt en dat u ter discussie stelt of de uitkomsten van de quickscans die u gebruikt om te bepalen of een DPIA wettelijk verplicht is wel juist zijn.
- Verstrek een overzicht over de periode vanaf 1 januari 2020 van de verwerkingen waarvan de gemeente Eindhoven van mening is dat daarvoor het opstellen van een DPIA verplicht is.
- Verstrek informatie over de wijze waarop u vaststelt of een DPIA wettelijk verplicht is.
- Geef daarbij per verwerking aan of en zo ja op welke datum die DPIA is vastgesteld.
- Geef daarbij per verwerking aan of en zo ja vanaf welke datum die verwerking is gestart.
- Voor welke verwerkingen is de laatste vastgestelde DPIA ouder dan 3 jaar, of is sinds 2018 geen DPIA (meer) vastgesteld?
De vraag onder ‘b.’ is de vraag of een instrument zoals een Pre-DPIA is gebruikt.
Zoals je kunt lezen gaan de vragen van de Autoriteit Persoonsgegevens behoorlijk ver en moet je als verwerkingsverantwoordelijke echt je (Pre-)DPIA’s op orde hebben.