Werkgever, u moet (soms) een DPIA maken!
De Algemene Verordening Gegevensbescherming (AVG), wie kent haar niet, heeft in 2018 veel stof doen opwaaien en vervolgens werd het stil. Was het een hype? Misschien een beetje, maar er wordt nu door de Autoriteit Persoonsgegevens (AP) een strenge verplichting in het leven geroepen waar een werkgever op verdacht moet zijn. De werkgever moet namelijk in voorkomende gevallen een DPIA (Data Protection Impact Assessment) uitvoeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.
Wanneer moet u een DPIA opstellen?
Als u vermoedens hebt van diefstal door een werknemer overweegt u misschien een verborgen camera te plaatsen. Dat is ook vaak de enige manier om te achterhalen wat er aan de hand is op de werkvloer. Hetzelfde kan gelden voor controle door een particuliere detective bij de werknemer die zegt ziek te zijn. Wellicht overweegt u om het e-mail- en internetgebruik met filters te controleren. Of misschien bent u van plan een kloksysteem in gebruik te nemen dat werkt middels de vingerafdruk van uw werknemers. Voorafgaand aan al dit soort privacygevoelige acties (en bij vele andere in de lijst genoemde situaties) moet u eerst een gegevensbeschermingseffectbeoordeling (dat is een DPIA) houden. Dat blijkt uit de definitieve lijst van verwerkingen van persoonsgegevens waarvoor een DPIA uitgevoerd moet worden, die de AP op 27 november 2019 heeft gepubliceerd.
Deze lijst is overigens niet volledig. U moet in alle gevallen waarin een verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert een DPIA uitvoeren.
Wat staat erin?
In een DPIA moet onder andere worden beschreven welke gegevensverwerkingen u waarom denkt te verrichten en (wanneer van toepassing) welk gerechtvaardigd belang u meent te hebben voor die verwerking. Ook moet u aandacht hebben besteed aan de proportionaliteit van de verwerking: kon het niet op een andere manier die minder privacygevoelig is? Wanneer uit de DPIA blijkt dat mogelijk privacyrisico’s bestaan dan moet u aantonen hoe u deze risico’s zoveel mogelijk beperkt.
Lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd en de wettelijke behandeltermijn hiervoor is 14 (!) weken.
U hoeft zo’n DPIA niet te publiceren (de AP raadt dit overigens wel aan), maar u moet wel kunnen aantonen dat u erover heeft nagedacht en dat u een en ander schriftelijk heeft vastgelegd. Als u dat niet kunt doen en de AP komt langs, riskeert u een sanctie, mogelijk zelfs een boete van enkele tonnen.
Kans op stevige boete
Mocht u zich afvragen of de kans van AP-bezoek in uw geval reëel is, bedenk dan dat een werknemer die ontslagen wordt op basis van de filmbeelden (verkregen met een verborgen camera) snel geneigd zal zijn bij de AP een klacht in te dienen. Ook kan de AP zelf besluiten, mogelijk op basis van gepubliceerde rechterlijke uitspraken, uw werkgeverspraktijken te onderzoeken. De AP is bevoegd bij u de DPIA op te vragen en als u dan niets kunt laten zien (terwijl vaststaat dat u een camera had geplaatst of andere gegevensverwerking uitvoerde met een hoog risico), bent u de klos. De AP heeft onlangs beleidsregels vastgesteld met betrekking tot de hoogte van de boetes die zij op zal leggen. Op het niet nakomen van de verplichting om een DPIA uit te voeren staat een boete van tussen € 120.000 en € 500.000.
Kortom, mocht u zich genoodzaakt zien om heimelijk onderzoek te doen of uw werknemers te controleren, of mochten er binnen uw organisatie andere gegevensverwerkingen plaatsvinden waarvoor (u vermoedt dat) een DPIA noodzakelijk is, bel ons eerst, zodat wij samen met u een DPIA, die aan alle vereisten voldoet kunnen uitvoeren. U kunt contact opnemen met Eef van de Wiel.
