E-leren en GDPR: wat zijn de DPO en het DPIA? En heb ik ze nodig?

Enkel als je je al grondig hebt verdiept in de privacywetgeving (GDPR), heb je al van de DPO en DPIA gehoord. DPO staat voor Data Protection Officer: de functionaris voor gegevensbescherming. DPIA is het Data Protection Impact Assessment: degegevensbeschermingseffectbeoordeling. Moeilijke (en lange) termen die om uitleg vragen. 

De DPO waakt als onafhankelijke partij mee over je privacybeleid. Volgens de GDPR moet je een DPO aanstellen als je:  

• dataverwerking doet die door de aard, omvang of doeleinden een regelmatige en stelselmatige observatie van personen vraagt; 
• grootschalige verwerking doet van bijzondere categorieën van gegevens en strafrechtelijke gegevens.  

We gaan ervan uit dat je niet op grote schaal bijzondere categorieën van gegevens gaat verwerken en je je cursisten en lesgevers niet stelselmatig observeert. Je hebt dus waarschijnlijk geen DPO nodig. Dat mag natuurlijk wel. Zorg dan wel dat die voldoet aan alle voorwaarden die de GDPR oplegt. Als alternatief is het een goed idee om een aanspreekpunt te voorzien. Die kan contact opnemen met betrokkenen en – indien nodig – met de Gegevensbeschermingsautoriteit.  

Als de dataverwerking een bepaald risico inhoudt voor de rechten en vrijheden van de personen, moet je het effect van de verwerking eerst beoordelen. Dat kan bijvoorbeeld het geval zijn als je:  

• een evaluatie of score toekent die gebaseerd is op persoonlijke kenmerken. Denk aan werkprestaties, economische situatie, gezondheid, gedrag, loyauteit, verplaatsingen, …; 
• aan geautomatiseerde besluitvorming doet, met een juridisch of vergelijkbaar gevolg. Bijvoorbeeld de automatische verwerking van gegevens om te bepalen of iemand klant mag worden; 
• stelselmatig mensen in publieke ruimtes monitort; 
• regelmatig gevoelige of zeer persoonlijke gegevens verwerkt; 
• gegevens op zeer grote schaal verwerkt; 
• datasets samenvoegt (matching); 
• gegevens van zeer kwetsbare personen (kinderen, geesteszieken, bejaarden, …) bewaart; 
• nieuwe technologieën of toepassingen gebruikt waarvan de impact nog niet werd onderzocht; 
• gegevens verwerkt die de toegang tot een bepaalde dienst verhinderen. Denk aan een bank die klanten weigert op basis van hun kredietgegevens.  

Als vuistregel geldt dat je een DPIA opstelt als je aan minstens twee van de bovenstaande criteria voldoet. Opnieuw gaan we ervan uit dat dit voor jou waarschijnlijk niet zo is. Maar ook als het niet moet, ben je beter te voorzichtig dan te laks.  

Schenk altijd aandacht aan de gevolgen die de dataverwerking kan hebben voor de betrokken cursisten of lesgevers. Overweeg telkens of je de verwerking formeel moet beoordelen. Soms kan het toch aangewezen zijn die beoordeling uit te voeren.  

Zo’n beoordeling bevat minstens:  

• een systematische beschrijving van de verwerking die je wil doen, welk doel ze heeft en welke belangen jij erbij hebt; 
• een beoordeling van de noodzaak en de evenredigheid van de verwerking tegenover het doel; 
• een beoordeling van de risico’s die de verwerking meebrengt voor de rechten en vrijheden; 
• de maatregelen die je wil nemen om die risico’s aan te pakken.  

Blijkt uit die beoordeling dat je verwerking inderdaad een hoog risico met zich meebrengt, dan raadpleeg je het best op voorhand de Gegevensbeschermingsautoriteit.  

De DPO en het DPIA zijn in de meeste gevallen niet verplicht. Toch is voorzichtigheid altijd geboden. Overweeg om een aanspreekpunt voor je privacybeleid aan te stellen en denk bij elke gegevensverwerking na over de impact ervan.