Gegevensbeschermingseffectbeoordeling

Een gegevensbeschermingseffectbeoordeling (DPIA) is een formeel proces dat wordt gebruikt om risico's voor gegevensbescherming te identificeren en te minimaliseren bij de verwerking van persoonsgegevens. Organisaties moeten een DPIA uitvoeren voorafgaand aan verwerkingen die waarschijnlijk zullen leiden tot een hoog risico voor de rechten en vrijheden van individuen, met name bij het gebruik van nieuwe technologieën of de verwerking van bijzondere categorieën van persoonsgegevens.

Rechtsgrondslag

"Wanneer een type verwerking, met name bij gebruik van nieuwe technologieën, en gezien de aard, de omvang, de context en de doeleinden van de verwerking, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens."

— Artikel 35, lid 1, Verordening (EU) 2016/679 (AVG)

Waarom het belangrijk is

Gegevensbeschermingseffectbeoordelingen zijn essentieel voor elke organisatie die persoonsgegevens gebruikt voor targeting van politieke advertenties of advertentieleveringstechnieken. Onder de AVG moeten verwerkingsverantwoordelijken een DPIA uitvoeren wanneer verwerkingsactiviteiten waarschijnlijk zullen leiden tot een hoog risico, met name bij het gebruik van profilering, bijzondere categorieën van gegevens, of systematische monitoring van individuen op grote schaal.

Voor politieke advertenties zijn DPIA's bijzonder belangrijk omdat targetingtechnieken vaak de verwerking van gevoelige persoonsgegevens zoals politieke opvattingen omvatten, die onder de AVG als bijzondere categorieën van gegevens worden geclassificeerd. Uitgevers en aanbieders van diensten voor politieke advertenties moeten beoordelen of hun targetingpraktijken een DPIA vereisen voordat zij campagnes lanceren.

De DPIA helpt organisaties risico's vroegtijdig te identificeren, passende waarborgen te implementeren en verantwoordingsplicht aan te tonen. Het bepaalt ook of consultatie met de relevante gegevensbeschermingsautoriteit noodzakelijk is voordat de verwerking begint. Organisaties die verzuimen verplichte DPIA's uit te voeren, riskeren aanzienlijke administratieve boetes onder de AVG.

Kernpunten

Verplicht voorafgaand aan hoogrisicoverwerkingen: DPIA's zijn vereist wanneer verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van individuen, met name bij het gebruik van nieuwe technologieën of profilering
Essentieel voor politieke advertenties: Het targeten van politieke advertenties met persoonsgegevens, met name bijzondere categorieën zoals politieke opvattingen, vereist doorgaans een DPIA
Moet vooraf worden uitgevoerd: De beoordeling moet worden uitgevoerd voordat de verwerking begint, niet nadat campagnes al lopen
Identificeert en beperkt risico's: DPIA's identificeren systematisch risico's voor gegevensbescherming en helpen organisaties passende technische en organisatorische maatregelen te implementeren
Kan consultatie met autoriteit vereisen: Als risico's na mitigerende maatregelen hoog blijven, moeten organisaties hun gegevensbeschermingsautoriteit raadplegen voordat zij verder gaan
Toont naleving aan: Het uitvoeren en documenteren van DPIA's maakt deel uit van het verantwoordingsbeginsel onder de AVG en toont proactieve naleving aan

Gegevensbeschermingseffectbeoordeling versus risicobeoordeling

Hoewel beide processen risico's evalueren, is een gegevensbeschermingseffectbeoordeling een specifieke wettelijke vereiste onder de AVG die zich richt op privacy- en gegevensbeschermingsrisico's voor individuen. Een algemene risicobeoordeling kan bredere organisatorische of bedrijfsrisico's dekken, zoals reputatieschade, financieel verlies of operationele veiligheid.

Een DPIA onderzoekt specifiek hoe verwerkingsactiviteiten de rechten en vrijheden van individuen beïnvloeden, rekening houdend met factoren zoals de aard, omvang, context en doeleinden van de verwerking. Het vereist specifieke inhoud, waaronder een beschrijving van verwerkingsactiviteiten, beoordelingen van noodzakelijkheid en evenredigheid, geïdentificeerde risico's en geplande waarborgen.

Onder Verordening 2024/900 betreffende politieke advertenties moeten organisaties ook systemische risicobeoordelingen uitvoeren als zij kwalificeren als zeer grote online platforms (VLOP's), maar deze zijn gescheiden van DPIA's, hoewel de bevindingen elkaar kunnen informeren.

Gerelateerde termen

Ja. Als EU-verordening is de TTPA rechtstreeks van toepassing in alle lidstaten zonder dat nationale omzetting vereist is. Lidstaten hoeven alleen bevoegde autoriteiten aan te wijzen en sancties vast te stellen.

Transparantievereisten zorgen ervoor dat alle politieke actoren onder dezelfde regels opereren. Kiezers kunnen zien wie over middelen beschikt en hoe deze worden ingezet, wat eerlijke concurrentie ondersteunt.

Transparantie bouwt vertrouwen op door kiezers te laten zien dat politieke actoren openlijk opereren. Verborgen financiering of targeting ondermijnt het vertrouwen in democratische processen.

Door duidelijke etikettering en toegankelijke transparantie-informatie te vereisen, helpt de TTPA mensen politieke advertenties te herkennen en te begrijpen wie hen probeert te beïnvloeden.

Politieke reclame omvat elke betaalde boodschap die een politieke actor promoot, stemgedrag beïnvloedt, de uitkomst van verkiezingen of referenda beïnvloedt, of wetgevings- of regelgevingsprocessen beïnvloedt. Het omvat ook alle reclame door of namens een politieke actor.

Nee. De TTPA heeft geen invloed op nationale regels over de inhoud van politieke advertenties, campagnefinanciering, verkiezingsperioden of algemene verboden op politieke reclame. Het voegt transparantievereisten toe bovenop bestaande nationale wetgeving.

De officiële naam is Verordening (EU) 2024/900 van het Europees Parlement en de Raad betreffende de transparantie en targeting van politieke advertenties. Deze werd gepubliceerd op 20 maart 2024.

Ja. De TTPA is van toepassing op alle politieke reclame, zowel online als offline, met inbegrip van gedrukte media, reclameborden, tv, radio en digitale kanalen. De targetingregels in hoofdstuk III zijn alleen van toepassing op onlinereclame.