Home » Data » Wanneer ben je verplicht een data protection impact assessment (DPIA) uit te voeren?

Wanneer ben je verplicht een data protection impact assessment (DPIA) uit te voeren?

Voor bepaalde soorten verwerkingen moet verplicht een Data Protection Impact Assessment (DPIA) worden uitgevoerd. In het besluit van de Autoriteit Persoonsgegevens (AP) kun je zien voor welke verwerkingen deze DPIA-plicht geldt. Hiermee kun je vooraf de privacyrisico’s van gegevensverwerking in kaart  brengen. En daarna maatregelen nemen om de risico’s te verkleinen.

De Autoriteit Persoonsgegevens (AP) heeft een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een data protect impact assessment (DPIA) altijd verplicht is vóór je met verwerken begint.

AP-lijst van verwerkingen waarvoor een DPIA verplicht is:

1. Heimelijk onderzoek

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens waarbij informatie wordt verzameld met onderzoek, zonder de betrokkene daarvan vooraf op de hoogte te stellen.

Bijvoorbeeld heimelijk onderzoek door particuliere recherchebureaus, onderzoek voor fraudebestrijding en onderzoek op internet voor bijvoorbeeld online handhaving van auteursrechten.

Een DPIA is ook verplicht bij heimelijk cameratoezicht door werkgevers om diefstal of fraude door werknemers te bestrijden. Hierbij moet soms ook een DPIA worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen werknemer en werkgever.

2. Zwarte lijsten

Verwerkingen waarbij persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door organisaties of particulieren worden verwerkt en gedeeld met derden.

Bijvoorbeeld zwarte lijsten of waarschuwingslijsten, zoals verzekeraars, horecabedrijven, winkelbedrijven en telecomproviders die gebruiken. En ook zwarte lijsten die gaan over onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus.

3. Fraudebestrijding

Grootschalige verwerkingen en/of stelselmatige monitoring van (bijzondere) persoonsgegevens voor fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.

4. Creditscores

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.

5. Financiële situatie

Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.

6. Genetische persoonsgegevens

Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses om persoonlijke kenmerken in kaart te brengen, bio-databanken.

7. Gezondheidsgegevens

Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars en onderzoeksinstituten), waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid.

Let op: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren.

8. Samenwerkingsverbanden

Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard met elkaar uitwisselen, zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk. Bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.

9. Cameratoezicht

Grootschalige verwerkingen en/of stelselmatige monitoring van openbaar toegankelijke ruimten met camera’s, webcams of drones.

10. Flexibel cameratoezicht

Grootschalig en/of systematisch gebruik van flexibel cameratoezicht. Bijvoorbeeld camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.

11. Controle werknemers

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht voor diefstal- en fraudebestrijding.

12. Locatiegegevens

Grootschalige verwerkingen en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen. Bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.

13. Communicatiegegevens

Grootschalige verwerkingen en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker.

14. Internet of things

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.

15. Profilering

Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering). Bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.

16. Observatie en beïnvloeding van gedrag

Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen wordt geobserveerd of beïnvloed, dan wel gegevens die daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.

17. Biometrische gegevens

Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.

NB: Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in de Uitvoeringswet AVG. De verwerking van biometrische gegevens is alleen toegestaan als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

 

Bron: Autoriteit persoonsgegevens

Zorg voor een optimaal Privacybeleid in jouw organisatie!

De Algemene Verordening Gegevensbescherming (AVG), verplicht alle overheidsinstellingen en bedrijven die zich toeleggen op extra privacygevoelige activiteiten, om een Data Protection Officer (DPO) / Functionaris Gegevensbescherming (FG) aan te wijzen. Ook voor andere organisaties is de aanwijzing van een DPO een verstandige keuze. Leer tijdens de opleiding Data Protection Officer in 4 dagen je (nieuwe) functie als DPO/FG goed vorm te geven.

Bezoek de website

Over euroforum

Euroforum is marktleider op het gebied van congressen, opleidingen en trainingen voor professionals en managers bij bedrijven, overheden en non-profit organisaties

Bekijk ook

e-Identity binnen het NS Fiets InnovatieLab

Op 12 februari 2020 vindt de 5e editie van het e-Identity congres plaats. Sjoerd Gallmann, …

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *