Data Privacy Impact Assessment: wanneer verplicht?

Wat is een DPIA?

In de AVG is bepaald (art. 35 AVG) dat bedrijven en instellingen verplicht zijn om in bepaalde gevallen een ‘gegevensbeschermingseffectbeoordeling’ uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Een veel gebruikte term hiervoor is een Data Privacy Impact Assessment, afgekort als ‘DPIA’. Dit is de Engelse term vanuit de AVG (GDPR is de Engelse afkorting voor de AVG).

Een DPIA is volgens de AVG verplicht als ‘een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’.

Daarnaast geeft de AVG verder aan dat een DPIA met name vereist is in de volgende gevallen:

  1. Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen;
  2. Grootschalige verwerking van bijzondere categorieën van persoonsgegevens, en
  3. Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Een DPIA is dus verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie persoonsgegevens verwerkt. Dit moet de verwerkingsverantwoordelijke zélf bepalen. Deze mag niet beginnen met het verwerken van die gegevens voordat er een DPIA is uitgevoerd.

Weet u nu wanneer u verplicht bent een DPIA uit te voeren? Waarschijnlijk niet. Art. 35 AVG is een zogenaamde ‘open norm’ en vereist nadere invulling. Het is daarom dat de toezichthoudende autoriteit (de Autoriteit Persoonsgegevens (AP) in Nederland) richtlijnen geeft. Dat doen overigens andere toezichthouders van de andere 27 EU lidstaten ook, en deze zijn onderling opvallend genoeg niet steeds hetzelfde.

De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.

U kunt tevens gebruik maken van de 9 criteria die de Europese privacytoezichthouders hebben opgesteld. Als vuistregel geldt dat u een DPIA moet uitvoeren als uw verwerking aan 2 of meer van deze criteria voldoet.

De lijst bevat de volgende onderdelen:

  1. Heimelijk onderzoek

Grootschalige en/of systematische verwerkingen van persoonsgegevens waarbij informatie wordt verzameld door middel van onderzoek zonder dat de betrokkene daarvan vooraf op de hoogte te stellen. Bijvoorbeeld heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten. Heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een DPIA te worden uitgevoerd).

  1. Zwarte lijsten

Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag (artikel 33, lid 4, aanhef en onder c, UAVG)of gegevens over slecht betalingsgedrag door organisaties of particulieren worden verwerkt en gedeeld met derden.

Bijvoorbeeld zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus.

  1. Fraudebestrijding

Grootschalige en/of systematische verwerkingen van (bijzondere) persoonsgegevens in het kader van fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.

  1. Creditscores

Grootschalige en/of systematische gegevensverwerkingen die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.

  1. Financiële situatie

Grootschalige en/of systematische verwerkingen van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.

  1. Genetische persoonsgegevens

Grootschalige en/of systematische verwerkingen van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, bio-databanken.

  1. Gezondheidsgegevens

Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid.

Let op: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren.

  1. Samenwerkingsverbanden

Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen. Bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.

  1. Cameratoezicht

Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.

  1. Flexibel cameratoezicht

Grootschalig en/of systematisch gebruik van flexibel cameratoezicht. Bijvoorbeeld camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.

  1. Controle werknemers

Grootschalige en/of systematische verwerking van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding.

  1. Locatiegegevens

Grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen. Bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.

  1. Communicatiegegevens

Grootschalige en /of systematische verwerking van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.

  1. Internet of things

Grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.

  1. Profilering

Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering). Bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.

  1. Observatie en beïnvloeding van gedrag

Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.

Als u meer informatie of begeleiding nodig heeft, helpen de privacy specialisten van PrivacyTeam u graag verder.

(Bron: https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia)  

Naar het overzicht