AP: Definitieve lijst verplichte DPIA

Verwerkt jouw bedrijf (op grote schaal) persoonsgegevens? Let op! Op 27 november 2019 heeft de Autoriteit Persoonsgegevens (AP) een definitieve lijst gepubliceerd waarvoor een DPIA verplicht is.

Een DPIA oftewel een ‘data protection impact assessment’, is een methode om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen. In Nederland spreken we ook wel van een ‘gegevensbeschermingseffectbeoordeling’. Door je bewust te zijn van de bestaande privacyrisico’s, kan je (de juiste) maatregelen treffen om deze risico’s te elimineren of te verkleinen.

Verplichting

Artikel 35 van de Algemene verordening gegevensbescherming (AVG) verplicht je om vóór het verwerken van persoonsgegevens het effect van deze verwerking op de bescherming van persoonsgegevens te beoordelen. Een DPIA is verplicht als het waarschijnlijk is dat een gegevensverwerking een hoog privacyrisico met zich meebrengt voor de betrokkene.

In 2017 zijn door de Europese privacytoezichthouders richtsnoeren gepubliceerd om te bepalen of een verwerking een hoog risico met zich meebrengt. Deze richtsnoeren bieden een hulpmiddel om te bepalen of het voor een bepaalde verwerking verplicht is om een DPIA uit te voeren.

Lijst verplichte DPIA

Op grond van het vierde lid van artikel 35 heeft de AP een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA sowieso verplicht is. De AP heeft bepaald dat voor de volgende verwerkingen een DPIA verplicht is:

  1. Heimelijk onderzoek
  2. Zwarte lijsten
  3. Fraudebestrijding
  4. Creditscores
  5. Financiële situatie
  6. Genetische persoonsgegevens
  7. Gezondheidsgegevens
  8. Samenwerkingsverbanden
  9. Cameratoezicht
  10. Flexibel cameratoezicht
  11. Controle werknemers
  12. Locatiegegevens
  13. Communicatiegegevens
  14. Internet of things
  15. Profilering
  16. Observatie en beïnvloeding van gedrag
  17. Biometrische gegevens

Grootschalige verwerkingen

Ondanks dat de verwerking op de lijst staat, kan het zijn dat er geen verplichting is, omdat de verwerking niet grootschalig is. In de AVG wordt niet uitgelegd wat precies wordt bedoeld met ‘grootschaligheid’. De AP geeft wel criteria aan de hand waarvan je kunt toetsen of sprake is van grootschaligheid:

  • Het aantal betrokkenen;
  • De hoeveelheid gegevens die je verwerkt;
  • De duur van de gegevensverwerking;
  • De geografische reikwijdte van de verwerking.

Sancties

De AP kan relatief makkelijk controleren of een DPIA is uitgevoerd, door deze eenvoudigweg op te vragen. Als je geen (goede) DPIA hebt uitgevoerd terwijl deze wel verplicht is, kan de AP een boete opleggen. Het gaat dan om een boete uit categorie II. Dat betekent dat de basisboete € 310.000, – bedraagt, met een bandbreedte tussen de € 120.000, – en € 500.000, -. Daarnaast kan de AP ervoor kiezen om andere maatregelen op te leggen, zoals een last onder dwangsom of een verwerkingsverbod. Belangrijk dus om een goede DPIA uit te voeren.

Hulp nodig?

Mr. Lieke adviseert in het uitvoeren van een DPIA. Ook kunnen wij een DPIA uitvoeren. Indien wij jou hiermee kunnen helpen of wanneer je een andere vraag hebt naar aanleiding van deze blog, neem dan gerust contact met ons op.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *