Voor bepaalde soorten verwerkingen moet verplicht een Data Protection Impact Assessment (“DPIA”) worden uitgevoerd. In het besluit van de Autoriteit Persoonsgegevens (“AP”) dat deze week is gepubliceerd, kunt u zien voor welke verwerkingen deze DPIA-plicht geldt.
De lijst van de AP borduurt voort op de al eerder door de AP gepubliceerde informatie op haar website. Nieuw is dat een DPIA óók moet worden uitgevoerd voor de start van een verwerking van biometrische gegevens (bijvoorbeeld vingerafdrukken).
De lijst van de AP bevat een opsomming van verschillende typen verwerkingen. Per type verwerking geeft de AP aan onder welke voorwaarden een DPIA verplicht is. Het gaat onder meer om verwerkingen op het gebied van:
- Heimelijk onderzoek (bijvoorbeeld heimelijk cameratoezicht door werkgevers in het kader van diefstal- en fraudebestrijding)
- Zwarte lijsten (zoals onder meer worden gebruikt door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders, in de zorgsector en door uitzendbureaus).
- Fraudebestrijding (bijvoorbeeld door sociale diensten of verzekeraars)
- Creditscores
- Genetische persoonsgegevens
- Gezondheidsgegevens (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, re-integratiebedrijven, verzekeraars)
- (flexibel) cameratoezicht
- Controle werknemers (bijvoorbeeld controle van e-mail of internetgebruik, GPS-systemen of cameratoezicht ten behoeve van diefstal- of fraudebestrijding)
- Locatiegegevens en communicatiegegevens
- Internet of things (bijvoorbeeld slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme meters)
- Biometrische gegevens (met als doel identificatie van een mens)
Grootschalig? Stelselmatig?
Voor het merendeel van deze verwerkingen is de DPIA alleen verplicht als sprake is van een grootschalige verwerking dan wel van stelselmatig monitoren.
Of sprake is van “grootschalig verwerken” moet worden beoordeeld aan de hand van het aantal betrokkenen (waarvan gegevens worden verwerkt), de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte. Van “stelselmatig” is volgens de AP sprake als de verwerking volgens een bepaald systeem plaatsvindt, bijvoorbeeld als de verwerking plaatsvindt op basis van een beleid van de organisatie. Dit is al snel het geval. Cameratoezicht of controle van internetverkeer op de werkvloer zijn hier voorbeelden van.
Eisen DPIA
Een DPIA moet voldoen aan de volgende basisvoorwaarden:
- De beoogde verwerking en de doeleinden ervan worden systematisch beschreven (inclusief duiding van het gerechtvaardigd belang indien de verwerking daarop wordt gebaseerd)
- De noodzaak en proportionaliteit van de verwerking wordt beoordeeld.
- De privacyrisico’s voor de betrokkenen worden beoordeeld.
- De beoogde maatregelen om die risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en om aan te tonen dat aan de AVG wordt voldaan, worden beschreven.
Het uitvoeren van een DPIA is geen eenmalige aangelegenheid. De AP merkt het aan als een “continu proces”, waarin de organisatie altijd moet blijven monitoren of de gegevensverwerking verandert. Bijvoorbeeld als er een nieuwe technologie wordt toegepast of als het doel wijzigt. Een nieuwe DPIA kan dan verplicht zijn. Volgens de AP is het daarom aan te raden om periodiek een DPIA uit te voeren, ook als de verwerking niet is veranderd, bijvoorbeeld een keer per drie jaar.
Voorafgaande raadpleging AP
De DPIA maakt duidelijk of de verwerking een hoog risico voor de privacy van de betrokkene oplevert. Als dat het geval is, en het niet lukt om maatregelen te vinden die dit hoge risico beperken (“restrisico”), dan moet de organisatie de AP voorafgaand raadplegen. De verwerking mag dan pas starten ná goedkeuring van de AP.
Meer weten? Hulp nodig?
Het Privacyteam van Banning Advocaten kan u helpen bij de beoordeling of een DPIA verplicht is, hoe die kan worden uitgevoerd en of de AP moet worden geraadpleegd. Neem vrijblijvend contact op met Suzan Wolters.