Voor bepaalde soorten verwerkingen moet verplicht een Data Protection Impact Assessment (“DPIA”) worden uitgevoerd. In het besluit van de Autoriteit Persoonsgegevens (“AP”) dat deze week is gepubliceerd, kunt u zien voor welke verwerkingen deze DPIA-plicht geldt.
De lijst van de AP borduurt voort op de al eerder door de AP gepubliceerde informatie op haar website. Nieuw is dat een DPIA óók moet worden uitgevoerd voor de start van een verwerking van biometrische gegevens (bijvoorbeeld vingerafdrukken).
De lijst van de AP bevat een opsomming van verschillende typen verwerkingen. Per type verwerking geeft de AP aan onder welke voorwaarden een DPIA verplicht is. Het gaat onder meer om verwerkingen op het gebied van:
Voor het merendeel van deze verwerkingen is de DPIA alleen verplicht als sprake is van een grootschalige verwerking dan wel van stelselmatig monitoren.
Of sprake is van “grootschalig verwerken” moet worden beoordeeld aan de hand van het aantal betrokkenen (waarvan gegevens worden verwerkt), de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte. Van “stelselmatig” is volgens de AP sprake als de verwerking volgens een bepaald systeem plaatsvindt, bijvoorbeeld als de verwerking plaatsvindt op basis van een beleid van de organisatie. Dit is al snel het geval. Cameratoezicht of controle van internetverkeer op de werkvloer zijn hier voorbeelden van.
Een DPIA moet voldoen aan de volgende basisvoorwaarden:
Het uitvoeren van een DPIA is geen eenmalige aangelegenheid. De AP merkt het aan als een “continu proces”, waarin de organisatie altijd moet blijven monitoren of de gegevensverwerking verandert. Bijvoorbeeld als er een nieuwe technologie wordt toegepast of als het doel wijzigt. Een nieuwe DPIA kan dan verplicht zijn. Volgens de AP is het daarom aan te raden om periodiek een DPIA uit te voeren, ook als de verwerking niet is veranderd, bijvoorbeeld een keer per drie jaar.
De DPIA maakt duidelijk of de verwerking een hoog risico voor de privacy van de betrokkene oplevert. Als dat het geval is, en het niet lukt om maatregelen te vinden die dit hoge risico beperken (“restrisico”), dan moet de organisatie de AP voorafgaand raadplegen. De verwerking mag dan pas starten ná goedkeuring van de AP.
Het Privacyteam van Banning Advocaten kan u helpen bij de beoordeling of een DPIA verplicht is, hoe die kan worden uitgevoerd en of de AP moet worden geraadpleegd. Neem vrijblijvend contact op met Suzan Wolters.