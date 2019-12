De Autoriteit Persoonsgegevens heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) is vereist. Een DPIA is verplicht als de verwerking van gegevens vermoedelijk een hoog privacyrisico oplevert voor de mensen van wie een organisatie gegevens wil verwerken. Het besluit is in de Staatscourant gepubliceerd.

Wat is een DPIA?

Een Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking te inventariseren. En om daarna maatregelen te kunnen nemen om de risico’s te verminderen.

Een DPIA is verplicht als een gegevensverwerking vermoedelijk een hoog privacyrisico oplevert voor de betrokkenen: de mensen van wie een organisatie gegevens wil verwerken.

Deze DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

Verplichte lijst

In de Algemene verordening gegevensbescherming (AVG) staat dat alle privacytoezichthouders in de EU zo’n DPIA-lijst moeten maken en publiceren.

De AVG vermeldt ook dat de privacytoezichthouders deze lijst met elkaar moeten afstemmen als er bepaalde verwerkingen op staan, zoals het observeren van het gedrag van betrokkenen in verschillende lidstaten.

Wijzigingen

De definitieve DPIA-lijst van de AP kent een aantal wijzigingen ten opzichte van de eerdere lijst:

een extra categorie van verwerkingen is toegevoegd: biometrische gegevens;

een paar tekstuele wijzigingen.

Biometrische gegevens

Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in principe verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet AVG. Alleen als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

Overzicht gegevensverwerkingen

Naast de biometrische gegevens is voor de volgende verwerkingen van persoonsgegevens een DPIA verplicht:

heimelijk onderzoek zwarte lijsten fraudebestrijding creditscores financiële situatie genetische persoonsgegevens gezondheidsgegevens samenwerkingsverbanden cameratoezicht flexibel cameratoezicht controle werknemers locatiegegevens communicatiegegevens internet of things profilering observatie en beïnvloeding van gedrag

Besluit inzake lijst verwerkingen persoonsgegevens waarvoor gegevensbeschermingseffectbeoordeling (DPIA) verplicht is

Meer over de DPIA op site Autoriteit Persoonsgegevens