AP maakt definitieve DPIA-lijst bekend

Een DPIA is in essentie een vragenlijst aan de hand waarvan een organisatie de risico’s in kaart kan brengen van een voorgenomen verwerking van persoonsgegevens. Het is de bedoeling dat een organisatie de uitkomsten vervolgens gebruikt om aanpassingen door te voeren in het oorspronkelijke projectplan. Een DPIA is ook een goed instrument om verantwoording af te leggen over gemaakte keuzes binnen een project. Ook kunnen de uitkomsten aanleiding geven tot raadpleging van de toezichthouder.

In het Nederlands heet een DPIA overigens een ‘gegevensbeschermingseffectbeoordeling’ – dan weet u gelijk waarom ik hier de Engelse term zal gebruiken.

De AVG schrijft niet in detail voor hoe een DPIA precies moet worden uitgevoerd. Wel hebben de Europese toezichthouders richtlijnen opgesteld met criteria waar een DPIA volgens hen minimaal aan moet voldoen. In de praktijk wordt vaak gebruik gemaakt van het PIA-model van de Rijksoverheid, het PIA-model van de beroepsorganisatie van IT-auditors (NOREA) of van het DPIA-model van de Britse toezichthouder ICO. Het ICO-model is het meest handzaam, maar daarom niet altijd even geschikt voor de echt complexe verwerkingen van persoonsgegevens. Het Rijksoverheid-model is wat meer toegesneden op overheden en het NOREA-model heeft als nadeel dat het al wat ouder is (2015). Het is overigens niet verplicht om van een van deze modellen gebruik te maken; een eigen template mag ook.

Het uitvoeren van een DPIA is soms verplicht. Dit is het geval wanneer een voorgenomen verwerking een hoog risico inhoudt voor de personen van wie persoonsgegevens zullen worden verwerkt. De DPIA-lijst noemt 17 typen verwerkingen waarbij in ieder geval sprake is van zo’n hoog risico. Het betreft onder meer:

• Grootschalige verwerkingen van persoonsgegevens en-of stelselmatige monitoring waarbij informatie wordt verzameld door middel van heimelijk onderzoek (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus). Een DPIA is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een DPIA te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de werknemer en de werkgever).
• Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen).
• Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid (let wel: individuele artsen en individuele zorgprofessionals zijn uitgezonderd van deze verplichting).
• Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens door of via IoT-toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, smart cities, slimme energiemeters, medische hulpmiddelen, et cetera.
• Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.

De lijst is overigens niet uitputtend. Wanneer een voorgenomen verwerking in een concreet geval een hoog risico inhoudt, dan is het nog steeds verplicht een DPIA uit te voeren, ook al komt de verwerking niet voor op de DPIA-lijst.

Heeft u vragen over een DPEA, neemt u dan contact op met Jeroen van Helden.