De Autoriteit Persoonsgegevens heeft recent een besluit gepubliceerd dat ziet op de vraag wanneer een gegevensbeschermingseffectbeoordeling (data protection impact assessment, hierna: DPIA) verplicht is. Wat is een DPIA? En voor welke verwerkingen is deze verplicht?
DPIA
Op het moment dat bij een bepaalde verwerking van persoonsgegevens een groot risico bestaat voor de rechten en vrijheden van personen moet een DPIA worden uitgevoerd. Hiermee wordt beoordeeld wat het effect is van de beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens.
Een van de gevallen waarin een DPIA is vereist, wordt in de AVG omschreven als:
‘een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen.’
Het besluit
Het mag duidelijk zijn dat met deze tekst niet duidelijk is wanneer een DPIA precies verplicht is. Daarom heeft de Autoriteit nu een besluit gepubliceerd waarin duidelijk wordt gemaakt voor welke soorten verwerkingen een DPIA verplicht is.
Het besluit met daarin de lijst is te vinden via deze link. Voorbeelden uit deze lijst zijn het doen van onderzoek in het kader van fraudebescherming en heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding.
Hoe kan een DPIA uitgevoerd worden?
Een DPIA kan op verschillende manieren worden uitgevoerd, zo lang maar wordt voldaan aan de voorwaarden die de Autoriteit Persoonsgegevens hieraan stelt.
Vragen over de DPIA?
Neem contact op met medewerkers van het AVG-team.
0493 352070
0493 326688