Home » Definitieve lijst verwerking persoonsgegevens met verplichte DPIA

Definitieve lijst verwerking persoonsgegevens met verplichte DPIA

Nieuws

Een definitieve lijst van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) is vereist, is vastgesteld.

5 december 2019 door Salaris Vanmorgen

Deze lijst is vastgesteld door de Autoriteit Persoonsgegevens en is in een Besluit in de Staatscourant gepubliceerd.

Wat is een DPIA?

Een Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking te inventariseren. En om daarna maatregelen te kunnen nemen om de risico’s te verminderen.

Een DPIA is verplicht als een gegevensverwerking vermoedelijk een hoog privacyrisico oplevert voor de betrokkenen: de mensen van wie een organisatie gegevens wil verwerken.

Deze DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

Verplichte lijst

In de Algemene verordening gegevensbescherming (AVG) staat dat alle privacytoezichthouders in de EU zo’n DPIA-lijst moeten maken en publiceren.

De AVG vermeldt ook dat de privacytoezichthouders deze lijst met elkaar moeten afstemmen als er bepaalde verwerkingen op staan, zoals het observeren van het gedrag van betrokkenen in verschillende lidstaten.

Wijzigingen

De definitieve DPIA-lijst van de AP kent een aantal wijzigingen ten opzichte van de eerdere lijst:

  • een extra categorie van verwerkingen is toegevoegd: biometrische gegevens;
  • een paar tekstuele wijzigingen.

Biometrische gegevens

Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in principe verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet AVG. Alleen als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

Overzicht gegevensverwerkingen

Naast de biometrische gegevens is voor de volgende verwerkingen van persoonsgegevens een DPIA verplicht:

  1. heimelijk onderzoek
  2. zwarte lijsten
  3. fraudebestrijding
  4. creditscores
  5. financiële situatie
  6. genetische persoonsgegevens
  7. gezondheidsgegevens
  8. samenwerkingsverbanden
  9. cameratoezicht
  10. flexibel cameratoezicht
  11. controle werknemers
  12. locatiegegevens
  13. communicatiegegevens
  14. internet of things
  15. profilering
  16. observatie en beïnvloeding van gedrag

Besluit inzake lijst verwerkingen persoonsgegevens waarvoor gegevensbeschermingseffectbeoordeling (DPIA) verplicht is

Meer over de DPIA op site Autoriteit Persoonsgegevens

 

Tags: Accountancy, Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens

Gerelateerde artikelen