Deze lijst is vastgesteld door de Autoriteit Persoonsgegevens en is in een Besluit in de Staatscourant gepubliceerd.
Wat is een DPIA?
Een Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking te inventariseren. En om daarna maatregelen te kunnen nemen om de risico’s te verminderen.
Een DPIA is verplicht als een gegevensverwerking vermoedelijk een hoog privacyrisico oplevert voor de betrokkenen: de mensen van wie een organisatie gegevens wil verwerken.
Deze DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.
Verplichte lijst
In de Algemene verordening gegevensbescherming (AVG) staat dat alle privacytoezichthouders in de EU zo’n DPIA-lijst moeten maken en publiceren.
De AVG vermeldt ook dat de privacytoezichthouders deze lijst met elkaar moeten afstemmen als er bepaalde verwerkingen op staan, zoals het observeren van het gedrag van betrokkenen in verschillende lidstaten.
Wijzigingen
De definitieve DPIA-lijst van de AP kent een aantal wijzigingen ten opzichte van de eerdere lijst:
- een extra categorie van verwerkingen is toegevoegd: biometrische gegevens;
- een paar tekstuele wijzigingen.
Biometrische gegevens
Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in principe verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet AVG. Alleen als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.
Overzicht gegevensverwerkingen
Naast de biometrische gegevens is voor de volgende verwerkingen van persoonsgegevens een DPIA verplicht:
- heimelijk onderzoek
- zwarte lijsten
- fraudebestrijding
- creditscores
- financiële situatie
- genetische persoonsgegevens
- gezondheidsgegevens
- samenwerkingsverbanden
- cameratoezicht
- flexibel cameratoezicht
- controle werknemers
- locatiegegevens
- communicatiegegevens
- internet of things
- profilering
- observatie en beïnvloeding van gedrag
Meer over de DPIA op site Autoriteit Persoonsgegevens