AUTORITEIT PERSOONSGEGEVENS MAAKT DEFINITIEVE DPIA-LIJST BEKEND
De Autoriteit Persoonsgegevens (AP) heeft op 27 november 2019 de definitieve DPIA lijst gepubliceerd van verwerkingen waarvoor een DPIA (Data Protection Impact Assessment oftewel gegevensbeschermingseffect- beoordeling) verplicht is.
Op grond van artikel 35 van de Algemene Verordening Gegevensbescherming (AVG) is het voor bepaalde risicovolle verwerkingen verplicht om voorafgaand aan die verwerking een DPIA uit te voeren. Het doel van een DPIA is om de risico’s in kaart te brengen van een voorgenomen verwerking van persoonsgegevens, en aan de hand van een uitgevoerde DPIA die voorgenomen verwerking bij te stellen, dan wel daarover verantwoording af te leggen.
Nadat in 2017 op Europees niveau reeds richtsnoeren waren vastgesteld om te beoordelen of een DPIA verplicht was of niet, heeft de AP nu een lijst opgesteld in welke gevallen het verplicht is een DPIA uit te voeren. De lijst is overigens niet limitatief. Wanneer een voorgenomen verwerking een hoog risico inhoudt, dan is men nog steeds verplicht een DPIA uit te voeren, ook al staat die niet op de lijst. Bij de navolgende verwerkingen dient volgens de AP een DPIA te worden uitgevoerd:
- Heimelijk onderzoek
Grootschalige verwerkingen van persoonsgegevens en/of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten). Een DPIA is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers. - Zwarte lijsten
Verwerkingen waarbij persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met derden. - Fraudebestrijding
Grootschalige verwerkingen van (bijzondere) persoonsgegevens en/of stelselmatige monitoring in het kader van fraudebestrijding (bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars). - Creditscores
Grootschalige gegevensverwerkingen en/of stelselmatige monitoring die leiden tot of gebruik maken van inschattingen van kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore. - Financiële situatie
Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen. - Genetische persoonsgegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens (bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken). - Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid. - Samenwerkingsverbanden
Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten. - Cameratoezicht
Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones. - Flexibel cameratoezicht
Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht (camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten). - Controle werknemers
Grootschalige verwerking van persoonsgegevens en/of stelselmatig monitoring van activiteiten van werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding. - Locatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer). - Communicatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker. - Internet of things
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. - Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag. - Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld. - Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.
Sanctie
Wanneer niet wordt voldaan aan de verplichting om een DPIA uit te voeren kan de AP besluiten een boete op te leggen. Op basis van de door haar gepubliceerde boetebeleidsregels kan voor het niet voldoen aan de verplichting om een DPIA uit te voeren een boete worden opgelegd conform categorie II. Dat betekent een basisboete van € 310.000,– met een bandbreedte tussen de € 120.000,– en € 500.000,–. De verplichting moet dus zeker niet lichtvaardig worden opgevat.
Voor meer informatie
Wilt u meer weten over de privacywetgeving en/of u vraagt u zich af of u ook verplicht bent een DPIA uit te voeren? Neem dan gerust contact op.
Erik Kuper
kuper@vanzeijlbijlaartsen.nl
T: 0341- 420606
Gerelateerd
-
10 januari 2025
VERHUURDERS OPGELET: ENERGIELABEL NA PEILDATUM TELT NIET MEER VOOR PUNTENTELLING WOONRUIMTE
-
11 oktober 2024
Hoge Raad schept duidelijkheid over voorwaarden bestelproces bij online aankoop
-
13 maart 2024
Verlenging wet maximering huurprijsverhogingen geliberaliseerde huurovereenkomsten?
-
1 februari 2024
WET HUURBESCHERMING WEESKINDEREN