Gegevensbeschermingseffectbeoordeling

Geschreven door: Redactie op

De Autoriteit Persoonsgegevens heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie.

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om maatregelen te kunnen nemen om die risico’s te verkleinen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

DPIA verplicht

Uitvoering van een DPIA is in ieder geval verplicht in onderstaande gevallen:
1. Heimelijk onderzoek
Heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van online handhaving van auteursrechten. Geldt ook voor heimelijk cameratoezicht door werkgevers.
2. Zwarte lijsten
Als persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met derden.
3. Fraudebestrijding
Grootschalige verwerkingen van (bijzondere) persoonsgegevens en/of stelselmatige monitoring in het kader van fraudebestrijding.
4. Creditscores
Grootschalige verwerkingen en/of monitoring die leiden tot inschattingen van de kredietwaardigheid van natuurlijke personen.
5. Financiële situatie
Grootschalige verwerkingen en/of monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden.
6. Genetische persoonsgegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens.
7. Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid. Individuele artsen en zorgprofessionals zijn op door de AVG uitgezonderd van de verplichting een DPIA uit te voeren.
8. Samenwerkingsverbanden
Het delen van persoonsgegevens in samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (over gezondheid, verslaving, armoede, schulden, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, in wijkteams, veiligheidshuizen e.d.
9. Cameratoezicht
Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.
10. Flexibel cameratoezicht
Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht.
11. Controle werknemers
Grootschalige verwerking van persoonsgegevens en/of stelselmatig monitoring van activiteiten van
werknemers (controle e-mail en internetgebruik, GPS-systemen in (vracht)auto’s cameratoezicht).
12. Locatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen.
13. Communicatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.
14. Internet of things
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen (‘internet of things’- toepassingen, zoals slimme televisies, huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.).
15. Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
16. Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.
17. Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Op grond van de AVG is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

Naam auteur: Redactie
Geschreven op: 3 december 2019

Reageer op dit artikel
















Even geduld a.u.b.

Agenda

Afbeelding

Ontmoet vakgenoten en bespreek actuele onderwerpen in de LinkedIn-groep van het Nederlands Juristenblad.

 

 



Lees en doorzoek het NJB online in Navigator

Inloggen

U maakt gebruik van een verouderde browser

Het gebruik van een verouderde browser maakt uw computer onveilig en tevens ongeschikt voor het optimaal raadplegen van deze website.

De website van het NJB - Nederlands Juristenblad is namelijk geoptimaliseerd voor een nieuwere versie van uw browser.
In de meeste gevallen waarin het fout gaat, betreft dit het gebruik van de Internet Explorer browserversie 7 of 8.
Deze website is geoptimaliseerd voor Internet Explorer 9 en hoger, Google Chrome, Safari en Firefox.

Bekijk hier of er een nieuwere versie van uw browser beschikbaar is.