Gepubliceerd op 23 augustus 2018 categorieën Privacy & gegevensbescherming
De Algemene Verordening Gegevensbescherming (“AVG”) bepaalt in artikel 35 dat organisaties onder bepaalde voorwaarden een zogenaamde gegevensbeschermingseffectbeoordeling moeten uitvoeren. Aangezien dit een nogal onhandig woord is (graag geen Scrabble grappen meer), wordt meestal de Engelse terminologie Data Protection Impact Assessment (afgekort “DPIA”) gebruikt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen voordat met de verwerking wordt gestart en om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Een belangrijk instrument dus, maar wanneer moet een DPIA worden uitgevoerd?
Artikel 35 AVG biedt een paar aanknopingspunten maar blijft erg vaag. Het concreet maken van de situaties waaronder een DPIA nodig is, wordt overgelaten aan de toezichthoudende autoriteiten in de verschillende Lidstaten. Artikel 35 lid 4 formuleert dit zelfs als een verplichting.
De Autoriteit Persoonsgegevens heeft aan deze opdracht gehoor gegeven en heeft een 16-tal situaties geformuleerd waarin een DPIA in ieder geval nodig is. Het gaat om een niet-uitputtende lijst. Als een verwerking niet op de lijst staat, zal de organisatie alsnog zelf moeten beoordelen of een DPIA vereist is. De volledige lijst is onder deze blog opgenomen.
Overigens geeft artikel 34 lid 5 AVG aan dat er ook een lijst kan worden opgesteld van het soort verwerkingen waarvoor geen DPIA vereist is. Aangezien het opstellen van een dergelijke lijst optioneel is, is het de vraag of de AP daartoe over zal gaan. Wellicht dat de AP een dergelijke lijst wel opstelt als uit de praktijk blijkt dat er voor wat betreft bepaalde verwerkingen onduidelijkheden ontstaan in de markt.
Duitsland
In Duitsland is eind juli 2018 ook een uniforme lijst met verwerking gepubliceerd waarvoor een DPIA verplicht is. Een “uniforme” lijst omdat de 17 verschillende toezichthoudende autoriteiten in Duitsland eerder deze zomer kennelijk 14(!) verschillende lijsten hadden uitgebracht. De Duitse lijst overlapt deels met de Nederlandse lijst en bevat ook 16 voorbeelden maar de beide lijsten zijn niet gelijk.
Zo gaat de Nederlandse lijst, anders dan de Duitse, expliciet in op de verwerking van genetische persoonsgegevens, samenwerkingsverbanden, the internet of things en verwerkingen van camera’s op kleding, helmen en/of dashboards van hulpdiensten. De Duitse lijst bevat op haar beurt expliciete verwijzingen naar artificial intelligence, het anonimiseren van bijzondere persoonsgegevens, niet grootschalige verwerking van bijzondere persoonsgegevens zoals met fitness armbanden, verwerking van gegevens in het kader van een beroepsgeheim en zorgverlening op afstand (o.a. arts bezoek via videotelefonie).
1. Heimelijk onderzoek
Grootschalige en/of systematische verwerkingen van persoonsgegevens waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen.
Bijvoorbeeld heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten. Heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een DPIA te worden uitgevoerd).
2. Zwarte lijsten
Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag (artikel 33, lid 4, aanhef en onder c, UAVG)of gegevens over slecht betalingsgedrag door organisaties of particulieren worden verwerkt en gedeeld met derden.
Bijvoorbeeld zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus.
3. Fraudebestrijding
Grootschalige en/of systematische verwerkingen van (bijzondere) persoonsgegevens in het kader van fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.
4. Creditscores
Grootschalige en/of systematische gegevensverwerkingen die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.
5. Financiële situatie
Grootschalige en/of systematische verwerkingen van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.
6. Genetische persoonsgegevens
Grootschalige en/of systematische verwerkingen van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, bio-databanken.
7. Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid.
Let op: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren.
8. Samenwerkingsverbanden
Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen. Bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.
9. Cameratoezicht
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.
10. Flexibel cameratoezicht
Grootschalig en/of systematisch gebruik van flexibel cameratoezicht. Bijvoorbeeld camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.
11. Controle werknemers
Grootschalige en/of systematische verwerking van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding.
12. Locatiegegevens
Grootschalige en/of systematische verwerking van locatiegegevens van of herleidbaar tot natuurlijke personen. Bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.
13. Communicatiegegevens
Grootschalige en /of systematische verwerking van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.
14. Internet of things
Grootschalige en/of systematische verwerkingen door verantwoordelijken van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.
15. Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering). Bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
16. Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.
Bron: autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.