Volg Software Zaken

Autoriteit Persoonsgegevens publiceert DPIA-lijst

| Jelle Hoekstra | Privacy
Afbeelding

Op 27 november 2019 heeft de Autoriteit Persoonsgegevens een lijst gepubliceerd met verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) verplicht is. De lijst bestaat uit 17 categorieën verwerkingen. Verwerkt u persoonsgegevens in één van deze categorieën? Dan is het uitvoeren van een DPIA altijd verplicht.

Achtergrond

Een DPIA is een instrument om privacyrisico’s van een gegevensverwerking in kaart te brengen en daar passende maatregelen bij te bedenken. Dit wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

In de Algemene Verordening Gegevensbescherming (AVG) staat dat de nationale toezichthouders een lijst met verplichte DPIA’s moeten publiceren (artikel 34 lid 3 AVG). Om deze reden is de DPIA-lijst gepubliceerd in de Staatscourant na afstemming met de andere nationale toezichthouders in Europa.

Eerder publiceerden we al een DPIA-template met uitleg: de criteria en vuistregel uit deze blog gelden nog steeds. De DPIA-lijst van de Autoriteit Persoonsgegevens geeft aan in welke gevallen een DPIA altijd gedaan moet worden. 

Overzicht 17 categorieën

Bekijk de lijst met voorbeelden om erachter te komen of u aan de slag moet met DPIA’s:

  1. Heimelijk onderzoek
    Dit gaat om onderzoek waar de betrokkene niet van op de hoogte is, bijvoorbeeld door particuliere recherchebureaus, fraudebestrijding of online handhaving van auteursrechten. Een DPIA is ook verplicht bij (onaangekondigd) cameratoezicht door werkgevers om diefstal of fraude door werknemers te bestrijden.
  2. Zwarte lijsten
    Dit betreft lijsten of registraties van ongewenste personen, bedrijven, websites of andere zaken. Denk hierbij aan waarschuwingslijsten die worden gebruikt door verzekeraars, horecabedrijven, winkelbedrijven en telecomproviders. Dit geldt ook voor zwarte lijsten die gaan over onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus.
  3. Fraudebestrijding
    Grootschalige verwerkingen en/of stelselmatige monitoring van (bijzondere) persoonsgegevens voor fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.
  4. Creditscores
    Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.
  5. Financiële situatie
    Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie, of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.
  6. Genetische persoonsgegevens
    Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens. Bijvoorbeeld DNA-analyses om persoonlijke kenmerken in kaart te brengen, bio-databanken.
  7. Gezondheidsgegevens
    Grootschalige verwerkingen van gegevens over gezondheid. Denk hierbij aan instellingen voor gezondheidszorg, maatschappelijke dienstverlening, arbodiensten, re-integratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars en onderzoeksinstituten. Ook de elektronische uitwisseling van gegevens over gezondheid vallen hieronder.
  8. Samenwerkingsverbanden
    Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard met elkaar uitwisselen. Bijvoorbeeld gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk. Dit gebeurt onder andere in wijkteams, veiligheidshuizen of informatieknooppunten.
  9. Cameratoezicht
    Grootschalige verwerkingen en/of stelselmatige monitoring van openbaar toegankelijke ruimten met camera’s, webcams of drones.
  10. Flexibel cameratoezicht
    Grootschalig en/of systematisch gebruik van flexibel cameratoezicht. Bijvoorbeeld camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.
  11. Controle werknemers
    Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te monitoren. Bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht voor diefstal- en fraudebestrijding.
  12. Locatiegegevens
    Grootschalige verwerkingen en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen. Bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.
  13. Communicatiegegevens
    Grootschalige verwerkingen en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker.
  14. Internet of things
    Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.
  15. Profilering
    Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering). Bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
  16. Observatie en beïnvloeding van gedrag
    Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking gedrag van natuurlijke personen wordt geobserveerd of beïnvloed, dan wel gegevens die daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.
  17. Biometrische gegevens
    Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Let op: dit is alleen toegestaan als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Aan de slag

Verwerkt u persoonsgegevens in één van de bovenstaande categorieën? Dan is het tijd om een DPIA uit te voeren. We hebben een template voor een DPIA ontwikkeld dat u kunt downloaden. In de eerder genoemde blog vindt u meer uitleg over de opbouw van het DPIA-template. De Franse toezichthouder (CNIL) heeft op basis van zijn eigen template een praktische open source DPIA-tool ontwikkeld.

Image credit: @snowjam via Unsplash

Jelle Hoekstra
Author: Jelle Hoekstra
Jelle Hoekstra LLM is consultant en mediator bij SoftwareZaken. Hij is gecertificeerd in privacy (CIPP/E & CIPM), security (ISO27001 Lead Auditor) en mediaton (Toolkit Company). Eerder werkte hij voor diverse organisaties als juridisch adviseur en Privacy & Security Officer. Jelle is lid van de International Association for Privacy Professionals (IAPP), het Nederlands Genootschap voor Functionarissen van Gegevensbescherming (NGFG) en YMI-lid van het International Mediation Institute (IMI).