Ondernemingsrecht in de praktijk

Ondernemingsrecht in de praktijk

Wanneer is een gegevensbeschermingseffectbeoordeling (DPIA) nodig?

Hoewel de Algemene Verordening Gegevensbescherming (AVG) al sinds 25 mei 2018 van kracht is, publiceerde de Autoriteit Persoonsgegevens (AP) afgelopen maand een definitieve lijst van verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) nodig is. DPIA staat voor Data protection impact assessment.

Er bestond al een lijst die via de website van de AP was in te zien, maar een belangrijke toevoeging betreft de verwerking van biometrische gegevens. De lijst is in te zien op de website van de AP.

Het is belangrijk dat organisaties zich realiseren dat een DPIA verplicht is zodra men voornemens is om gegevens te gaan verwerken die een hoog privacy risico opleveren voor mensen van wie de organisatie gegevens gaat verwerken. Zo is een DPIA verplicht wanneer men systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op automatische gegevensverwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen. Ook bij het op grote schaal verwerken van bijzondere persoonsgegevens of strafrechtelijke gegevens is een DPIA noodzakelijk evenals wanneer men op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (cameratoezicht). Hoewel ook de definitieve lijst niet uitputtend is, biedt het gegevensverwerkers wel een handvat.

Comments are closed.