GDPR DPIA – wat is dit?

Voordat u persoonlijke gegevens verwerkt, dient u als verwerkingsverantwoordelijke te controleren of de verwerking al dan niet een significant risico inhoudt voor de vrijheden en rechten van de betrokkenen. GDPR noemt deze procedure Data Privacy Impact Assessment. Deze procedure is essentieel voor het begrijpen van eventuele verwerkingsrisico’s en de manier waarop deze kunnen worden ondervangen.

De meeste kleine en middelgrote ondernemingen hoeven mogelijks geen DPIA uit te voeren. Bezoek de site van uw nationale gegevensbeschermingsautoriteit om erachter te komen wat de vereisten zijn.

Als uw verwerking niet op uw autoriteitenlijst staat, moet u alsnog controleren of uw voorgenomen verwerking betrekking heeft op een van de onderstaande activiteiten, want dan dient er alsnog een DPIA te worden uitgevoerd.

• een beoordeling van persoonlijke aspecten zoals profilering, gevolgd door een beslissing over de betrokken natuurlijke persoon;
• een grootschalige verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9 of 10 van de AVG;
• systematische en grootschalige monitoring van openbaar toegankelijke ruimtes.

Als voorbeeld voegen we hieronder de lijst met verwerkingen toe waarvoor de Belgische overheid (GBA) een impactanalyse vereist.

• waar bij de verwerking gebruik wordt gemaakt van biometrische gegevens om de betrokkenen op een unieke manier te identificeren die zich op een openbare plaats of in voor het publiek toegankelijke privéruimten bevinden;
• wanneer persoonsgegevens van derden worden verzameld om vervolgens in aanmerking te worden genomen bij de beslissing om een ​​specifieke serviceovereenkomst met een natuurlijke persoon te weigeren of te beëindigen;
• wanneer gezondheidsgegevens van een betrokkene automatisch worden verzameld door middel van een actieve implanteerbare medische faciliteit;
  wanneer op grote schaal gegevens worden verzameld bij derden om de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of bewegingen van natuurlijke personen te analyseren of te voorspellen;
• wanneer bijzondere categorieën persoonsgegevens in de zin van artikel 9 van de AVG of gegevens van zeer persoonlijke aard (zoals gegevens over armoede, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens over huishoudelijke en privéactiviteiten, locatie data) systematisch uitgewisseld tussen meerdere controllers;
• wanneer er een grootschalige verwerking is van gegevens gegenereerd door apparaten met sensoren die gegevens verzenden via internet of via een ander medium (‘internet of things’-toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, verbonden speelgoed, slimme steden , slimme energiemeters, etc.) en deze verwerking dient om de economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of bewegingen van natuurlijke personen te analyseren of te voorspellen;
• wanneer er sprake is van grootschalige en / of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metadata of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer ) wanneer de verwerking niet strikt noodzakelijk is voor een dienst waarom de betrokkene vraagt;
• waar sprake is van grootschalige verwerking van persoonsgegevens waarbij het gedrag van natuurlijke personen systematisch wordt geobserveerd, verzameld, geregistreerd of beïnvloed door geautomatiseerde verwerking, ook voor reclamedoeleinden.

Als u verwerkingen uitvoert die op de lijst voorkomen, bent u verplicht om een ​​DPIA uit te voeren voordat u met uw verwerking begint. De uitkomst hiervan kan ook leiden tot de conclusie dat voorafgaande raadpleging van uw nationale autoriteit noodzakelijk is.

Niet alle verwerkingen waarvoor een voorafgaande DPIA wordt uitgevoerd, vereisen voorafgaand advies van de gegevensbeschermingsautoriteit. U moet uw nationale autoriteit raadplegen voordat u met uw verwerking begint als uw DPIA een hoog restrisico aan het licht brengt. Een dergelijk risico bestaat wanneer het aanhoudt ondanks de maatregelen die u heeft genomen of gaat nemen om het risico te verkleinen. Raadpleeg voor meer informatie de website van uw nationale autoriteit .