Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Autoriteit Persoonsgegevens legt vast wanneer DPIA verplicht is

2 december 2019Informatiemaatschappij, Privacy: gegevensbescherming en de AVG, Sociaal domein

De Autoriteit Persoonsgegevens heeft vastgesteld wanneer het uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht is. De lijst is afgestemd met de andere privacytoezichthouders in de EU en stond ook al eerder op de website van de AP. In de definitieve lijst is nu ook het verwerken van biometrische gegevens toegevoegd.

Wat is een DPIA?

Het uitvoeren van een DPIA is een van de verplichtingen van de verwerkingsverantwoordelijke onder de AVG. Decentrale overheden krijgen hiermee te maken wanneer zij een verwerking van persoonsgegevens willen uitvoeren die een hoog risico voor de privacy inhoudt. Door eerst een DPIA uit te voeren kan vooraf een inschatting gemaakt worden van de gevolgen die de verwerking heeft voor de privacy van de betrokkene en kunnen passende maatregelen worden genomen om de AVG na te leven.

Wanneer is er sprake van een hoog risico?

De Europese privacytoezichthouders hebben negen criteria opgesteld die kunnen duiden op een hoog risico voor de privacyrechten van betrokkenen. Zij geven als vuistregel dat wanneer een verwerking aan twee van deze criteria voldoet, er waarschijnlijk een DPIA moet worden uitgevoerd. In de AVG is opgenomen dat de AP een lijst moet opstellen van het soort verwerkingen waarvoor een DPIA in elk geval verplicht is. Het is dus mogelijk dat een verwerking niet op de lijst staat, maar het uitvoeren van een DPIA toch verplicht is.

Toezichthouders: criteria om zelf vast te stellen of een DPIA noodzakelijk is
  • Beoordelen van mensen op basis van persoonskenmerken (evaluatie of scoretoekenning)
  • Geautomatiseerde beslissingen met rechtsgevolg of vergelijkbaar gevolg
  • Stelselmatige monitoring
  • Gevoelige gegevens
  • Grootschalige gegevensverwerkingen
  • Matchen of koppelen van datasets
  • Gegevens over kwetsbare personen
  • Gebruik van nieuwe technologieën of oplossingen
  • De verwerking leidt tot blokkering van een recht, dienst of contract

De lijst van de AP

Op basis van de criteria heeft de AP zeventien verwerkingen geïdentificeerd waarbij het uitvoeren van een DPIA voorafgaand aan de verwerking verplicht is.

1. Heimelijk onderzoek
Grootschalige verwerkingen van persoonsgegevens en/of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten). Een gegevensbeschermingseffectbeoordeling (DPIA) is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)).
2. Zwarte lijsten
Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met derden (artikel 33, vierde lid, aanhef en onder c, van de Uitvoeringswet Algemene verordening gegevensbescherming) (zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus).
3. Fraudebestrijding
Grootschalige verwerkingen van (bijzondere) persoonsgegevens en/of stelselmatige monitoring in het kader van fraudebestrijding (bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars).
4. Creditscores
Grootschalige gegevensverwerkingen en/of stelselmatige monitoring die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore.
5. Financiële situatie
Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen).
6. Genetische persoonsgegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens (bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken).
7. Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid. Let wel: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren.
8. Samenwerkingsverbanden
Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.
9. Cameratoezicht
Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.
10. Flexibel cameratoezicht
Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht (camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten).
11. Controle werknemers
Grootschalige verwerking van persoonsgegevens en/of stelselmatig monitoring van activiteiten van werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding).
12. Locatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer).
13. Communicatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.
14. Internet of things
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etcetera).
15. Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld de beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.
16. Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen wordt geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.
17. Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.

Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden is de verwerking van biometrische gegevens toegestaan.

Wat staat er in een DPIA?

In de AVG staat dat een DPIA ten minste de volgende informatie moet bevatten:

  • Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
  • Beoordeling van de noodzaak en de evenredigheid;
  • Beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • Beoogde maatregelen om deze risico’s aan te pakken.

Wat doe je met de resultaten?

Na het uitvoeren van de DPIA is duidelijk welke risico’s de verwerking inhoudt en hoe deze risico’s door de decentrale overheid beperkt kunnen worden. Mocht uit de DPIA komen dat de verwerking nog steeds een hoog risico inhoudt voor de privacy van de betrokkene, bijvoorbeeld wanneer de verwerkingsverantwoordelijke geen passende technische en organisatorische maatregelen neemt om dit risico te beperken, moet op grond van artikel 36 AVG de nationale toezichthouder geraadpleegd worden. De AP geeft na deze voorafgaande raadpleging schriftelijk advies en kan ook al haar bevoegdheden uitvoeren (artikel 58 AVG). Bijvoorbeeld het opleggen van waarschuwing, verwerkingsverbod of administratieve geldboete.

Door:

Juliëtte Fredriksz, Kenniscentrum Europa decentraal

Bron:

Besluit Autoriteit Persoonsgegevens, Staatscourant

Meer informatie:

Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Data Protection Impact Assessment (DPIA), Kenniscentrum Europa decentraal
Data protection impact assessment (DPIA), Autoriteit Persoonsgegevens
Definitieve DPIA-lijst beschikbaar, Autoriteit Persoonsgegevens

X