Een zaak beperkt zich niet altijd tot één rechtsgebied. Wij dus ook niet.

Wanneer moeten gemeenten een DPIA uitvoeren?

woensdag 18 december 2019

De Autoriteit Persoonsgegevens (AP) heeft de definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) vereist is. Door voorafgaand aan de verwerking van persoonsgegevens een DPIA uit te voeren, kunnen privacyrisico’s van een bepaalde verwerking van persoonsgegevens in kaart gebracht worden. Indien nodig kunnen naar aanleiding van de DPIA vooraf maatregelen getroffen worden om de gesignaleerde risico’s te verkleinen.
Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. De door de AP opgestelde lijst bevat een aantal categorieën van verwerkingen waarvoor verplicht een DPIA moet worden uitgevoerd. Op de lijst staan onder meer enkele categorieën die voor overheden van belang zijn.

Samenwerkingsverbanden

Een eerste categorie die in het oog springt is de categorie samenwerkingsverbanden. Hierbij gaat het met name om het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen deelnemen. Denk hierbij bijvoorbeeld aan samenwerkingsverbanden binnen het sociaal domein of op het gebied van openbare orde. De AP is van oordeel dat voor dergelijke samenwerkingsverbanden een DPIA moet worden uitgevoerd, omdat binnen samenwerkingsverbanden onder meer matching of samenvoeging van datasets plaatsvindt, gegevens van kwetsbare betrokkenen worden verwerkt en/of innovatief gebruik wordt gemaakt van nieuwe technologische of organisatorische oplossingen.

Cameratoezicht

Daarnaast is een DPIA vereist bij (flexibel) cameratoezicht. Onder deze categorie vallen onder meer de grootschalige/stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s en camera’s op kleding van bijvoorbeeld BOA’s. Een DPIA is in dergelijke gevallen noodzakelijk vanwege de stelselmatige monitoring van betrokkenen en het op grote schaal verwerken van persoonsgegevens.

Smart cities

Ook nieuwe innovatieve ontwikkelingen moeten voorafgaand gecontroleerd worden op privacy-risico’s. Voor alle grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door met het internet verbonden apparaten die via internet gegevens kunnen versturen of uitwisselen, moet vooraf worden beoordeeld welke privacy-risico’s hiermee gemoeid zijn. Voor overheden is deze categorie met name van belang bij toepassingen op het terrein van smart cities, zoals slimme lantaarnpalen.
De noodzaak voor het uitvoeren van een DPIA is gelegen in de stelselmatige monitoring van betrokkenen, het op grote schaal verwerken van gegevens en het innovatief gebruik van nieuwe technologische of organisatorische oplossingen.

Meer weten?

Kom naar de verdiepingscursus ‘Privacy in het Sociaal Domein’ op 21 januari 2020 (Zwolle) of 3 maart 2020 (Utrecht). De kosten voor deelname aan deze verdiepingscursus bedragen € 225 (excl. BTW) per persoon. Na uw inschrijving ontvangt u een factuur op het door u opgegeven factuuradres. U ontvangt 2 PO-punten voor deelname aan deze cursus of een bewijs van deelname. Aanmelden kan via deze link.

Heeft u vragen of wilt u meer weten over andere privacy aspecten, neem dan gerust contact op met het team Overheid & Privacy, Carola van Andel, E: carola.vanandel@nysingh.nl | T: 026 357 57 34 | M: 06 13 00 45 93 of Maarten van Nijendaal, E: maarten.vannijendaal@nysingh.nl| T: 026 357 56 29 | M: 06 22 17 66 54.

Actueel