Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen

De Autoriteit Persoonsgegevens (AP) heeft de definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) vereist is. Door voorafgaand aan de verwerking van persoonsgegevens een DPIA uit te voeren, kunnen privacyrisico’s van een bepaalde verwerking van persoonsgegevens in kaart gebracht worden. Indien nodig kunnen naar aanleiding van de DPIA vooraf maatregelen getroffen worden om de gesignaleerde risico’s te verkleinen.

 

De door de AP opgestelde lijst bevat een aantal categorieën van verwerkingen waarvoor verplicht een DPIA moet worden uitgevoerd. Op de lijst staan onder meer enkele categorieën die voor overheden van belang zijn.

DPIA

Samenwerkingsverbanden

Een eerste categorie die in het oog springt is de categorie samenwerkingsverbanden. Hierbij gaat het met name om het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen deelnemen. Denk hierbij bijvoorbeeld aan samenwerkingsverbanden binnen het sociaal domein of op het gebied van openbare orde. De AP is van oordeel dat voor dergelijke samenwerkingsverbanden een DPIA moet worden uitgevoerd, omdat binnen samenwerkingsverbanden onder meer matching of samenvoeging van datasets plaatsvindt, gegevens van kwetsbare betrokkenen worden verwerkt en/of innovatief gebruik wordt gemaakt van nieuwe technologische of organisatorische oplossingen.

Cameratoezicht

Daarnaast is een DPIA vereist bij (flexibel) cameratoezicht. Onder deze categorie vallen onder meer de grootschalige/stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s en camera’s op kleding van bijvoorbeeld BOA’s. Een DPIA is in dergelijke gevallen noodzakelijk vanwege de stelselmatige monitoring van betrokkenen en het op grote schaal verwerken van persoonsgegevens.

Smart cities

Ook nieuwe innovatieve ontwikkelingen moeten voorafgaand gecontroleerd worden op privacy-risico’s. Voor alle grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door met het internet verbonden apparaten die via internet gegevens kunnen versturen of uitwisselen, moet vooraf worden beoordeeld welke privacy-risico’s hiermee gemoeid zijn. Voor overheden is deze categorie met name van belang bij toepassingen op het terrein van smart cities, zoals slimme lantaarnpalen. De noodzaak voor het uitvoeren van een DPIA is gelegen in de stelselmatige monitoring van betrokkenen, het op grote schaal verwerken van gegevens en het innovatief gebruik van nieuwe technologische of organisatorische oplossingen.

Meer weten?

Heeft u vragen of wilt u meer weten over andere privacy aspecten, neem dan gerust contact op met het team Overheid & Privacy, Carola van Andel, E: carola.vanandel@nysingh.nl | T: 026 357 57 34 | M: 06 13 00 45 93 of Maarten van Nijendaal, E: maarten.vannijendaal@nysingh.nl| T: 026 357 56 29 | M: 06 22 17 66 54.