Wat is een DPIA, wanneer is een DPIA verplicht?

wat is een dpia

Een DPIA kan je laten uitvoeren om de privacyrisico’s van de gegevens verwerking in kaart te brengen en om vervolgens maartegelen te nemen om de risico’s te verkleinen.

Meeste ondernemingen of organisaties zijn niet verplicht om voor iedere gegevens verwerking een DPIA uit te voeren. Het is verplicht als er een hoge privacyrisico is. De zorgsector verwerkt gevoelige of bijzondere persoonsgegevens hen zouden een DPIA moeten laten uitvoeren.

Dat is in ieder geval zo als een organisatie:

  • Profilering
  • Bijzondere persoonsgegevens verwerken
  • Cameratoezicht

Momenteel is er een overzicht welke verwerkingen een hoog risico hebben. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Er is ook door de Autoriteit Persoonsgegevens een lijst gepubliceerd van verwerkingen waarvoor je dit moet doen.

Welke criteria’s , wanneer is het verplicht ?

  • De verwerking gebruik maakt van biometrische gegevens met het oog op de unieke identificatie van betrokkenen die zich in een openbare ruimte bevinden of in privé-ruimten die toegankelijk zijn voor het publiek.
  • Persoonsgegevens worden ingezameld bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een welbepaalde dienstverleningsovereenkomst met een natuurlijke persoon te weigeren of stop te zetten.
  • De verwerking heeft betrekking op bijzondere categorieën van persoonsgegevens betreft die (her)gebruikt worden voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld, behoudens wanneer de verwerking hetzij is gebaseerd is op de toestemming van de betrokkene, hetzij noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
  • Grootschalige verwerking van persoonsgegevens van kwetsbare natuurlijke personen, onder andere van kinderen, voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld
  • Verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op het beheer van de klanten of leveranciers van de verantwoordelijke voor de verwerking, voor zover de verwerking alleen betrekking heeft op bestaande en gewezen klanten of leveranciers van de verantwoordelijke voor de verwerking en de verwerking geen betrekking heeft op gevoelige gegevens en er, wat de klantenadministratie betreft, geen gegevens afkomstig van derden worden geregistreerd en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de normale bedrijfsvoering.

Er zijn nog een aantal criteria’s omtrent de DPIA , u kan altijd een consulent aanspreken voor meer informatie of wil je de rest van de criteria’s inzien? Contacteer -> Consulent Danny – > [email protected]

Tags: