Home Definitieve lijst verplichte DPIA’s beschikbaar

KBS

05.12.2019

Definitieve lijst verplichte DPIA’s beschikbaar

De Autoriteit Persoonsgegevens (AP) heeft onlangs een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU).

DPIA

Een DPIA is een beoordeling van de privacyrisico’s van een gegevensverwerking. Op basis van de beoordeling kunnen maatregelen worden genomen om de risico’s te verkleinen.

Verplicht

Voor de volgende categorieën verwerkingen van persoonsgegevens heeft de AP een DPIA verplicht gesteld:

  1. Heimelijk onderzoek;
  2. Zwarte lijsten;
  3. Fraudebestrijding;
  4. Creditscores;
  5. Financiële situatie;
  6. Genetische persoonsgegevens;
  7. Gezondheidsgegevens;
  8. Samenwerkingsverbanden;
  9. Cameratoezicht;
  10. Flexibel cameratoezicht;
  11. Controle werknemers;
  12. Locatiegegevens;
  13. Communicatiegegevens;
  14. Internet of things;
  15. Profilering;
  16. Observatie en beïnvloeding van gedrag.

Gezondheidszorg

Voor de gezondheidszorg is vooral de categorie ‘gezondheidsgegevens’ van belang. Voor deze categorie geldt dat een DPIA verplicht is als het gaat om ‘grootschalige verwerkingen’ van gegevens over gezondheid, bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten. Ook grootschalige elektronische uitwisseling van gezondheidsgegevens valt hieronder.

Individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren).

De AVG laat in het midden wat een grootschalige verwerking precies is. Of er sprake is van verwerking op grote schaal dient te worden vastgesteld aan de hand van (onder andere) het aantal betrokkenen (hetzij als een specifiek aantal, hetzij als deel van de relevante populatie), de hoeveelheid gegevens die worden verwerkt, de duur of het permanente karakter van de gegevensverwerking en de geografische omvang van de verwerking.

Eerder heeft de AP voor een aantal categorieën zorgaanbieders verduidelijkt wat moet worden verstaan onder ‘grootschalige verwerking’ van bijzondere persoonsgegevens (zoals gezondheidsgegevens). Hieraan hebben Niels van den Burg en ik eerder een blog gewijd.

Ook andere soorten verwerkingen kunnen zich bij verwerkingsverantwoordelijken in de gezondheidszorg voordoen waarvoor een DPIA is verplicht. Te denken valt aan het gebruik van zwarte lijsten, het toepassen van (flexibel) cameratoezicht, het delen van persoonsgegevens in of door samenwerkingsverbanden of het verwerken van genetische gezondheidsgegevens. Voor elk type verwerking zal dienen te worden vastgesteld of een DPIA is aangewezen.

Voorwaarden DPIA

Een DPIA dient minimaal de volgende onderdelen te omvatten:

  1. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  3. een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en
  4. de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Frequentie

De AP adviseert een DPIA uit te voeren als een verwerking verandert, omdat bijvoorbeeld een nieuwe technologie wordt toegepast of als persoonsgegevens voor een ander doel gebruikt gaan worden. Ook kan een DPIA zijn aangewezen als het privacyrisico of de organisatie- of maatschappelijke context wijzigt.

Gelet op deze mogelijke veranderingen raadt de AP aan sowieso periodiek een DPIA uit te voeren, ook als de gegevensverwerking niet verandert, bijvoorbeeld eenmaal per drie jaar.

Vragen?

Neem contact op met Niels van den Burg of Erik Luijendijk.

Nieuws & kennis

Ook interessant?

  • Mondelinge overdracht van persoonsgegevens kan ook verwerking zijn in de zin van de AVG

  • Gegevensuitvraag NZa zorgvraagtypering Ggz (voorlopig) niet in strijd met hoger recht

  • Hof van Justitie EU beantwoordt prejudiciële vragen over verstrekking medisch dossier

    • Nieuwsbrief

    Altijd up to date?

    Blijf op de hoogte van de laatste ontwikkelingen. Schrijf je in!

    Scroll naar boven