Autoriteit Persoonsgegevens publiceert overzicht DPIA-plichtige verwerkingen

expertise:

Employment law

newsletter:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

This field is for validation purposes and should be left unchanged.

05 July 2018

Op grond van de AVG is in sommige gevallen het uitvoeren van een DPIA verplicht (data protection impact assessment, ook wel “gegevensbeschermingseffectbeoordeling”). Die verplichting bestaat als een verwerking gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (art. 35 lid 4 AVG). In de AVG zijn enkele situaties uitgewerkt waarin de DPIA “met name” vereist zou zijn.

Deze cryptische omschrijvingen in de wettekst leiden tot onzekerheid over de DPIA-verplichting. Om meer duidelijkheid te scheppen, heeft de Autoriteit Persoonsgegevens (AP) recent een lijst gepubliceerd met verwerkingen die volgens de AP in ieder geval DPIA-plichtig zijn (‘zwarte lijst’). De AP kan er ook voor kiezen om naast een zogeheten ‘zwarte lijst’ een ‘witte lijst’ op te stellen voor verwerkingen waarvoor een DPIA niet verplicht is (art. 35 lid 5 AVG). Daar heeft AP vooralsnog niet voor gekozen.

De lijst bevat 16 verwerkingen waarvoor de AP een DPIA verplicht stelt. Het gaat om grootschalige en/of systematische verwerkingen, onder meer op het gebied van:

  • Heimelijk onderzoek

Bijvoorbeeld door een recherchebureau, in het kader van fraudebestrijding en heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding. De werkgever zal volgens de AP ook bij een incidentele (niet grootschalige of systematische) inzet van heimelijke camera’s een DPIA moeten uitvoeren.

  • Zwarte lijsten

Bijvoorbeeld het gebruik van zwarte lijsten of waarschuwingslijsten door verzekeraars en werkgevers (zoals in de zorg en door uitzendbureaus). Het gaat daarbij onder meer om verwerkingen van strafrechtelijke gegevens (veroordelingen) en informatie over onrechtmatig of hinderlijk gedrag.

  • Gezondheidsgegevens

Een DPIA is verplicht voor grootschalige verwerkingen van gegevens over de gezondheid, bijvoorbeeld door arbodiensten, re-integratiebedrijven, verzekeraars en instellingen in de gezondheidszorg. Ook het op grote schaal elektronisch uitwisselen van gezondheidsgegevens is DPIA-plichtig. Voor individuele artsen en individuele zorgprofessionals maakt de AP een uitzondering op deze verplichting.

  •  Cameratoezicht in openbare ruimten

Stelselmatige monitoring van openbaar toegankelijke ruimtes met behulp van camera’s, webcams of drones is volgens de AP DPIA-plichtig. Hierbij kan worden gedacht aan camera’s in winkels en openbare gebouwen.

  • Controle werknemers

De AP stelt een DPIA verplicht voor grootschalige en/of systematische verwerkingen in het kader van monitoring van personeel. Bijvoorbeeld de controle c.q. monitoring van internet- en emailgebruik, GPS-systemen in (vracht)auto’s van personeel en de inzet van cameratoezicht ten behoeve van diefstal- en fraudebestrijding.

Grootschalig en/of systematische verwerking?

De term grootschalig en/of systematisch speelt een belangrijke rol in de beoordeling of een DPIA verplicht is. Incidentele (ad hoc) verwerkingen zijn in beginsel niet DPIA-plichtig (maar de incidentele inzet van een heimelijke camera op de werkvloer dus wel).

Ook deze criteria worden door de AP inmiddels verder uitgelegd. Zo heeft de AP elementen benoemd om te bepalen of een verwerking grootschalig is. Onder meer kan worden gekeken naar het aantal betrokkenen (van hoeveel mensen worden gegevens verwerkt), de hoeveelheid gegevens die wordt verwerkt, de duur van de verwerking en de geografische reikwijdte. Van een systematische en/of stelselmatige verwerking is volgens de AP sprake als de verwerking van persoonsgegevens is opgenomen in systemen of in het beleid van de organisatie.

Voorafgaande raadpleging

Als uit de DPIA blijkt dat de verwerking een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen en dat risico niet kan worden beperkt met maatregelen, dan is voorafgaande raadpleging van de AP verplicht.

De verwerking mag dan niet worden gestart voordat deze raadpleging heeft plaatsgevonden. De verantwoordelijke kan een raadpleging aanvragen via de website van de AP. De raadplegingsprocedure duurt maximaal 14 weken, maar de AP kan de termijn verlengen vanwege de complexiteit. Al die tijd mag de verwerking nog niet worden uitgevoerd.

Conclusie

Met de gepubliceerde lijst biedt de AP meer handvatten bij de bepaling of een DPIA verplicht is. De lijst is echter niet uitputtend. Ook in andere gevallen kan sprake zijn van een DPIA-plicht. Het ten onrechte niet uitvoeren van een DPIA kan leiden tot forse boetes. Twijfelt u of u een DPIA moet uitvoeren of wilt u meer weten over deze verplichting? Neemt u dan vrijblijvend contact op met de advocaten van het Privacyteam van BANNING.

Heeft u vragen naar aanleiding van dit artikel of heeft u andere arbeidsrechtelijke vragen, neemt u dan gerust vrijblijvend contact op met Suzan Wolters of andere leden van de sectie arbeidsrecht.