Meer informatie over de Algemene verordening gegevensbescherming (AVG) vind je in de toolbox Voldoe aan de privacyregels van de AVG in 9 stappen.

Wel of geen DPIA voor de AVG?

Beschrijving

Het uitvoeren van een data protection impact assessment (DPIA) is verplicht als gegevensverwerking een hoog privacyrisico met zich meebrengt. Hiervoor geldt een checklist van negen criteria. Indien een organisatie op minimaal twee punten een vinkje kan zetten, is een DPIA noodzakelijk.

Situaties die DPIA verplicht maken

  1. Beoordeling mensen op basis van persoonskenmerken: bijvoorbeeld via profilering op basis van gedrag, locatie of voorkeuren.

  2. Geautomatiseerd beslis- of selectieproces: met mogelijk juridische of vergelijkbare gevolgen.

  3. Stelselmatige en grootschalige monitoring: zoals cameratoezicht in openbare ruimten.

  4. Verzameling van gevoelige gegevens: zoals strafrechtelijke of politieke informatie.

  5. Grootschalige gegevensverwerkingen: qua aantal personen, variëteit aan gegevens of tijdsduur van verwerking.

  6. Gekoppelde databases: onverwachte combinatie van gegevensbronnen.

  7. Gegevens over kwetsbare personen: bijvoorbeeld van kinderen, patiënten of werknemers.

  8. Nieuwe technologieën: waarmee gegevens op innovatieve, mogelijk onbekende manieren worden verzameld.

  9. Blokkering van een recht, dienst of contract: verwerking bepaalt of iemand toegang krijgt tot diensten of rechten.

Deze criteria geven richting aan de beoordeling of een verwerking een hoog risico oplevert in het kader van de AVG.