Een Data Privacy Impact Assessment (DPIA) moet vooraf worden uitgevoerd bij verwerkingen met een potentieel hoog risico voor de betrokkenen. Maar hoe weet u nu of er sprake is van een potentieel hoog risico?

Criteria bij de verwerking

Uiteraard kunt u, als u zelf vindt dat er sprake van een potentieel hoog risico is, een DPIA uitvoeren. Denkt u zelf dat het wel meevalt, controleer dan voor de zekerheid toch nog onderstaande lijst. Tel hoeveel criteria een rol spelen bij de verwerking waar u aan wilt beginnen.

• Is er meer dan 1 criterium aanwezig? Dan is het uitvoeren van een DPIA verplicht.
• Is er één of géén criterium aanwezig? Dan is het uitvoeren van een DPIA niet verplicht.

Gegevensverwerking in uw organisatie

De te onderzoeken situatie van gegevensverwerking betreft:

• Evaluatie of scoretoekenning van betrokkenen
• Geautomatiseerde besluitvorming met (mogelijk negatief) rechtsgevolg
• Stelselmatige monitoring
• Gevoelige gegevens of gegevens van zeer gevoelige aard
• Op grote schaal verwerkte gegevens
• Matching of samenvoegen van databases
• Gegevens met betrekking tot kwetsbare betrokkenen, zoals:
  • Kinderen
  • Patiënten
  • Werknemers
  • Bejaarden
  • Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen
  • Als door de verwerking een betrokkene een recht niet kan uitoefenen, of geen beroep kan doen op een dienst of overeenkomst