Moeten wij vanwege beveiligingscamera’s een DPIA uitvoeren?

22 april 2021

Wanneer moeten wij vanwege CCTV-camera’s buiten, die diefstal moeten voorkomen, een data privacy impact assessment uitvoeren?

Als uw onderneming op welke manier dan ook personen filmt, verwerkt u persoonsgegevens en is de Algemene verordening gegevensbescherming (AVG) van toepassing. U moet dus nagaan of het cameratoezicht in de lijn met de AVG is. De Autoriteit Persoonsgegevens heeft daarbij een besluit uitgevaardigd waarin is opgenomen dat in geval van grootschalig en/of stelselmatig cameratoezicht een Data privacy impact assessment (DPIA) uitgevoerd moet worden.

DPIA vooraf uitvoeren

Overigens moet u een DPIA altijd vóórafgaand aan de gegevensverwerking uitvoeren en ook iedere keer als er iets wijzigt in de manier van gegevensverwerking. U kunt zelf bepalen hoe u de DPIA uitvoert en registreert. Het moet in elk geval een systematische beschrijving van de gegevensverwerkingen en de volgende doeleinden bevatten:

  • een beoordeling van de noodzaak en rechtmatigheid van de gegevensverwerking;
  • een beschrijving en beoordeling van de privacyrisico’s van betrokkenen;
  • een beschrijving van de voorgenomen maatregelen om die risico’s te minimaliseren en aan te pakken.

Als de uitvoering van een DPIA verplicht is, dan is het wel fijn als u geen overbodig werk doet. Gebruik dit Data Privacy Impact Assessment voorbeeldformulier voor een rapport dat aan de eisen voldoet.