Pre-DPIA

De DPIA (Data Protection Impact Assessment of gegevensbeschermingseffectbeoordeling) is een manier om risico’s van een verwerking van persoonsgegevens te beoordelen. Elke verwerking van persoonsgegevens brengt risico’s met zich mee voor de betrokkenen van wie gegevens zijn verzameld. Het is van belang voorafgaand aan de verwerking na te denken over de (mogelijke) risico’s en op basis daarvan passende maatregelen te nemen om deze te beperken. Hiervoor is een middel beschikbaar, de DPIA.

Onderstaande ‘Pre-DPIA’ biedt een verkorte risico-inventarisatie, die aangeeft of het noodzakelijk is een volledige DPIA uit te voeren. Zie voor meer informatie de Methodiek DPIA Universiteit Twente.

Na de Pre-DPIA beschik je over een risico-inschatting van je verwerking. Heb je één van de vragen 1a - 1q met 'ja' beantwoord? Of heb je van de vragen 2- 10 twee of meer vragen met ‘ja’ beantwoord? Dan moet je in een DPIA uitvoeren. Je Privacy Contact Persoon (PCP) kan je hierbij helpen. In andere gevallen hoef je geen DPIA uit te voeren, tenzij je PCP besluit dat dit op basis van het verwachte risico toch noodzakelijk is.

Pre-DPIA formulier

Titel van onderzoek / verwerking:

Vragen beantwoord door (verantwoordelijke voor de verwerking):

Vul je e-mail adres in, zodat we je het ingevulde formulier kunnen toesturen. Een kopie van het verzonden formulier wordt verzonden aan de functionaris gegevensbescherming.

Verwerk je in je onderzoek gegevens van identificeerbare personen?
Persoonsgegevens zijn alle gegevens die iemand kunnen identificeren of die direct of indirect herleidbaar zijn naar een natuurlijk persoon. Voorbeelden hiervan zijn naam, identificatienummer, telefoonnummer, e-mailadres, locatiegegevens (ook digitaal), beoordelingen en onderzoeksgegevens, etniciteit, religie, gezondheid en biometrische kenmerken.

Beantwoord onderstaande vragen.

Een DPIA is niet nodig.

1a. Is er sprake van heimelijk onderzoek?

Grootschalige verwerkingen van persoonsgegevens en-of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten). Een DPIA is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een DPIA te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1b. Is er sprake van zwarte lijsten?

Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met derden (art. 33 lid 4, aanhef en onder c, van de UAVG) (zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1c. Is er sprake van fraudebestrijding?

Grootschalige verwerkingen van (bijzondere) persoonsgegevens en-of stelselmatige monitoring in het kader van fraudebestrijding (bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1d. Is er sprake van creditscores?

Grootschalige gegevensverwerkingen en/of stelselmatige monitoring die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore. 

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1e. Is er sprake van gegevens betreffende iemands financiële situatie?

Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1f. Is er sprake van verwerking van genetische persoonsgegevens? 

Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens (bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1g. Is er sprake van verwerking van gezondheidsgegevens?

Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid (let wel: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1h. Is er sprake van samenwerkingsverbanden?

Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1i. Is er sprake van cameratoezicht?

Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones. 

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1j. Is er sprake van flexibel cameratoezicht?

Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht (camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1k. Is er sprake van controle van werknemers? 

Grootschalige verwerking van persoonsgegevens en-of stelselmatig monitoring van activiteiten van werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1l. Is er sprake van verwerking van locatiegegevens?

Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1m. Is er sprake van verwerking van communicatiegegevens?

Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker. 

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1n. Werk je met 'internet of things'-toepassingen?

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etcetera).

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1o. Is er sprake van profilering?

Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1p. Is er sprake van observatie en beïnvloeding van gedrag?

Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld.

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

1q. Is er sprake van verwerking van biometrische gegevens?

Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

LET OP: een DPIA is noodzakelijk!

Neem contact op met je PCP en/of de FG.

Jouw verwerking staat niet op de lijst van gevallen waarin een DPIA verplicht is.

Er zijn echter ook andere gevallen waarin een DPIA verplicht is. Wanneer je twee of meer van onderstaande vragen met 'ja' beantwoordt, moet je ook een DPIA uitvoeren.

2. Beoordeel je mensen op basis van persoonskenmerken?
Het gaat hierbij om het systematisch en uitvoerig beoordelen van persoonskenmerken. Zoals bij profiling en het maken van prognoses op basis waarvan beslissingen worden genomen.
Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring) en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.
Bij onderzoek vindt meestal geen profiling plaats.

3. Neem je geautomatiseerde beslissingen met rechtsgevolgen?
Het gaat hierbij om beslissingen op basis van persoonsgegevens (niet per definitie profiling) die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Voorbeelden zijn een systeem dat sollicitaties beoordeelt en automatisch beslist of je wordt uitgenodigd voor gesprek, of een systeem dat automatisch beslist of je in aanmerking komt voor een banklening.
Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.

4. Doe je aan stelselmatige en grootschalige monitoring?
Het gaat hierbij bijvoorbeeld om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken. Een ander voorbeeld is het installeren van een applicatie op de telefoon waardoor deze continu of volgens vaste patronen informatie naar de onderzoeker stuurt. Ook een IT-systeem dat de hoeveelheid datagebruik door een medewerker controleert om mogelijke beveiligingsincidenten op te sporen valt hier onder.

5. Verwerk je gevoelige gegevens of gegevens van zeer persoonlijke aard?
Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals informatie over iemands ras, religie, vakbondslidmaatschap, politieke voorkeuren, genetische of biometrische gegevens, gezondheid of seksuele voorkeur. Ook de categorie strafrechtelijke gegevens valt hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

6. Verwerk je persoonsgegevens op grote schaal?
De AVG geeft geen definitie van wat grootschalig is. De Europese privacy-toezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:
- de hoeveelheid mensen van wie gegevens worden verwerkt;
- de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
- de tijdsduur van de gegevensverwerking;
- de geografische reikwijdte van de gegevensverwerking.

7. Maak je gebruik van gekoppelde databases?
Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn, waardoor een meer complete set aan data ontstaat. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken en/of op een ander moment. De betrokkenen hadden dit redelijkerwijs niet kunnen verwachten.

8. Verwerk je gegevens over kwetsbare personen?
Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet eenvoudig in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens.
Denk hierbij in elk geval aan werknemers (in relatie tot werkgever), kinderen, ouderen, geesteszieken, patiënten en asielzoekers. Het gaat in elk geval om relaties waarbij er sprake is van een afhankelijkheid tussen de verantwoordelijke en de betrokken personen.

9. Gebruik je nieuwe technologieën of nieuwe toepassingen van technologieën?
De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en gebruiken, met mogelijk grote privacy risico’s. Omdat het nieuwe toepassingen betreft, zijn er geen duidelijke voorbeelden beschikbaar en kunnen de persoonlijke en maatschappelijke gevolgen nog onbekend zijn. Sommige ‘Internet of Things’-toepassingen of het combineren van vingerafdruk en gezichtsherkenning zouden bijvoorbeeld een grote impact kunnen hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

10. Verwerk je persoonsgegevens om een recht, dienst of contract te blokkeren?
Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
- een recht niet kunnen uitoefenen of;
- een dienst niet kunnen gebruiken of;
- een contract niet kunnen afsluiten.
Een voorbeeld is een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken (vergelijkbaar met geautomatiseerde beslissing, maar in dit geval hoeft de beslissing niet geautomatiseerd te zijn). Een ander voorbeeld is het verwerken van aanmeldingsgegevens van studenten op basis waarvan wordt beoordeeld of hij/zij mag worden toegelaten tot de universiteit.

Conclusie

Heb je één van de vragen 1a - 1q met 'ja' beantwoord? Of heb je van de vragen 2- 10 twee of meer vragen met ‘ja’ beantwoord?

Dan moet je een DPIA uitvoeren. Je Privacy Contact Persoon (PCP) kan je hierbij helpen.

In andere gevallen hoef je geen DPIA uit te voeren, tenzij je PCP besluit dat dit op basis van het verwachte risico toch noodzakelijk is.