Stel je wilt als gemeente parkeerovertredingen opsporen en de inzet van collega’s hiervoor beperken. Een scanoplossing, waarbij software en de inzet van een scanauto met camera’s samenkomen, biedt dan een efficiënte uitkomst. Door het gebruik van deze scanoplossing lopen inwoners wel bepaalde risico’s. Om deze risico’s goed in kaart te brengen en oplossingen hiervoor te bepalen is een voorafgaande risicoanalyse nodig. Dit kan in de vorm van een ‘Data Protection Impact Assessment’ (DPIA). In het Nederlands ook wel een ‘gegevensbeschermingseffectbeoordeling’; qua lengte in ieder geval een sterk ‘Galgje’-woord.
AVG verplichting
Onder de Algemene verordening gegevensbescherming (AVG) is het uitvoeren van DPIA’s voor bepaalde verwerkingen verplicht. Wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen is de verwerkingsverantwoordelijke gehouden voorafgaand aan de verwerking een DPIA uit te voeren. Een ‘hoog risico’ is een breed begrip.
Gelukkig heeft de wetgever iets meer handvatten ter verduidelijking meegegeven. Daarnaast hebben de Nederlandse toezichthouder en een adviesorgaan van de Europese Unie, European Data Protection Board, geprobeerd meer duidelijkheid te bieden voor welk soort verwerkingen het uitvoeren van een DPIA verplicht is.
Wanneer is een DPIA verplicht?
DPIA’s zijn bijvoorbeeld verplicht bij grootschalige verwerkingen van bijzondere persoonsgegevens; wanneer gebruik wordt gemaakt van nieuwe technieken en technologieën en bij stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Bij twijfel kan het helpen een zogenaamde pre-DPIA of quickscan uit te voeren. In het voorbeeld van de scanoplossing wordt de verplichting tot het uitvoeren van een DPIA getriggerd door de gebruikte innovatieve technologie met mogelijk grote risico’s voor inwoners.
Ondersteuning bij DPIA-anaylse en opvolging
Hoewel niet iedere verwerking een DPIA vereist, is het slim om nieuwe gegevensverwerkingen te toetsen. Onze privacy-professionals hebben veel ervaring met het signaleren van verwerkingen die een DPIA vereisen. Zij helpen je graag bij deze analyse en de opvolging van de beheersmaatregelen. Bestaat er nog geen sluitend proces voor het uitvoeren van DPIA’s? Geen zorgen, ook voor het opstellen en implementeren van een DPIA-proces zijn we jouw partner-in-crime.