DPIA verplicht bij verwerking biometrische gegevens

DPIA verplicht bij verwerking biometrische gegevens. Nieuwe DPIA lijst.
DPIA verplicht bij verwerking biometrische gegevens. Nieuwe DPIA lijst.

DPIA nu ook verplicht bij verwerking biometrische gegevens

De Autoriteit Persoonsgegevens (AP) heeft op 27 november een definitieve lijst vastgesteld van verwerkingen waarvoor een data protection impact assessment (DPIA) nodig is. In de meeste gevallen is dit het geval als er op grote schaal gevoelige persoonsgegevens worden verwerkt. Een DPIA is ook nodig als er aan profilering wordt gedaan of als openbare toegankelijke ruimten worden gemonitord. Om duidelijkheid te krijgen over wanneer een DPIA wel of niet verplicht is, heeft de AP dus een lijst gemaakt. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU). Lees hier alles over de nieuwe lijst.

Opfrissen: wat is een DPIA ook alweer?

Een DPIA is eigenlijk niet meer dan een vragenlijst. Er zijn veel verschillende formats in omloop, maar alle formats hebben met elkaar gemeen dat ze een organisatie goed aan het nadenken zetten. Er worden namelijk veel vragen gesteld zoals hoe de verwerking van persoonsgegevens er precies uitziet, wat het doel is en wat de belangen zijn. Daarnaast worden vragen gesteld over de risico’s bij de verwerking en hoe deze risico’s kunnen worden verkleind. Het format van een DPIA dwingt je dus om goed na te denken over een beoogde verwerking. De term DPIA is overigens niet in de AVG terug te vinden: men spreekt daar van een gegevensbeschermingseffectbeoordeling.

Wanneer is een DPIA volgens de lijst verplicht?

Een DPIA is volgens de defintieve lijst verplicht in geval van de volgende verwerkingen:

1. Heimelijk onderzoek

2. Zwarte lijsten

3. Fraudebestrijding

4. Creditscores

5. Financiële situatie

6. Genetische persoonsgegevens

7. Gezondheidsgegevens

8. Samenwerkingsverbanden

9. Cameratoezicht

10. Flexibel cameratoezicht

11. Controle werknemers

12. Locatiegegevens

13. Communicatiegegevens

14. Internet of things

15. Profilering

16. Observatie en beïnvloeding van gedrag

En nu dus ook in geval van:

17. Biometrische gegevens. Dit houdt in: “grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.” In beginsel is deze verwerking verboden, behalve als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Zoals we eerder zagen wordt de AVG binnenkort op dit punt aangepast.

Meer weten?

Wil je weten wanneer een DPIA met een van de bovenstaande verwerking precies verplicht is? Lees dan hier de toelichting op de categorie in de lijst.

Kleine toevoeging: het onderzoek moet worden uitgevoerd voordat met de verwerking wordt gestart!

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*