Wanneer moet een gegevensbeschermingsbeoordeling worden uitgevoerd?

Antwoord

Een gegevensbeschermingsbeoordeling is noodzakelijk wanneer verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van personen. Een gegevensbeschermingsbeoordeling is ten minste in de volgende gevallen vereist:

• een systematische en uitgebreide beoordeling van de persoonlijke aspecten van personen, inclusief profilering;
• verwerking op grote schaal van gevoelige gegevens;
• stelselmatige en grootschalige monitoring van openbare ruimten.

De nationale gegevensbeschermingsautoriteiten kunnen in overleg met het Europees Comité voor gegevensbescherming lijsten verstrekken van de gevallen waarin een gegevensbeschermingsbeoordeling noodzakelijk is. De gegevensbeschermingsbeoordeling moet voorafgaand aan de verwerking worden uitgevoerd en moet worden beschouwd als een levend instrument en niet slechts als een eenmalige oefening. Indien er restrisico's zijn die niet door de getroffen maatregelen kunnen worden beperkt, moet de gegevensbeschermingsautoriteit voorafgaand aan het begin van de verwerking worden geraadpleegd.

Voorbeelden

Gegevensbeschermingsbeoordeling vereist

Een bank die haar klanten op kredietwaardigheid onderzoekt aan de hand van databases; een ziekenhuis dat op het punt staat een nieuwe database met gezondheidsinformatie over de gezondheidsgegevens van patiënten op te zetten; een busexploitant die op het punt staat camera's aan boord te installeren om het gedrag van chauffeurs en passagiers te monitoren.

Geen gegevensbeschermingsbeoordeling vereist

Een lokale huisarts die persoonsgegevens van zijn patiënten verwerkt. In dat geval is er geen gegevensbeschermingsbeoordeling nodig, omdat verwerking door lokale huisartsen niet op grote schaal plaatsvindt in gevallen waar het aantal patiënten beperkt is.

Referenties

• EDPB-richtsnoeren voor gegevensbeschermingsbeoordeling
• Artikelen 35, 36; overwegingen 89, 90, 91, 92, 93, 94, 95, 96 van de AVG

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR