Wanneer is een DPIA verplicht?

De korte versie: een DPIA is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog risico oplevert voor de mensen om wie het gaat. Maar wanneer is een risico "hoog"? Daarvoor heb je drie bronnen: de AVG zelf, de lijst van de Autoriteit Persoonsgegevens en de criteria van de Europese toezichthouders. We lopen ze alle drie langs.

1. De drie situaties uit de AVG

Artikel 35 lid 3 van de AVG noemt drie situaties waarin een DPIA in elk geval verplicht is:

2. De AP-lijst: 17 verwerkingen waarvoor een DPIA altijd moet

De AVG geeft nationale toezichthouders de ruimte om zelf een lijst op te stellen van verwerkingen waarvoor een DPIA verplicht is (artikel 35 lid 4). De Autoriteit Persoonsgegevens deed dat en kwam tot zeventien categorieën:

  1. Heimelijk onderzoek — bijvoorbeeld door recherchebureaus of bij fraudeonderzoek zonder medeweten van de betrokkene.
  2. Zwarte lijsten — lijsten van bijvoorbeeld wanbetalers of overlastgevers die met derden worden gedeeld.
  3. Fraudebestrijding — grootschalige of stelselmatige verwerking voor fraudeaanpak.
  4. Creditscores — het grootschalig berekenen van kredietwaardigheid.
  5. Financiële situatie — grootschalige verwerking van gegevens over iemands financiële positie.
  6. Genetische persoonsgegevens — bijvoorbeeld DNA-analyses.
  7. Gezondheidsgegevens — grootschalige verwerking, zoals door ziekenhuizen of arbodiensten.
  8. Samenwerkingsverbanden — het delen van bijzondere of strafrechtelijke gegevens tussen ketenpartners.
  9. Cameratoezicht — grootschalig of stelselmatig toezicht op publiek toegankelijke ruimten.
  10. Flexibel cameratoezicht — bodycams, dashcams en drones met camera.
  11. Controle werknemers — stelselmatig monitoren van activiteiten van personeel, zoals e-mail- of internetgebruik.
  12. Gegevens over kwetsbare personen — zoals kinderen, patiënten of mensen in een afhankelijkheidspositie.
  13. Biometrie — grootschalige of stelselmatige identificatie via bijvoorbeeld gezichtsherkenning of vingerafdrukken.
  14. Wifitracking — het volgen van mensen via wifi- of bluetooth-signalen, bijvoorbeeld in binnensteden of winkels.
  15. Internet of things — grootschalige verwerking via slimme apparaten zoals wearables, slimme meters of connected auto's.
  16. Profilering — stelselmatige en uitgebreide beoordeling van persoonlijke aspecten, ook zonder direct rechtsgevolg.
  17. Observatie en beïnvloeding van gedrag — grootschalig gedrag volgen of sturen, bijvoorbeeld voor marketing.

De actuele lijst met toelichting vind je bij de Autoriteit Persoonsgegevens.

3. Twijfelgeval? De negen EDPB-criteria

Staat jouw verwerking niet op de lijst en valt die ook niet onder de drie AVG-situaties? Gebruik dan de negen criteria van de European Data Protection Board. Vuistregel: voldoe je aan twee of meer criteria, dan is een DPIA meestal nodig.

  1. Evalueren of scoren van personen (waaronder profilering)
  2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar effect
  3. Stelselmatige monitoring
  4. Gevoelige of zeer persoonlijke gegevens
  5. Grootschalige verwerking
  6. Koppelen of combineren van datasets
  7. Gegevens over kwetsbare betrokkenen
  8. Innovatief gebruik of nieuwe technologie (zoals AI of biometrie)
  9. De verwerking verhindert betrokkenen om een recht uit te oefenen of een dienst of contract af te nemen

Wanneer is een DPIA níet nodig?

Conclusie: check eerst de drie AVG-situaties, dan de AP-lijst, en gebruik bij twijfel de EDPB-criteria. Kom je uit op "DPIA nodig"? Volg dan ons DPIA-stappenplan in zes stappen, of begin bij de basis: wat is een DPIA precies?