“Zint eer ge begint”, of anders gezegd: ga na of een verwerking van persoonsgegevens wel voldoende waarborgen biedt, voor met die verwerking te beginnen.

Dat zal ongeveer de achterliggende gedachte zijn geweest van de Europese wetgever, toen werd besloten om partijen die nieuwe vormen van persoonsgegevens gaan gebruiken, te verplichten eerst een Data Protection Impact Assessment (“DPIA”), of gegevensbescherming-effectbeoordeling, te laten uitvoeren.

De DPIA is een nieuw instrument dat met de AVG is geïntroduceerd. Het verplicht de partij die verantwoordelijk is voor de verwerking van persoonsgegevens, om zelf te controleren of bepaalde vormen van gegevensverwerking wel zijn toegestaan. Die verwerkingsverantwoordelijke moet in bepaalde gevallen een DPIA uitvoeren op (nieuwe) vormen van gegevensverwerkingen. Het gaat dan om de verwerking van persoonsgegevens met (nieuwe) technologieën, die een groot risico kunnen inhouden voor de privacy van natuurlijke personen.

Specifieke situaties
Wat hiervoor is beschreven ziet alleen op ‘algemene’ situaties. De AVG beschrijft ook een aantal concrete situaties waarin een controle met een DPIA moet worden uitgevoerd.

Het uitvoeren van de controle is dan vooral verplicht wanneer er sprake is van:

• verwerkingen die zien op een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering;
• grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten;
• stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Doordat ook deze omschrijving nog steeds vaag is en daardoor niet heel duidelijk is, heeft AVG ook een verplichting opgelegd aan de nationale toezichthouders. Deze toezichthouders moeten namelijk in hun eigen land een lijst vastleggen, waarin staat beschreven voor welke concrete verwerkingen het uitvoeren van een DPIA verplicht is. De Nederlandse Autoriteit Persoonsgegevens (“AP”) heeft die lijst niet lang geleden openbaar gemaakt.

Lijst van Verwerkingen
Voordat wij de verwerkingen noemen die de AP op de lijst heeft gezet, vinden wij het belangrijk om de volgende algemene aandachtspunten nog aan te stippen:

• ook wanneer een DPIA is uitgevoerd op een concrete verwerking, geldt nog steeds dat bij het gebruikmaken van de verwerking moet worden voldaan aan alle verplichtingen die de AVG stelt;
• iedere verwerkingsverantwoordelijke die een verwerking wil gaan inzetten, waarop een DPIA moet worden uitgevoerd, mag pas beginnen met die verwerking nadát de DPIA daadwerkelijk is uitgevoerd;
• de lijst is niet uitputtend; in geval een verwerking zal worden ingezet, waarop een van de algemene omschrijvingen als hierboven omschreven van toepassing is, zal ook een DPIA moeten worden uitgevoerd.

1. Heimelijk onderzoek

Dit gaat over verborgen onderzoeken (of cameratoezicht), waarover partijen die worden onderzocht dus niet van tevoren worden geïnformeerd. Het kan dan gaan om onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten.

Andere mogelijkheid is het heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (ook in incidentele gevallen, vanwege de ongelijkwaardige machtsverhouding tussen de werknemer en werkgever).

2. Zwarte lijsten

Hierbij moet worden gedacht aan zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld worden gebruikt door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders. Ook ziet dit op zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus.

3. Fraudebestrijding

Hierbij gaat het onder meer ook om de verwerkingen van bijzondere persoonsgegevens in het kader van fraudebestrijding, zoals door sociale diensten of fraudeafdelingen van verzekeraars.

4. Creditscores

Bij dit soort verwerkingen gaat het om onderzoek naar of het gebruik maken van inschattingen om de kredietwaardigheid van natuurlijke personen te bepalen (bijvoorbeeld met creditscores).

5. Financiële situatie

Het verwerken of monitoren van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld bij het maken van overzichten van bankoverschrijvingen, van de saldi van bankrekeningen of overzichten van mobiele- of pinbetalingen, allemaal gericht op natuurlijke personen).

6. Genetische persoonsgegevens

Zodra er genetische persoonsgegevens worden verwerkt en/of gemonitord (zoals het maken van DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken).

7. Gezondheidsgegevens

Wanneer er gegevens over de gezondheid worden verwerkt: bijvoorbeeld door zorginstellingen of voorzieningen voor maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven en verzekeraars. Hierbij moet ook worden gedacht aan grootschalige elektronische uitwisseling van gegevens over gezondheid (let wel: individuele artsen en individuele zorgprofessionals zijn door de AVG expliciet uitgezonderd van de verplichting een DPIA uit te voeren).

8. Samenwerkingsverbanden

In geval van samenwerkingsverbanden tussen gemeenten of andere overheden met andere publieke of private partijen, waarbij bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden etc.) met elkaar worden uitgewisseld, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.

9. Cameratoezicht

Het monitoren van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.

10. Flexibel cameratoezicht

Het gebruik maken van flexibel cameratoezicht (camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten).

11. Controle werknemers

Het verwerken van persoonsgegevens en/of monitoren van activiteiten van werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding).

12. Locatiegegevens

Het verwerken en/of monitoren van locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer).

13. Communicatiegegevens

Het verwerken en/of monitoren van communicatiegegevens waaronder metadata, die herleidbaar zijn tot natuurlijke personen. Een uitzondering geldt als de verwerking noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker.

14. Internet of things

Het verwerken en/of monitoren van persoonsgegevens die worden verzameld door apparaten die verbonden zijn met internet en die via internet of op andere manier gegevens kunnen versturen of uitwisselen (denk daarbij aan alle soorten ‘internet of things’- toepassingen, zoals huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.).

15. Profilering

Wanneer persoonlijke aspecten van natuurlijke personen uitvoerig worden beoordeeld om, door middel van geautomatiseerde verwerking, te komen tot profielen (profilering). Dit gebeurt bijvoorbeeld bij de beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag.

16. Observatie en beïnvloeding van gedrag

Het verwerken van persoonsgegevens waarbij ook via geautomatiseerde verwerking het gedrag van natuurlijke personen wordt geobserveerd of beïnvloed. Hiervan is ook sprake wanneer de genoemde gegevens worden verzameld en/of vastgelegd, inclusief gegevens die worden verzameld om gerichte advertenties aan bezoekers op het internet te kunnen sturen.

17. Biometrische gegevens

Het verwerken en/of monitoren van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Op grond van de AVG is het in beginsel verboden om biometrische gegevens te verwerken met als doel een natuurlijke persoon te identificeren. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet AVG. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan.

Hoewel deze lijst al meer duidelijkheid geeft ten opzichte van de algemene tekst in de AVG, wordt in de uitgewerkte versie van deze lijst nog gebruik gemaakt van termen die een nadere toelichting vereisen, zoals de vraag wanneer er sprake is van ‘grootschalige’ verwerking of ‘stelselmatige’ monitoring. Die termen zijn in specifieke documenten van de Europese – of nationale privacy toezichthouders nader toegelicht.

Meer informatie?
Indien u wilt weten of een verwerking waarvan u gebruik maakt moet worden onderworpen aan een DPIA of u andere vragen heeft over de verwerking van persoonsgegevens en/of het maken van een ‘DPIA’ neemt u dan contact op met ons Team Privacy. Wij kunnen u hierover adviseren en in overleg met u inventariseren in hoeverre een of meerdere van uw verwerkingen moeten worden onderworpen aan een DPIA.

Februari 2020