Als organisatie bent u in sommige gevallen verplicht om een gegevensbeschermingseffectbeoordeling, oftewel een DPIA, uit te voeren. Dit is mogelijk voor u een minder bekend gedeelte uit de privacywetgeving, maar zeker niet onbelangrijk. Lees hieronder in het kort wanneer u een DPIA moet uitvoeren.
Wat is een DPIA?
Een DPIA is een instrument om van voorgenomen verwerkingen van persoonsgegevens, de effecten voor betrokkenen op een gestructureerde en gestandaardiseerde wijze in kaart brengen en te beoordelen. Op basis hiervan kunnen maatregelen worden getroffen om de risico’s die de verwerkingen eventueel kunnen opleveren in te perken.
Wanneer is een DPIA nodig?
Een DPIA is in ieder geval in de volgende gevallen vereist:
- Verwerking ter beoordeling van persoonlijke aspecten, bijvoorbeeld profilering. Een voorbeeld van profilering is wanneer een webshop aan de hand van persoonsgegevens een profiel van een consument samenstelt, teneinde bepaalde aanbiedingen aan de consument aan te kunnen bieden;
- Grootschalige verwerking van bijzondere persoonsgegevens en strafrechtelijke gegevens, bijvoorbeeld patiëntendossiers in een ziekenhuis;
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, hierbij kun je denken aan veelvuldig cameratoezicht in een winkelstraat.
Deze lijst is niet beperkt tot het bovenstaande. Ook op basis van andere factoren kan het noodzakelijk zijn om een DPIA uit te voeren, bijvoorbeeld bij het in gebruik nemen van nieuwe software.
Een DPIA in de zorg
Bij zorgorganisaties komt geregeld grootschalige verwerking van bijzondere persoonsgegevens voor. De Autoriteit Persoonsgegevens heeft hiervoor specifieke richtlijnen opgesteld. Verwerkingen van bijzondere persoonsgegevens door ziekenhuizen, apotheken, huisartsenposten en zorggroepen worden altijd als grootschalig aangemerkt.
Bij huisartsenpraktijken en instellingen voor medisch specialistische zorg (die geen ziekenhuis zijn) is verwerking van bijzondere persoonsgegevens grootschalig wanneer een praktijk of instelling meer dan 10.000 ingeschreven patiënten heeft of gemiddeld meer dan 10.000 patiënten per jaar behandelt.
Tot slot
Wilt u weten of u een DPIA uit moet voeren? Of wilt u weten hoe een DPIA precies uitgevoerd moet worden? Neem contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088-8840840. We helpen u graag verder!
