Wanneer moet u een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren?

Een DPIA is bedoeld om bij voorgenomen verwerkingsactiviteiten de mogelijke nadelige effecten daarvan voor de betrokkenen in kaart te brengen en te beoordelen.

Het is de bedoeling dat op basis van de beoordeling maatregelen kunnen worden getroffen waarbij de nadelige effecten kunnen worden voorkomen of beperkt. Een DPIA moet worden uitgevoerd indien een voorgenomen verwerking een ‘hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. Een dus is van belang dat met juridische kennis van zaken de vraag wordt beantwoord: wanneer is sprake van een dergelijk ‘hoog risico’?

In de Staatscourant nr. 64418, d.d. 27 november 2019, heeft de Autoriteit Persoonsgegevens een ‘kruislijst’ gepubliceerd met soorten verwerkingen, gerelateerd aan negen benoemde criteria.

Van belang is echter te vermelden dat de lijst niet limitatief is. Dat betekent dat van geval tot geval moet worden bezien in hoeverre een DPIA noodzakelijk is, waarbij niet eenvoudigweg alleen de lijst in acht wordt genomen. Zo kan op voorhand worden gemeld dat doorgifte van gegevens naar landen buiten de Unie niet in de lijst is vermeld maar zeker onderwerp van een DPIA is.