De Autoriteit Persoonsgegevens (AP) heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU) en geldt in het bijzonder bij biometrische identificatie.

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie een organisatie gegevens wil verwerken). Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

Verplichte lijst
In de Algemene verordening gegevensbescherming (AVG) staat dat alle privacytoezichthouders in de EU zo’n DPIA-lijst moeten maken en publiceren. Ook vermeldt de AVG dat zij vervolgens deze lijst met elkaar moeten afstemmen als er bepaalde verwerkingen op staan, zoals het observeren van het gedrag van betrokkenen in verschillende lidstaten.
De definitieve DPIA-lijst van de AP kent enkele wijzigingen ten opzichte van de eerdere lijst. Zo is er een extra categorie van verwerkingen toegevoegd: biometrische gegevens.

Meer informatie

• Dossier Data protection impact assessment (DPIA)
• Voor welke soorten verwerkingen is het uitvoeren van een DPIA verplicht?