Data Protection Impact Assessment (DPIA) – Achtergrond informatie

Waneer dient een DPIA uitgevoerd te worden?

DPIA niet verplicht voor iedere verwerking van persoonsgegevens.

Opmerkingen:

  • Een DPIA is aan te raden voor een verwerking waarbij nieuwe technologieën worden gebruikt.
  • Geen DPIA nodig indien het een verwerking van persoonsgegevens van patiënten of cliënten door een zorgprofessional (arts of andere) of door een advocaat betreft

Ter verduidelijking van het begrip “waarschijnlijk een hoog risico” werd een (niet limitatieve) lijst opgesteld van verwerkingen waarvoor een DPIA verplicht is:

1.wanneer de verwerking gebruik maakt van biometrie ter identificatie van betrokkenen;

2.wanneer de verwerking gebruik maakt van genetische gegevens;

3.wanneer persoonsgegevens ingezameld worden bij derden om vervolgens in aanmerking te worden genomen bij de beslissing om een dienstverlening te weigeren of stop te zetten;

4.wanneer de verwerking dient om de financiële solvabiliteit van de betrokkene te beoordelen of om enig ander risicoprofiel van betrokkene te genereren dat in aanmerking genomen wordt bij dienstverlening aan de betrokkene (of bij de beslissing om een dienstverlening te weigeren of stop te zetten);

5.wanneer de verwerking van die aard is dat een inbreuk op persoonsgegevens de fysieke gezondheid van de betrokkene in het gedrang zou kunnen brengen;

6.wanneer de verwerking financiële of gevoelige persoonsgegevens betreft die (her)gebruikt worden voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld, behoudens wanneer de verwerking hetzij is gebaseerd is op de toestemming van de betrokkene, hetzij noodzakelijk is
om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

7.wanneer de verwerking aanleiding geeft tot een mededeling of ter beschikking stelling aan het publiek van persoonsgegevens die betrekking hebben op een groot aantal betrokkenen;

8.wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

9.wanneer er op grote schaal profielen van natuurlijke personen worden opgesteld;

10.ingeval van grootschalige verwerking van persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, voor (een) doeleinde(n) andere dan degene waarvoor ze werden ingezameld;

11.wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens;

12.wanneer de verwerking ertoe strekt om de kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen te registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden

Ter verduidelijking van het begrip “waarschijnlijk een hoog risico” werd een (niet limitatieve) lijst opgesteld van verwerkingen waarvoor geen DPIA verplicht is:

1.Verwerkingen van persoonsgegevens die uitsluitend betrekking hebben op gegevens welke noodzakelijk zijn voor

  • de loonadministratie van personen in dienst
  • de administratie van het personeel in dienst
  • de boekhouding
  • de administratie van aandeelhouders en vennoten
  • de registratie van bezoekers in het kader van een toegangscontrole wanneer de verwerkte gegevens beperkt blijven tot de naam en het beroepsadres van de bezoeker, de identificatie van zijn werkgever, de identificatie van het voertuig van de bezoeker, de naam, afdeling en functie van de bezochte persoon en het tijdstip van het bezoek

wanneer de gegevens uitsluitend daarvoor worden gebruikt, alleen worden meegedeeld aan de ontvangers die daartoe gerechtigd zijn en niet langer worden bewaard dan nodig voor de doeleinden van de verwerking;

  1. Verwerkingen van persoonsgegevens verricht door een stichting, een vereniging of enig andere instelling zonder winstoogmerk in het kader van haar gewone activiteiten, voor zover de verwerking uitsluitend betrekking heeft op persoonsgegevens betreffende de eigen leden, betreffende personen met wie de verantwoordelijke voor de verwerking regelmatige contacten onderhoudt en betreffende begunstigers van de stichting, vereniging of instelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en de verwerkte persoonsgegevens niet langer worden bewaard dan nodig voor de administratie van de leden, van de contactpersonen en van de begunstigers en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld;

3.Verwerkingen van persoonsgegevens verricht door onderwijsinstellingen met het oog op het beheer van hun relaties met hun leerlingen of studenten in het kader van hun onderwijsopdrachten, voor zover de verwerking alleen betrekking heeft op persoonsgegevens betreffende potentiële, huidige en gewezen leerlingen of studenten van de betrokken onderwijsinstelling en er geen personen worden geregistreerd op grond van gegevens verkregen van derden en alleen in het kader van de toepassing van een wets- of verordeningsbepaling aan derden worden meegedeeld en niet langer worden bewaard dan nodig voor het beheer van de relatie met de leerling of student.

Wanneer is een voorafgaande raadpleging nodig?

Enkel wanneer tijdens het uitvoeren van een DPIA wordt vastgesteld dat het residueel (*) risico hoog is, dient de verwerking voorafgaandelijk te worden voorgelegd aan de toezichthoudende autoriteit.

M.a.w. Indien het risico afdoende beperkt kan worden aan de hand van passende technische en organisatorische maatregelen, dient er géén voorafgaande raadpleging plaats te vinden.

De toezichthoudende autoriteit geeft binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies (de termijn kan in bepaalde situaties worden verleng of opgeschort)

(*) Bij het mitigeren van een risico (of risicobeheer) kan er doorgaans een onderscheid gemaakt worden tussen het “inherente” risico en het “residuele” risico.
Het “inherente” risico verwijst naar de waarschijnlijkheid dat een negatieve impact zich zal voordoen wanneer er geen beschermingsmaatregelen genomen worden.

Het “residuele” risico verwijst naar de waarschijnlijkheid dat een negatieve impact zich zal voordoen, ondanks de maatregelen die genomen worden om het (inherent) risico te beperken.