Pre DPIA

Inventarisatie privacyrisico's in onderzoeksprojecten (DPIA)

Om grote privacyrisico's bij de verwerking van gegevens te voorkomen, heeft de Europese privacytoezichthouder tien criteria vastgesteld. Deze criteria hebben betrekking op de persoonsgegevens van levende personen. Geef je inschatting weer of bij de verwerking het criterium van toepassing is of niet. Bij twijfel: vul dan ‘Ja’ in.

Algemene gegevens

Vul hier gegevens over jezelf en over je project.

Vraag 1

Worden er persoonsgegevens van levende personen verwerkt?

De AVG is alleen van toepassing op levende personen. Een foto van een graf met de gegevens van een overleden persoon valt bijvoorbeeld niet onder de AVG.

Vraag 2

Worden mensen beoordeeld op basis van persoonskenmerken?

Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeeld: een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt.

Vraag 3

Is er sprake van geautomatiseerde beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare gevolgen hebben?

Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium.

Vraag 4

Is er sprake van stelselmatige en grootschalige monitoring?

Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken.

Vraag 5

Worden er gevoelige persoonsgegevens verwerkt?

Het gaat hierbij om bijzondere categorieën van persoonsgegevens (ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, seksueel gedrag en seksuele gerichtheid en het gaat hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens.

Vraag 6

Is er sprake van grootschalige gegevensverwerkingen?

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De Europese privacytoezichthouders adviseren om met de volgende criteria te bepalen of hiervan sprake is:
1) de hoeveelheid mensen van wie gegevens worden verwerkt (meer dan 1000);
2) de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
3) de tijdsduur van de gegevensverwerking (meerdere jaren);
4) de geografische reikwijdte van de gegevensverwerking.
Schat in of er sprake is van grootschaligheid.

Vraag 7

Is er sprake van gekoppelde databases?

Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten.

Vraag 8

Worden er persoonsgegevens over kwetsbare personen verwerkt?

Bij het verwerken van dit type gegevens kan een DPIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan.

Vraag 9

Worden er nieuwe technologieën gebruikt?

De AVG is er duidelijk over dat een DPIA nodig kan zijn bij het gebruik van een nieuwe technologie. De reden hiervoor is dat dit gebruik gepaard kan gaan met nieuwe manieren om gegevens te verzamelen en te gebruiken, met mogelijk grote privacy risico’s. De persoonlijke en maatschappelijke gevolgen van het gebruik van een nieuwe technologie kunnen zelfs nog onbekend zijn. Een DPIA helpt de verantwoordelijke dan om de risico’s te begrijpen en passende maatregelen te nemen. Sommige ‘Internet of Things’-toepassingen bijvoorbeeld kunnen een grote impact hebben op het dagelijks leven en de privacy van mensen, waardoor hierbij een DPIA nodig is.

Vraag 10

Worden er gegevens verwerkt die tot gevolg kunnen hebben dat rechten, diensten of contracten worden geblokkeerd?

Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen:
a) een recht niet kunnen uitoefenen of;
b) een dienst niet kunnen gebruiken of;
c) een contract niet kunnen afsluiten.
Bijvoorbeeld een bank die persoonsgegevens verwerkt om te bepalen of zij een lening aan iemand willen verstrekken.

Vraag 11

Worden de persoonsgegevens gedeeld buiten de EU?

Buiten de Europese Unie gelden andere privacyregels. Dit beschermingsniveau is vaak lager dan het niveau dat door de AVG gewaarborgd wordt. Hierdoor kunnen aanvullende maatregelen vereist zijn.

Einde

Dank voor je medewerking. Resultaat: