De Autoriteit Persoonsgegevens heeft op 27 november 2019 de definitieve lijst van verwerkingen waarvoor een dPIA / gegevensbeschermingseffectbeoordeling verplicht is in de Staatscourant gepubliceerd.
Risicovolle verwerkingen voorafgaande dPIA
Op grond van de Algemene verordening gegevensbescherming is het voor bepaalde risicovolle verwerkingen verplicht om voorafgaand aan die verwerking een zogenaamde "gegevensbeschermingseffectbeoordeling" of dPIA te verrichten.
Het idee daarvan is dat de betreffende organisatie zodoende gedwongen wordt om vooraf de risico's te inventariseren ook zoveel mogelijk te mitigeren. Over de ernstige restrisico's die de organisatie niet zelf weet te mitigeren moet overleg worden gevoerd met de Autoriteit Persoonsgegevens (AP). De AP kan vervolgens aanwijzingen geven (en in afwachting daarvan ligt de verwerking stil).
Eerdere richtsnoeren: geen harde lijst
Al in 2017 zijn er op Europees niveau richtsnoeren vastgesteld met criteria om te bepalen of een dPIA verplicht is of niet. In die eerdere Europese richtsnoeren staat nog uitdrukkelijk dat geen van die criteria op zichzelf bepalend is; steeds moet naar het feitelijke risico van de voorgenomen verwerkingen worden gekeken. De criteria zijn zodoende eerder een indicatie dan een vaststaand gegeven van een risico.
Huidige lijst: wel harde lijst
Opmerkelijk is nu dat de AP op basis van die indicatieve, richtinggevende lijst uit Europa, nu voor Nederland een lijst maakt met "harde" omstandigheden waarbij een dPIA verplicht is.
Op de lijst staan de volgende onderwerpen, met de volgende bijbehorende toelichting (citaat):
- Heimelijk onderzoek
Grootschalige verwerkingen van persoonsgegevens en-of stelselmatige monitoring waarbij informatie wordt verzameld door middel van onderzoek zonder de betrokkene daarvan vooraf op de hoogte te stellen (bijvoorbeeld: heimelijk onderzoek door particuliere recherchebureaus, onderzoek in het kader van fraudebestrijding en onderzoek op internet in het kader van bijvoorbeeld online handhaving van auteursrechten). Een gegevensbeschermingseffectbeoordeling (DPIA) is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers (bij deze laatste verwerking dient ook in incidentele gevallen een gegevensbeschermingseffectbeoordeling (DPIA) te worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen de betrokkene (werknemer) en de verwerkingsverantwoordelijke (werkgever)). [3], [5], [7]- Zwarte lijsten
Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door bedrijven of particulieren worden verwerkt en gedeeld met derden (artikel 33, vierde lid, aanhef en onder c, van de Uitvoeringswet Algemene verordening gegevensbescherming)(zwarte lijsten of waarschuwingslijsten, zoals deze bijvoorbeeld gebruikt worden door verzekeraars, horecabedrijven, winkelbedrijven, telecomproviders alsook zwarte lijsten die betrekking hebben op onrechtmatig gedrag van werknemers, bijvoorbeeld in de zorg of door uitzendbureaus). [4], [6], [7], [8]- Fraudebestrijding
Grootschalige verwerkingen van (bijzondere) persoonsgegevens en-of stelselmatige monitoring in het kader van fraudebestrijding (bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars). [3], [4], [5], [9]- Creditscores
Grootschalige gegevensverwerkingen en/of stelselmatige monitoring die leiden tot of gebruik maken van inschattingen van de kredietwaardigheid van natuurlijke personen, bijvoorbeeld tot uitdrukking gebracht in een creditscore. [1], [2], [3], [4], [5], [9]- Financiële situatie
Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden (bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen). [3], [4], [5]- Genetische persoonsgegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van genetische persoonsgegevens (bijvoorbeeld DNA-analyses ten behoeve van het in kaart brengen van persoonlijke kenmerken, biodatabanken). [3], [4], [5]- Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars, en onderzoeksinstituten) waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid (let wel: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de Algemene verordening gegevensbescherming uitgezonderd van de verplichting een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren). [4], [5], [7]- Samenwerkingsverbanden
Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten. [6], [7], [8]- Cameratoezicht
Grootschalige en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones. [3], [5]- Flexibel cameratoezicht
Grootschalig en/of stelselmatig gebruik van flexibel cameratoezicht (camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten). [3], [5]- Controle werknemers
Grootschalige verwerking van persoonsgegevens en-of stelselmatig monitoring van activiteiten van werknemers (bijvoorbeeld controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding). [3], [5], [7]- Locatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer). [3], [5]- Communicatiegegevens
Grootschalige verwerking en/of stelselmatige monitoring van communicatiegegevens inclusief metadata herleidbaar tot natuurlijke personen, tenzij en voor zover dit noodzakelijk is ter bescherming van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder, of het randapparaat van de eindgebruiker. [3], [5]- Internet of things
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etcetera). [3], [5], [8]- Profilering
Systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), zoals bijvoorbeeld beoordeling van beroepsprestaties, prestaties van leerlingen, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag. [1], [3]- Observatie en beïnvloeding van gedrag
Grootschalige verwerkingen van persoonsgegevens waarbij op stelselmatige wijze via geautomatiseerde verwerking gedrag van natuurlijke personen geobserveerd of beïnvloed, dan wel gegevens daarover worden verzameld en/of vastgelegd, inclusief gegevens die voor het doel online behavioural advertising worden verzameld. [1], [5]- Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.
Op grond van de Algemene verordening gegevensbescherming is de verwerking van biometrische gegevens met als doel de unieke identificatie van een natuurlijk persoon, in beginsel verboden. In Nederland zijn aanvullende voorwaarden gesteld in artikel 29 van de Uitvoeringswet Algemene verordening gegevensbescherming. Enkel als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden, is de verwerking van biometrische gegevens toegestaan. [3], [5], [8]
Grootschalig, grootschalig, grootschalig
Opvallend is dat in de lijst veelvuldig de term "grootschalig" voorkomt. De AP heeft nota bene zelf op haar website staan dat in de AVG niet duidelijk is gedefinieerd wat onder dit begrip moet worden verstaan. Waarom de AP er dan toch voor kiest een definitieve lijst vast te stellen en niet eerst tracht het begrip in Europees verband nader te duiden, is mij niet duidelijk.
Gedelegeerde bevoegdheid
Het is verder goed te weten dat - anders dan bij veel andere documenten van de AP - de lijst is te zien als een soort wetgeving, niet ("slechts") als een beleidsstuk of opinie. Artikel 35 lid 5 van de AVG bepaalt namelijk dat de de toezichthouder een lijst kan opstellen waarvoor een dPIA verplicht is.
Voldoende SMART?
Het is wel de vraag of de huidige lijst voldoende 'SMART' verwoord is om aan het lex certa beginsel (rechtszekerheidsbeginsel) te voldoen, mede gelet op de vele open normen en begrippen in het document. Dat is echter een discussie die u pas zult kunnen voeren nadat de AP handhavend bij u optreedt. Dat is dus niet een route waar u op voorhand op zou moeten willen varen.
Mogelijke sancties
De AP heeft het niet voldoen aan de verplichting om een dPIA te houden in de boetebeleidsregels in categorie II geplaatst. Dat betekent dat de basisboete € 310.000,-- bedraagt, met een bandbreedte tussen de € 120.000,-- en € 500.000,--.
Verder kan de AP ook met andersoortige maatregelen optreden, zoals het opleggen van een last onder dwangsom of het opleggen van een verwerkingsverbod.
Zeker voor partijen die verwerkingen uitvoeren die zeer waarschijnlijk onder de wettelijke verplichting vallen, is het dus oppassen geblazen. De AP kan in het kader van haar controlebevoegdheden eenvoudig opvragen of een dPIA heeft plaatsgevonden en vervolgens een sanctie treffen omdat de dPIA niet of (naar de smaak van de AP) niet goed is uitgevoerd. Voor de AP is dat relatief makkelijk scoren, al was het maar omdat veel partijen nog zoekende zijn over hoe een dPIA uit te voeren en er dus al snel wat aan te merken zal (kunnen) zijn op die dPIA's.
Vragen?
Heeft u vragen over hoe uw organisatie moet omgaan met de verplichtingen uit de privacywet? Neem gerust contact op.