Is een DPIA verplicht?

Met het in werking treden van de AVG is een gegevensbeschermingseffectbeoordeling, kortweg DPIA, in een aantal gevallen verplicht. Maar in welke gevallen? Een antwoord is niet altijd eenvoudig. Naast de Avg moet rekening worden gehouden met diverse formele uitspraken van toezichthouders.

BMC heeft onderstaande vragenlijst ontwikkeld met alle factoren die van belang zijn. Vult u deze in voor een verwerking van persoonsgegevens, dan krijgt u per ommegaande een antwoord op de vraag of een DPIA verplicht is én waarom dat zo is. Vervolgens kun een kort rapport genereren met uw antwoorden en het resultaat van de analyse. BMC biedt u deze analyse gratis aan.

Soms wordt een vraag overgeslagen omdat uit voorgaande antwoorden blijkt de vraag niet nodig is voor de analyse. De vraag blijft dan grijs en u kunt verder met het invullen van de volgende vraag.

Het invullen van de vragenlijst en de analyse gebeurt geheel in uw internetbrowser, niet op onze servers, waardoor alleen u uw antwoorden op de vragen en de resultaten kunt zien. Na het sluiten van uw browser zijn de gegevens niet meer beschikbaar. Wanneer u het rapport met een van onze adviseurs wilt bespreken, vragen wij u de rapportage af te drukken of op te slaan. Voor het laden van de pagina in uw internetbrowser en het gebruik van links op naar onze website geldt de privacyverklaring van onze website.


Disclaimer:
BMC spant zich in om de (DPIA) app aan u ter beschikking te stellen. De juistheid van de resultaten is afhankelijk van de juistheid van de antwoorden op de vragen. Ondanks dat BMC deze app zorgvuldig heeft samengesteld, aanvaardt BMC geen aansprakelijkheid voor eventuele fouten en/of onvolkomenheden in de software, danwel voor de gevolgen van eventuele onjuistheden in de resultaten die via de app ontsloten worden. BMC is niet aansprakelijk voor enige schade of kosten van u of van derden, uit welke hoofde dan ook, als gevolg van het gebruik van deze app.

Naam van de verwerking

Vul de naam van uw verwerking in:

Stelselmatige en grootschalige verwerking

Vindt de verwerking stelselmatig/systematisch plaats (niet incidenteel of ad hoc)?

JA
NEE

Is het gebruik van gegevens grootschalig? (Er zijn in het algemeen geen aantallen genoemd als het gaat om de invulling van het begrip grootschalig. Relevant zijn het aantal betrokkenen, de hoeveelheid gegevens, geografische omvang en hoe lang gegevens worden bewaard. Aanbevolen wordt de verwerking als grootschalig te zien, tenzij de verwerking op deze aspecten zeer beperkt is.
Voor de zorg geeft de AP aan dat verwerking altijd grootschalig is voor ziekenhuizen, huisartsenposten en zorggroepen. Voor overige zorgaanbieders is de verwerking grootschalig wanneer de patiënt- of cliëntgegevens in één informatiesysteem zitten en meer dan 10.000 patiënten of cliënten zijn ingeschreven of gemiddeld meer dan 10.000 patiënten of cliënten per jaar worden behandeld.)

JA
NEE

Is de verwerkingsverantwoordelijke een individuele beroepsbeoefenaar (arts, advocaat)?

JA
NEE
Beoordeling, profiling of voorspelling van eigenschappen prestaties of gedrag

Worden mensen, hun eigenschappen, economische situatie, gezondheid, voorkeuren, interesses, betrouwbaarheid, prestaties of gedrag beoordeeld, geëvalueerd, gewaardeerd (bijv. met een cijfer) of voorspeld?

JA
NEE

Worden mensen aan profielen of groepen toegewezen op basis van de gebruikte gegevens?

JA
NEE

Worden eigenschappen, prestaties of gedrag van mensen voorspeld?

JA
NEE

Worden geautomatiseerd beslissingen genomen met wezenlijke gevolgen (en/of juridische consequenties, zoals het toekennen van (financiële) middelen of vergunningen)?

JA
NEE
Gevoelige gegevens

Worden er gegevens gebruikt waaruit ras, etnische afkomst, politiek opvattingen, levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (zoals DNA), biometrische gegevens met als doel identificatie (zoals vingerafdrukken, irisscan of foto's), gegevens over gezondheid (zoals verzuim, medicatie of ziektes), gegevens over iemands seksueel gedrag of seksuele gerichtheid?

JA
NEE

Worden gevoelige gegevens gebruikt, zoals BSN, communicatiegegevens, gedrag in privésituaties?

JA
NEE

Worden gegevens gebruikt over strafrechtelijke veroordelingen, strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (zoals gebieds- of huisverboden)?

JA
NEE

Worden gegevens gebruikt over onrechtmatig of hinderlijk gedrag?

JA
NEE

Worden gegevens gebruikt over of een analyse gemaakt van betalingsgedrag en/of kredietwaardigheid?

JA
NEE

Worden gegevens gebruikt waaruit het inkomen, vermogen, schulden, armoede of bestedingspatroon valt af te leiden?

JA
NEE

Worden genetische gegevens (zoals DNA-analyses) gebruikt?

JA
NEE

Worden gegevens over gezondheid, of waaruit de gezondheid valt af te leiden gebruikt (incl. verslaving en psychische aandoeningen)?

JA
NEE

Worden gegevens over werkloosheid of sociale problematiek, betrokkenheid van jeugdzorg of maatschappelijk werk?

JA
NEE

Worden gegevens gebruikt over of herleidbaar tot de locatie van personen, zoals bijvoorbeeld bij het volgen van personen via de locatie van de mobiele telefoon (wifi-/bluetooth-tracking)?

JA
NEE

Worden gegevens gebruikt over communicatie van personen? (te denken valt aan de inhoud van electronische berichten (mail, chat), maar ook aan zogenaamde metainformatie, zoals wie met wie communiceert of welke websites/url's door iemand worden geraadpleegd)

JA
NEE

Worden de communicatiegegevens uit de vorige vraag uitsluitend gebruikt ter bescherming van de integriteit en veiligheid van het netwerk of de dienst van een aanbieder of het randapparaat van de gebruiker?

JA
NEE
Gebruik van de gegevens

Is er sprake van bewaking/observatie of monitoring van openbaar toegankelijke ruimten (bijvoorbeeld met camera's, webcams of drones)?

JA
NEE

Worden mensen systematisch geobserveerd, gevolgd, gecontroleerd of bewaakt/gemonitord? (mogelijk zonder dat zij dit beseffen of kunnen vermijden).

JA
NEE

Worden activiteiten van werknemers geobserveerd, gevolgd, gecontroleerd of bewaakt/gemonitord? (bijv. e-mail, internetgebruik, GPS-systemen, cameratoezicht).

JA
NEE

Worden verschillende gegevensbestanden (mogelijk uit verschillende bronnen of met verschillende doelen verzameld) aan elkaar gekoppeld of met elkaar vergeleken?

JA
NEE

Worden gegevens gebruikt van kwetsbare mensen of mensen in een ongelijke machtsverhouding tot de verwerkingsverantwoordelijke, zoals werknemers, ggz-cliënten, asielzoekers, ouderen, patienten, kinderen?

JA
NEE

Is er sprake van innovatief gebruik of toepassingen van technologische en organisatorische oplossingen (vingerafdrukken/gezichtsherkenning, Internet of Things, GPS, implantaten, etc.)?

JA
NEE

Is er sprake van overdracht van gegevens naar buiten de EU of verwerking van gegevens buiten de EU?

JA
NEE

Kan het gebruik van de gegevens betekenen dat iemand een recht niet meer kan uitoefenen, een dienst niet meer kan gebruiken of een contract niet meer kan afsluiten (zoals het geval is bij zwarte lijsten, credit checks, antecedentenonderzoek)?

JA
NEE

Gaat het om een onderzoek over iemand zonder dat diegene daarvan op de hoogte is (heimelijk onderzoek, zoals recherchebureaus, fraudebestrijding, controle auteursrechten)?

JA
NEE

Gaat het om heimelijk cameratoezicht?

JA
NEE

Worden gegevens gedeeld met anderen?

JA
NEE

Worden gegevens gebruikt voor fraudebestrijding?

JA
NEE

Worden gegevens uitgewisseld in of door een samenwerkingsverband van een overheid met andere partijen?

JA
NEE

Is er sprake van flexibel cameratoezicht, bijvoorbeeld op kleding van handhavers, hulpverleners of dashcams in auto's?

JA
NEE

Gaat het om Internet of Things (apparaten die via het internet of op een andere manier gegevens kunnen uitwisselen, zoals slimme televisies, huishoudelijke apparaten, speelgoed, slimme energiemeters, medische hulpmiddelen, etc.)?

JA
NEE

Gaat het om observatie, verzameling, vastlegging of beïnvloeding van het gedrag van personen (bijvoorbeeld Online Behavioral Advertising)?

JA
NEE
Tijdstip van begin of wijziging van de verwerking

Werd de verwerking voor 25 mei 2018 al uitgevoerd en is de verwerking en zijn de risico’s rond de verwerking daarna gelijk gebleven?

JA
NEE

Is de verwerking na 25 mei 2018 ingevoerd of veranderd of zijn de risico’s daarna veranderd?

JA
NEE

Is de verwerking nog niet gestart?

JA
NEE
Dit was de laatste vraag. Start nu uw DPIA analyse:
START