Is een DPIA verplicht?
Met het in werking treden van de AVG is een gegevensbeschermingseffectbeoordeling, kortweg DPIA, in een aantal gevallen verplicht. Maar in welke gevallen? Een antwoord is niet altijd eenvoudig. Naast de Avg moet rekening worden gehouden met diverse formele uitspraken van toezichthouders.
BMC heeft onderstaande vragenlijst ontwikkeld met alle factoren die van belang zijn. Vult u deze in voor een verwerking van persoonsgegevens, dan krijgt u per ommegaande een antwoord op de vraag of een DPIA verplicht is én waarom dat zo is. Vervolgens kun een kort rapport genereren met uw antwoorden en het resultaat van de analyse. BMC biedt u deze analyse gratis aan.
Soms wordt een vraag overgeslagen omdat uit voorgaande antwoorden blijkt de vraag niet nodig is voor de analyse. De vraag blijft dan grijs en u kunt verder met het invullen van de volgende vraag.
Het invullen van de vragenlijst en de analyse gebeurt geheel in uw internetbrowser, niet op onze servers, waardoor alleen u uw antwoorden op de vragen en de resultaten kunt zien. Na het sluiten van uw browser zijn de gegevens niet meer beschikbaar. Wanneer u het rapport met een van onze adviseurs wilt bespreken, vragen wij u de rapportage af te drukken of op te slaan. Voor het laden van de pagina in uw internetbrowser en het gebruik van links op naar onze website geldt de privacyverklaring van onze website.
Disclaimer:
BMC spant zich in om de (DPIA) app aan u ter beschikking te stellen. De juistheid van de resultaten is afhankelijk van de juistheid van de antwoorden op de vragen. Ondanks dat BMC deze app zorgvuldig heeft samengesteld, aanvaardt BMC geen aansprakelijkheid voor eventuele fouten en/of onvolkomenheden in de software, danwel voor de gevolgen van eventuele onjuistheden in de resultaten die via de app ontsloten worden. BMC is niet aansprakelijk voor enige schade of kosten van u of van derden, uit welke hoofde dan ook, als gevolg van het gebruik van deze app.
Naam van de verwerking
Vul de naam van uw verwerking in:
Vindt de verwerking stelselmatig/systematisch plaats (niet incidenteel of ad hoc)?
Is het gebruik van gegevens grootschalig? (Er zijn in het algemeen geen aantallen genoemd als het gaat om de invulling van het begrip grootschalig. Relevant zijn het aantal betrokkenen, de hoeveelheid gegevens, geografische omvang en hoe lang gegevens worden bewaard. Aanbevolen wordt de verwerking als grootschalig te zien, tenzij de verwerking op deze aspecten zeer beperkt is.
Voor de zorg geeft de AP aan dat verwerking altijd grootschalig is voor ziekenhuizen, huisartsenposten en zorggroepen. Voor overige zorgaanbieders is de verwerking grootschalig wanneer de patiënt- of cliëntgegevens in één informatiesysteem zitten en meer dan 10.000 patiënten of cliënten zijn ingeschreven of gemiddeld meer dan 10.000 patiënten of cliënten per jaar worden behandeld.)
Is de verwerkingsverantwoordelijke een individuele beroepsbeoefenaar (arts, advocaat)?
Worden mensen, hun eigenschappen, economische situatie, gezondheid, voorkeuren, interesses, betrouwbaarheid, prestaties of gedrag beoordeeld, geëvalueerd, gewaardeerd (bijv. met een cijfer) of voorspeld?
Worden mensen aan profielen of groepen toegewezen op basis van de gebruikte gegevens?
Worden eigenschappen, prestaties of gedrag van mensen voorspeld?
Worden geautomatiseerd beslissingen genomen met wezenlijke gevolgen (en/of juridische consequenties, zoals het toekennen van (financiële) middelen of vergunningen)?
Worden er gegevens gebruikt waaruit ras, etnische afkomst, politiek opvattingen, levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens (zoals DNA), biometrische gegevens met als doel identificatie (zoals vingerafdrukken, irisscan of foto's), gegevens over gezondheid (zoals verzuim, medicatie of ziektes), gegevens over iemands seksueel gedrag of seksuele gerichtheid?
Worden gevoelige gegevens gebruikt, zoals BSN, communicatiegegevens, gedrag in privésituaties?
Worden gegevens gebruikt over strafrechtelijke veroordelingen, strafbare feiten of daarmee verband houdende veiligheidsmaatregelen (zoals gebieds- of huisverboden)?
Worden gegevens gebruikt over onrechtmatig of hinderlijk gedrag?
Worden gegevens gebruikt over of een analyse gemaakt van betalingsgedrag en/of kredietwaardigheid?
Worden gegevens gebruikt waaruit het inkomen, vermogen, schulden, armoede of bestedingspatroon valt af te leiden?
Worden genetische gegevens (zoals DNA-analyses) gebruikt?
Worden gegevens over gezondheid, of waaruit de gezondheid valt af te leiden gebruikt (incl. verslaving en psychische aandoeningen)?
Worden gegevens over werkloosheid of sociale problematiek, betrokkenheid van jeugdzorg of maatschappelijk werk?
Worden gegevens gebruikt over of herleidbaar tot de locatie van personen, zoals bijvoorbeeld bij het volgen van personen via de locatie van de mobiele telefoon (wifi-/bluetooth-tracking)?
Worden gegevens gebruikt over communicatie van personen? (te denken valt aan de inhoud van electronische berichten (mail, chat), maar ook aan zogenaamde metainformatie, zoals wie met wie communiceert of welke websites/url's door iemand worden geraadpleegd)
Worden de communicatiegegevens uit de vorige vraag uitsluitend gebruikt ter bescherming van de integriteit en veiligheid van het netwerk of de dienst van een aanbieder of het randapparaat van de gebruiker?
Is er sprake van bewaking/observatie of monitoring van openbaar toegankelijke ruimten (bijvoorbeeld met camera's, webcams of drones)?
Worden mensen systematisch geobserveerd, gevolgd, gecontroleerd of bewaakt/gemonitord? (mogelijk zonder dat zij dit beseffen of kunnen vermijden).
Worden activiteiten van werknemers geobserveerd, gevolgd, gecontroleerd of bewaakt/gemonitord? (bijv. e-mail, internetgebruik, GPS-systemen, cameratoezicht).
Worden verschillende gegevensbestanden (mogelijk uit verschillende bronnen of met verschillende doelen verzameld) aan elkaar gekoppeld of met elkaar vergeleken?
Worden gegevens gebruikt van kwetsbare mensen of mensen in een ongelijke machtsverhouding tot de verwerkingsverantwoordelijke, zoals werknemers, ggz-cliënten, asielzoekers, ouderen, patienten, kinderen?
Is er sprake van innovatief gebruik of toepassingen van technologische en organisatorische oplossingen (vingerafdrukken/gezichtsherkenning, Internet of Things, GPS, implantaten, etc.)?
Is er sprake van overdracht van gegevens naar buiten de EU of verwerking van gegevens buiten de EU?
Kan het gebruik van de gegevens betekenen dat iemand een recht niet meer kan uitoefenen, een dienst niet meer kan gebruiken of een contract niet meer kan afsluiten (zoals het geval is bij zwarte lijsten, credit checks, antecedentenonderzoek)?
Gaat het om een onderzoek over iemand zonder dat diegene daarvan op de hoogte is (heimelijk onderzoek, zoals recherchebureaus, fraudebestrijding, controle auteursrechten)?
Gaat het om heimelijk cameratoezicht?
Worden gegevens gedeeld met anderen?
Worden gegevens gebruikt voor fraudebestrijding?
Worden gegevens uitgewisseld in of door een samenwerkingsverband van een overheid met andere partijen?
Is er sprake van flexibel cameratoezicht, bijvoorbeeld op kleding van handhavers, hulpverleners of dashcams in auto's?
Gaat het om Internet of Things (apparaten die via het internet of op een andere manier gegevens kunnen uitwisselen, zoals slimme televisies, huishoudelijke apparaten, speelgoed, slimme energiemeters, medische hulpmiddelen, etc.)?
Gaat het om observatie, verzameling, vastlegging of beïnvloeding van het gedrag van personen (bijvoorbeeld Online Behavioral Advertising)?
Werd de verwerking voor 25 mei 2018 al uitgevoerd en is de verwerking en zijn de risico’s rond de verwerking daarna gelijk gebleven?
Is de verwerking na 25 mei 2018 ingevoerd of veranderd of zijn de risico’s daarna veranderd?
Is de verwerking nog niet gestart?