DPIA - Wanneer nodig

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de AVG ben je - ook als kleine organisatie - in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren.

N.B. Dit geldt niet voor individuele zorgverleners (zie onderaan).

Wat is een DPIA?

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat je maatregelen kunt nemen om de risico’s te verkleinen.

Wanneer sprake van hoog privacyrisico?

De werkgroep van Europese privacytoezichthouders (WP29) heeft een lijst van criteria opgesteld om verantwoordelijken te helpen om het privacyrisico van een gegevensverwerking in te schatten. Voor zorgaanbieders kunnen de volgende criteria uit die lijst leiden tot een hoog risico:

1.  Je verwerkt gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.

2.  Je verwerkt op grote schaal (bijzondere) persoonsgegevens

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De werkgroep van Europese toezichthouders adviseert om met de volgende criteria te bepalen of hiervan sprake is:

  • de hoeveelheid mensen van wie gegevens worden verwerkt;
  • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • de tijdsduur van de gegevensverwerking;
  • de geografische reikwijdte van de gegevensverwerking.

De AP heeft specifiek voor de zorg nadere invulling gegeven over het begrip grootschaligheid. Zie voor meer informatie onder het onderwerp “grootschaligheid uitgelegd”.

3.  Je verwerkt gegevens over kwetsbare personen

Bij bijvoorbeeld zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen de zorgaanbieder als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten.

Niet verplicht voor individuele zorgverleners

Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

Meer vragen en antwoorden over dit onderwerp lees je in het DPIA-dossier van de AP.