DPIA - Wanneer nodig

Sommige gegevensverwerkingen leveren een hoog privacyrisico op voor de betrokken personen. Onder de AVG ben je - ook als kleine organisatie - in zo’n geval verplicht om een data protection impact assessment (DPIA) uit te voeren. Dit geldt niet voor individuele zorgverleners. Een individuele zorgverlener, dus een natuurlijke persoon die beroepsmatig zorg verleent, is hoe dan ook niet verplicht om een DPIA uit te voeren.

De Autoriteit Persoonsgegevens (AP) heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een DPIA verplicht is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU). Als de voorgenomen gegevensverwerking niet op de lijst staat, kan er nog steeds een DPIA nodig zijn. Als er sprake is van een hoog privacy risico, zal je alsnog een DPIA uit moeten voeren. Ook al staat deze verwerking niet op de definitieve lijst van de AP. Wanneer er sprake is van een hoog privacy risico, lees je hieronder.

Wanneer sprake van hoog privacyrisico?

Voor zorgaanbieders kunnen de volgende criteria leiden tot een hoog risico:

1.  Je verwerkt gevoelige gegevens

Het gaat hierbij om bijzondere categorieën van persoonsgegevens, zoals gegevens over de gezondheid van mensen.

2.  Je verwerkt op grote schaal (bijzondere) persoonsgegevens

De AVG geeft geen definitie van ‘grootschalige gegevensverwerkingen’. De volgende criteria kunnen helpen om te bepalen of hiervan sprake is:

  • de hoeveelheid mensen van wie gegevens worden verwerkt;
  • de hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt;
  • de tijdsduur van de gegevensverwerking;
  • de geografische reikwijdte van de gegevensverwerking.

De AP heeft specifiek voor de zorg nadere invulling gegeven over het begrip grootschaligheid. Zie voor meer informatie onder het onderwerp “grootschaligheid uitgelegd”.

3.  Je verwerkt gegevens over kwetsbare personen

Bij bijvoorbeeld zorgaanbieders kan er sprake zijn van een ongelijke machtsverhouding tussen de zorgaanbieder als verantwoordelijke en de betrokken personen zoals kinderen, ouderen, wilsonbekwame en andere kwetsbare patiënten.

Meer vragen en antwoorden over dit onderwerp lees je in het DPIA-dossier van de AP.