Wanneer is een Privacy Impact Assessment (PIA) verplicht?

Als verantwoordelijke (in de AVG: 'verwerkingsverantwoordelijke' genoemd) moet er een privacy impact assessment (PIA) worden uitgevoerd wanneer een gegevensverwerking waarschijnlijk een hoog privacy-risico oplevert. Dit moet een organisatie zelf bepalen. De werkgroep van Europese privacytoezichthouders (WP29) heeft hiervoor een lijst van 10 criteria opgesteld. Hoe meer criteria van toepassing zijn, hoe waarschijnlijker het is dat deze een hoog risico oplevert. (Vuistregel: u moet een PIA uitvoeren als uw verwerking aan 2 of meer van de onderstaande 10 criteria voldoet).

1. Beoordelen van mensen op basis van persoonskenmerken - Het gaat hierbij onder meer om profiling en het maken van prognoses, met name op basis van kenmerken als iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen. Voorbeelden hiervan zijn een bank die de kredietwaardigheid van klanten bepaalt (creditscoring), een bedrijf dat DNA-testen aan consumenten levert om gezondheidsrisico’s te testen en een bedrijf dat bezoekers van zijn website volgt en op basis daarvan profielen van deze mensen opstelt;
2. Geautomatiseerde beslissingen - Het gaat hierbij om beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare wezenlijke gevolgen hebben. Zo’n gegevensverwerking kan er bijvoorbeeld toe leiden dat mensen worden uitgesloten of gediscrimineerd. Gegevensverwerkingen met geringe of geen gevolgen voor mensen vallen niet onder dit criterium;
3. Stelselmatige en grootschalige monitoring - Het gaat hierbij om monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met cameratoezicht. Hierbij kunnen persoonsgegevens worden verzameld zonder dat betrokkenen weten wie hun gegevens verzamelt en wat daar vervolgens mee gebeurt. Bovendien kan het onmogelijk zijn voor mensen om zich in openbare ruimten aan deze gegevensverwerking te onttrekken;
4. Gevoelige gegevens - Het gaat hierbij om bijzondere categorieën van persoonsgegevens (zie artikel 9 van de AVG), zoals informatie over iemands politieke voorkeuren. Ook strafrechtelijke gegevens vallen hieronder. Tot slot gaat het hier ook om gegevens die over het algemeen als privacygevoelig worden beschouwd, zoals gegevens over elektronische communicatie, locatiegegevens en financiële gegevens;
5. Grootschalige gegevensverwerkingen (in termen van hoeveelheid mensen van wie gegevens worden verwerkt, hoeveelheid gegevens en/of de verscheidenheid aan gegevens die worden verwerkt, tijdsduur van de gegevensverwerking en/of geografische reikwijdte van de gegevensverwerking);
6. Gekoppelde databases - Het gaat hierbij om gegevensverzamelingen die aan elkaar gekoppeld of met elkaar gecombineerd zijn. Bijvoorbeeld databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of uitgevoerd door verschillende verantwoordelijken, op een manier die betrokkenen niet redelijkerwijs kunnen verwachten;
7. Gegevens over kwetsbare personen - Bij het verwerken van dit type gegevens kan een PIA nodig zijn omdat er sprake is van een ongelijke machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit heeft als gevolg dat betrokkenen niet in vrijheid toestemming kunnen geven of weigeren voor het verwerken van hun gegevens. Het kan hierbij om bijvoorbeeld werknemers, kinderen en patiënten gaan;
8. Gebruik van nieuwe technologieën - Deze gaan in de regel gepaard met nieuwe vormen van verzamelen en verwerken van persoonsgegevens, zoals bijvoorbeeld toepassing van IoT (Internet of Things);
9. Doorgifte van persoonsgegevens buiten de EU - De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Buiten de EU is het daarom niet zeker dat een land voldoende bescherming biedt;
10. Blokkering van een recht, dienst of contract - Het gaat hierbij om gegevensverwerkingen die tot gevolg hebben dat betrokkenen een recht niet kunnen uitoefenen, dat zij een dienst niet kunnen gebruiken of dat zij een contract niet kunnen afsluiten, bijvoorbeeld gegevensverwerkingen die plaatsvinden in de openbare ruimte en die mensen niet kunnen vermijden of een bank die de kredietwaardigheid van klanten toetst om te bepalen of zij een lening krijgen.