DPIA voor particuliere recherche
Als particulier recherchebureau moet u mogelijk een data protection impact assessment (DPIA) uitvoeren. Dit hangt af van de gegevens die u verwerkt.
Op deze pagina
Wat is een DPIA?
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. U moet zelf bepalen of u een DPIA moet uitvoeren.
Voorbeelden verplichte DPIA volgens AVG
In de Algemene verordening gegevensbescherming (AVG) staat dat u in ieder geval een DPIA moet uitvoeren als u:
- systematisch en uitgebreid persoonlijke aspecten van mensen evalueert (zoals beroepsprestaties, economische situatie, gezondheid, persoonlijke interesses, betrouwbaarheid, gedrag, locatie, verplaatsingen) gebaseerd op geautomatiseerde verwerking van hun gegevens, waaronder profilering, en u op basis daarvan besluiten neemt die gevolgen hebben voor die mensen;
- op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.
Lijst verplichte DPIA
De Autoriteit Persoonsgegevens (AP) heeft daarnaast een DPIA-lijst opgesteld. Hierop staan verwerkingen waarvoor een DPIA verplicht is voordat u met verwerken begint. Heimelijk onderzoek door particuliere recherchebureaus staat op die lijst.
Let op: Deze lijst is niet volledig. Het kan zijn dat uw verwerking niet op deze lijst staat, maar u toch een DPIA moet uitvoeren.
Voorafgaande raadpleging
Komt uit de DPIA naar voren dat uw verwerking van persoonsgegevens een hoog risico oplevert? En lukt het u niet om voldoende maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit heet een voorafgaande raadpleging.