Onlangs heeft de Autoriteit Persoonsgegevens een lijst van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA (Data Protection Impact Assessment) verplicht is. Met deze lijst kunnen organisaties gemakkelijker bepalen wanneer zij verplicht zijn om een DPIA voor een bepaalde verwerking op te stellen. Voor gemeenten en andere overheden is duidelijk vastgesteld dat voor uitwisseling van gevoelige gegevens in samenwerkingsverbanden een DPIA moet worden opgesteld.
Het verwerken van gevoelige gegevens kan grote risico’s met zich meebrengen. Om het verwerken van gegevens zo veilig mogelijk te houden, is de DPIA in het leven geroepen. De DPIA is een instrument om voorafgaand aan een verwerking de privacy-risico’s ervan in kaart te brengen. Organisaties moeten aan de hand van negen criteria zelf bepalen of een verwerking een hoog risico heeft en ze dus een DPIA moeten uitvoeren. We horen regelmatig van organisaties dat ze dit lastig vinden. Om die reden heeft de AP handvatten opgesteld: een lijst van verwerkingen waarvoor DPIA’s in ieder geval verplicht zijn. Voor gemeenten en andere overheden is punt 8 ‘Samenwerkingsverbanden’ zeer interessant.
Uitwisseling in samenwerkingsverbanden
Dat de DPIA verplicht is gesteld voor de uitwisseling in samenwerkingsverbanden wil niet zeggen dat gemeenten helemaal geen gegevens meer mogen uitwisselen. Legale en correcte uitwisseling van bijzondere persoonsgegevens en persoonsgegevens van gevoelige aard, daar gaat het om. Hieronder worden de volgende gegevens verstaan:
- gegevens over gezondheid,
- verslaving,
- armoede,
- problematische schulden,
- werkloosheid,
- sociale problematiek,
- strafrechtelijke gegevens,
- betrokkenheid van jeugdzorg of
- maatschappelijk werk.
Deze informatie wordt met name gebruikt door wijkteams, veiligheidshuizen of informatieknooppunten. Het is vanzelfsprekend dat we met zulke gegevens zorgvuldig om moeten gaan. Niet alleen zou een datalek met deze persoonsgegevens een grote impact op de privacy van de betrokkenen hebben. Burgers moeten er ook op kunnen vertrouwen dat de gegevens niet verder verwerkt worden dan noodzakelijk is en dat hun rechten onder de AVG gewaarborgd zijn.
Complete AP-lijst
Heeft u andere verwerkingen waarvan u wilt weten of er een DPIA voor moet worden opgesteld? Neem dan een kijkje bij de AP-lijst of bepaal het zelf volgens deze negen punten die de hoogte van het risico bepalen.
Ondersteuning nodig?
Heeft u behoefte aan hulp bij het opstellen van DPIA of weet u niet zeker of u een DPIA dient uit te voeren? Vraag het aan een van onze Audittrailers of kijk naar onze oplossingen.
Bron: AP