In sommige gevallen is het wettelijk verplicht om een (D)PIA of ‘gegevensbeschermingseffectanalyse’ uit te (doen) voeren. In ieder geval bent u verplicht dit te doen wanneer de verwerking van persoonsgegevens:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
- op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Wanneer is een DPIA in ieder geval verplicht?
Heimelijk onderzoek
Zwarte lijsten
Fraudebestrijding
Grootschalige verwerkingen en/of stelselmatige monitoring van (bijzondere) persoonsgegevens voor fraudebestrijding. Bijvoorbeeld fraudebestrijding door sociale diensten of door fraudeafdelingen van verzekeraars.
Creditscores
Financiële situatie
Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden. Bijvoorbeeld overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen.
Genetische persoonsgegevens
Gezondheidsgegevens
Grootschalige verwerkingen van gegevens over gezondheid (bijvoorbeeld door instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening, arbodiensten, reïntegratiebedrijven, (speciaal)onderwijsinstellingen, verzekeraars en onderzoeksinstituten), waaronder ook grootschalige elektronische uitwisseling van gegevens over gezondheid.
LET OP: individuele artsen en individuele zorgprofessionals zijn op grond van overweging 91 van de AVG uitgezonderd van de verplichting een DPIA uit te voeren!
Samenwerkingsverbanden
Cameratoezicht
Flexibel cameratoezicht
Controle werknemers
Locatiegegevens
Communicatiegegevens
Internet of things (IoT)
Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Bijvoorbeeld ‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, medische hulpmiddelen, etc.
Profilering
Observatie en beïnvloeding van gedrag
Biometrische gegevens
Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren.
LET OP: de verwerking van biometrische gegevens is alleen toegestaan als de verwerking strikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden!
Onze professionals staan voor u klaar!