EDPB beoordeelt criteria van Europese gegevensbeschermingsautoriteiten voor DPIA’s

Artikel 35 AVG bepaalt dat organisaties onder bepaalde omstandigheden een ‘gegevensbeschermingseffectbeoordeling’ (Data Protection Impact Asssesment, DPIA) moeten uitvoeren. Toezichthoudende autoriteiten zijn verplicht lijsten op te stellen voor welk soorten verwerkingen een DPIA verplicht is (artikel 35 lid 4 AVG). In juli publiceerde de Autoriteit Persoonsgegevens (AP) al een lijst met 16 DPIA-plichtige verwerkingen, zie onze eerdere blog. De European Data Protection Board (EDPS) heeft deze lijst samen met 21 andere Europese lijsten beoordeeld en hierover opinies gepubliceerd op 26 september 2018.

De EDPB (voormalig Werkgroep 29) heeft van 22 Europese landen de DPIA-lijsten ontvangen en iedere lijst beoordeeld. De bevindingen van de EDPB zijn neergelegd in opinies, middels welk de EDPB algemene criteria tot stand heeft gebracht voor DPIA-lijsten. Het belang van de DPIA-lijsten is dat deze helpen de AVG consistent toe te passen in Europa. EDPB heeft middels de opinies een eerste stap gezet om tot een gemeenschappelijke visie van DPIA plichtige verwerkingen te komen.

Volgens de EDPB heeft de lijst van de Nederlandse AP nog enkele toevoegingen nodig. Zo noemt de Nederlandse lijst niet het verwerken van biometrische gegevens voor de unieke identificatie van een natuurlijk persoon. Ook dient de Nederlandse lijst enkele wijzingen/toevoegingen te maken met betrekking tot locatie data en het monitoren van werknemers. De AP gaf al bij de publicatie van haar lijst aan dat deze nog niet definitief is en nog kan worden gewijzigd na afstemming in Europees verband. Naar aanleiding van de opinie van de EDPB is binnenkort een aangepaste lijst door de AP te verwachten.

Heeft u vragen met betrekking tot DPIA’s of andere verplichtingen uit de AVG? Neem gerust vrijblijvend contact op met ons Privacy team.

Dit artikel is geschreven door Silvia Vinken en Sejla Okanovic.