DPIA voor particuliere recherche

Als particulier recherchebureau moet u mogelijk een 'data protection impact assessment' (DPIA) uitvoeren. Dit hangt af van de gegevens die u verwerkt.

Op deze pagina

Wat is een DPIA?

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. U moet zelf bepalen of u een DPIA moet uitvoeren

Voorbeelden verplichte DPIA volgens AVG

In de Algemene verordening gegevensbescherming (AVG) staat dat u in ieder geval een DPIA moet uitvoeren als u:

  • systematisch en uitgebreid persoonlijke aspecten van mensen evalueert (zoals beroepsprestaties, economische situatie, gezondheid, persoonlijke interesses, betrouwbaarheid, gedrag, locatie, verplaatsingen) gebaseerd op geautomatiseerde verwerking van hun gegevens, waaronder profiling, en u op basis daarvan besluiten neemt die gevolgen hebben voor die mensen;
  • op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

Lijst verplichte DPIA

De Autoriteit Persoonsgegevens (AP) heeft daarnaast een DPIA-lijst opgesteld. Hierop staan verwerkingen waarvoor een DPIA verplicht is voordat u met verwerken begint. Heimelijk onderzoek door particuliere recherchebureaus staat op die lijst.

Voorafgaande raadpleging

Komt uit de DPIA naar voren dat uw verwerking van persoonsgegevens een hoog risico oplevert? En lukt het u niet om voldoende maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit heet een voorafgaande raadpleging.