Autoriteit Persoonsgegevens publiceert definitieve DPIA-lijst
Volgens artikel 35 van de AVG dient een verantwoordelijke voorafgaand aan een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen een gegevensbeschermingseffectbeoordeling, ook wel DPIA (naar de Engelse term ‘data protection impact assessment’) uit te voeren. Als hieruit blijkt dat de verwerking een hoog risico oplevert indien de verantwoordelijke geen maatregelen neemt om het risico te beperken, moet de verantwoordelijke volgens artikel 36 van de AVG voorafgaand aan de verwerking de toezichthouder raadplegen.
Omdat het in de praktijk niet altijd duidelijk is voor welke verwerkingen een DPIA vereist is, publiceerde de Autoriteit Persoonsgegevens (AP) in 2018 een lijst van verwerkingen waarvoor dit geldt. Daarvoor heeft de AP volgens haar jaarverslag 2018 ook advies gevraagd aan het Europees Comité voor gegevensbescherming (de European Data Protection Board (EDPB)). Recentelijk heeft de AP een besluit genomen en gepubliceerd waarin de definitieve lijst van verwerkingen waarvoor een DPIA in ieder geval is vereist.
Ten opzichte van de in 2018 gepubliceerde lijst is één verwerking aan de lijst toegevoegd, namelijk de grootschalige verwerking en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren (nummer 17 in de lijst).