De Autoriteit Persoonsgegevens (AP) heeft een definitieve lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie (EU).
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie een organisatie gegevens wil verwerken).
Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.
In de Algemene verordening gegevensbescherming (AVG) staat dat alle privacytoezichthouders in de EU zo’n DPIA-lijst moeten maken en publiceren.
Ook vermeldt de AVG dat zij vervolgens deze lijst met elkaar moeten afstemmen als er bepaalde verwerkingen op staan, zoals het observeren van het gedrag van betrokkenen in verschillende lidstaten.
De definitieve DPIA-lijst van de AP kent enkele wijzigingen ten opzichte van de eerdere lijst:
er is een extra categorie van verwerkingen toegevoegd: biometrische gegevens;
een paar tekstuele wijzigingen.
