Met deze stap kunt u op eenvoudige wijze beoordelen of uw gegevensverwerking moet worden onderworpen aan een Gegevensbeschermingseffectbeoordeling (PIA) zoals bepaald in artikel 35 van de AVG.

Wat is een gegevensbeschermingseffectbeoordeling (PIA)? Een proces om de noodzaak en evenredigheid te beoordelen en de risico's te beheren.

Onder welke voorwaarden moet ik een PIA uitvoeren? Als de risico's voor de rechten en vrijheden van betrokkenen groot zijn. De EDPS heeft de reikwijdte van deze vereiste verduidelijkt. Als de Verwerking aan ten minste twee van de volgende criteria voldoet, moet er een AIP worden uitgevoerd:

• Evaluatie/scoring

• Automatisch besluit met rechtsgevolgen

• Systematisch toezicht

• Gevoelige gegevens

• Grootschalig

• Kruisverwijzingen tussen gegevens

• Kwetsbare personen

• Innovatief gebruik

• Doorgifte buiten de EU

• Afscherming van een recht/contract

Het criterium van doorgifte buiten de EU is niet opgenomen in de door de EDPS opgestelde lijst, maar vormt een aanzienlijk risico gezien de waarborgen die vereist zijn om een doorgifte uit te voeren

Soms, in het geval van verwerkingen die bijzonder gevoelig zijn voor de betrokkenen, kan slechts één criterium worden gebruikt

Daarnaast publiceren de toezichthoudende autoriteiten een lijst van soorten verwerkingen waarvoor een PIA verplicht is en kunnen zij een lijst publiceren van soorten verwerkingen waarvoor een PIA niet verplicht is

De autoriteitpersoonsgegevens in Nederlands heeft deze twee lijsten gepubliceerd, die hier toegankelijk zijn:

Lijst van soorten Verwerkingen waarvoor een PIA verplicht is**

Merk op dat Artikel 30 van de AVG u niet verplicht om aan te geven of er een PIA is uitgevoerd voor de Verwerking.