Privacyrisico's inschatten: DPIA's in de maritieme sector

 

Wat is een Data Protection Impact Assessment (DPIA)?

 

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en om maatregelen te kunnen nemen om deze risico’s te verkleinen.

 

Wanneer is een DPIA verplicht ?

 

Een gegevensverwerking die waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie gegevens worden verwerkt, valt onder de DPIA-verplichting. Dit volgt uit de AVG (en uit de Wpg en Wjsg). Een DPIA moet plaatsvinden voor de verwerking plaatsvindt. Behalve bij een waarschijnlijk hoog risico, is een DPIA ook verplicht als de Autoriteit Persoonsgegevens (AP) dit heeft bepaald.

 

Lijst van verplichte DPIA’s voor de maritieme sector

 

Wij hebben de meest relevante verwerkingen voor/door bedrijven in de maritieme sector hieronder op een rijtje gezet. Is er sprake van één van volgende verwerkingen van persoonsgegevens dan is de organisatie verplicht een DPIA uit te voeren:

 

  1. Heimelijk onderzoek

 

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens waarbij informatie wordt verzameld door middel van onderzoek zonder dat de betrokkene daarvan vooraf op de hoogte te stellen.

 

Een goed voorbeeld hiervan is: heimelijk onderzoek door particuliere recherchebureaus.

 

Een DPIA is ook verplicht in geval van heimelijk cameratoezicht door werkgevers in het kader van diefstal- of fraudebestrijding door werknemers. Bij deze laatste verwerking moet soms ook een DPIA worden uitgevoerd vanwege de ongelijkwaardige machtsverhouding tussen een werknemer en werkgever.

 

  1. Zwarte lijsten

 

Verwerkingen waarbij persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of gegevens over slecht betalingsgedrag door organisaties of particulieren worden verwerkt en gedeeld met derden.

 

Bijvoorbeeld: zwarte lijsten of waarschuwingslijsten.

 

  1. Financiële situatie

 

Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden.

 

Bijvoorbeeld: overzichten van bankoverschrijvingen, overzichten van de saldi van iemands bankrekeningen of overzichten van mobiele- of pinbetalingen. Dit zou bijvoorbeeld onderdeel kunnen zijn van de sollicitatieprocedure bij vitale functies.

 

  1. Samenwerkingsverbanden

 

Het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen.

 

Bijvoorbeeld: in wijkteams, veiligheidshuizen of informatieknooppunten zoals het project Integere haven.

 

  1. Cameratoezicht

 

Grootschalige verwerkingen en/of stelselmatige monitoring van openbaar toegankelijke ruimten met behulp van camera’s, webcams of drones.

 

Een mooi voorbeeld hiervan is het project Cameratoezicht Haven Rotterdam.

 

  1. Flexibel cameratoezicht

 

Grootschalig en/of systematisch gebruik van flexibel cameratoezicht.

 

Bijvoorbeeld: camera’s op kleding of helm van brandweer- of ambulancepersoneel, dashcams gebruikt door hulpdiensten.

 

  1. Controle werknemers

 

Grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens om activiteiten van werknemers te monitoren.

 

Bijvoorbeeld: controle van e-mail en internetgebruik, GPS-systemen in (vracht)auto’s van werknemers of cameratoezicht ten behoeve van diefstal- en fraudebestrijding.

 

  1. Locatiegegevens

 

Grootschalige verwerkingen en/of stelselmatige monitoring van locatiegegevens van of herleidbaar tot natuurlijke personen.

 

Bijvoorbeeld: door (scan)auto’s, navigatiesystemen, telefoons, of verwerking van locatiegegevens van reizigers in het openbaar vervoer.

 

  1. Biometrische gegevens

 

Grootschalige verwerkingen en/of stelselmatige monitoring van biometrische gegevens met als doel een natuurlijk persoon te identificeren. Zoals een toegangsverleningssysteem dat gebruik maakt van biometrie.

 

Vragen?

 

Denkt u na het lezen van deze blog dat uw organisatie, op één of meerdere processen en DPIA (verplicht) zou moeten uitvoeren? En u heeft geen idee waar u zou moeten beginnen? Neem dan contact met ons op! info@portprivacy.com

 

Meer lezen?

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia