Wanneer je persoonsgegevens verwerkt met een hoog risico moet je een DPIA uitvoeren volgens de AVG.
Volgens artikel 35 lid 3 AVG is er sprake van een hoog risico bij:
a) systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking (waaronder profilering), die leidt tot besluiten met rechtsgevolgen of die mensen wezenlijk treffen;
b) grootschalige verwerking van bijzondere categorieën persoonsgegevens (zoals gezondheidsgegevens) of gegevens over strafrechtelijke veroordelingen en strafbare feiten;
c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
verwerking van gegevens van kwetsbare groepen (zoals kinderen);
verwerkingen die leiden tot profilering en geautomatiseerde besluitvorming;
verwerking van gevoelige of bijzondere persoonsgegevens;
grootschalig cameratoezicht.
De AP heeft situaties benoemd waarin een DPIA verplicht is:
heimelijk onderzoek
zwarte lijsten
fraudebestrijding
creditscores
beoordeling van financiële situatie
genetische gegevens
gezondheidsgegevens
samenwerkingsverbanden
cameratoezicht
flexibel cameratoezicht (bijv. bodycams of dashcams van hulpdiensten)
controle van werknemers (bijv. monitoren van internetgebruik)
locatiegegevens
communicatiegegevens
Internet of Things (IoT)
profilering
observatie en beïnvloeding van gedrag (zoals online behavioral advertising)
biometrische gegevens