Onder de Algemene Verordening Gegevensbescherming (AVG) kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna passende maatregelen te kunnen nemen om de risico’s te verkleinen. In de AVG is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dit moet de verwerkingsverantwoordelijke zelf bepalen.

Verplichte DPIA

De AVG geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  1. Systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  2. Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  3. Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)

De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. Die lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacy risico oplevert voor de betrokkenen.

Lees hier ons artikel over de verplichting van DPIA’s bij samenwerkingsverbanden met (lokale) overheden.

Hoe lossen wij dat op?

Dankzij onze ruime ervaring met DPIA’s kunnen we u op weg helpen. We voeren samen met u een DPIA op een proces naar keuze uit waarbij u inzicht krijgt in de risico’s die de verwerking oplevert voor de betrokkenen. En waarbij we in de maatregelen benoemen die u als verantwoordelijke moet nemen om de risico’s af te dekken. Het is vervolgens aan u zelf om die maatregelen ook daadwerkelijk te treffen.

Voordelen

  • Ingevulde eerste DPIA;
  • Bruikbaar model waarmee u zelf verder kunt.

Een DPIA uitvoeren is geen eenmalige actie, maar een continu proces. U moet altijd blijven monitoren of uw gegevensverwerking verandert. Bijvoorbeeld omdat u een nieuwe technologie gaat gebruiken of wanneer u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. Dan kan een DPIA verplicht zijn. Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren, ook als de gegevensverwerking zelf niet is veranderd.

Meer weten?

Wilt u meer informatie of eens in gesprek met ons over wat wij voor u kunnen betekenen? Vul dan onderstaand contactformulier in, dan nemen wij zo snel mogelijk contact met u op. Of bel direct naar 071-7471717 om met een van onze consultants te spreken.