Er zijn situaties waarin een verwerking van persoonsgegevens een hoog privacyrisico creëert. Het is dan wettelijk verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren vóórdat de gegevensverwerking van start gaat.
Er zijn situaties waarin een verwerking van persoonsgegevens een hoog privacyrisico creëert. Het is dan wettelijk verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren vóórdat de gegevensverwerking van start gaat.
Een DPIA is bedoeld om de risico’s voor de privacy van betrokkenen tijdig in beeld te brengen. Zodat je de juiste maatregelen neemt om de negatieve gevolgen tegen te gaan. Op grond van de Algemene verordening persoonsgegevens (AVG) is een organisatie verplicht om een DPIA uit te voeren voor een nieuwe gegevensverwerking met een - naar verwachting - hoog privacyrisico. Een DPIA is ook noodzakelijk als een verwerking van persoonsgegevens ingrijpend verandert en de privacyrisico's daardoor sterk vergroten.
De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld met verwerkingen waarvoor een DPIA in ieder geval verplicht is. Voorbeelden zijn profilering, zwarte lijsten en de inzet van camera’s in publieke toegankelijke ruimtes. De European Data Protection Board (EDPB) onderscheidt negen criteria om de noodzaak van een DPIA te beoordelen.
Enkele tips van onze privacy-adviseurs:
Betrek tijdig de Functionaris voor de Gegevensbescherming (FG). De FG adviseert bijvoorbeeld over de afweging om een DPIA te starten en over de juiste onderzoeksmethode ervoor.
Gebruik het stroomschema van de EDBP om te bepalen of een DPIA nodig is. Voor het MKB is de gegevensbeschermingsgids van de EDBP een praktisch hulpmiddel.
Maak een pre-DPIA, een verkorte risico-analyse.
Controleer of er DPIA’s zijn uitgevoerd voor bestaande verwerkingen die mogelijk onder de AVG-verplichting van artikel 35 vallen. Is dat niet het geval, voer de DPIA dan alsnog uit.
Een DPIA is een belangrijk instrument om privacyrisico’s in kaart te brengen en om te zorgen dat een verwerking van persoonsgegevens voldoet aan de AVG (en aan andere, sectorspecifieke wet- en regelgeving zoals de Wet politiegegevens). De uitvoering van een DPIA levert daarmee een bijdrage aan privacy-compliance én aan het vertrouwen in je organisatie.
