Menu

Filter op
content
PONT Data&Privacy

0

Hoe voer je een DPIA uit?

Autoriteit Persoonsgegevens 14 apr 2024

Vraag & Antwoord

ANTWOORD

Uitvoering DPIA

Er zijn verschillende methodes om een DPIA uit te voeren. U kunt er zelf een kiezen, als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven. Die basisvereisten zijn dat u in uw DPIA in ieder geval het volgende moet opnemen:

  • Een systematische beschrijving van de gegevensverwerking die u van plan bent en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving. 

  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerking.

  • Een beoordeling van de privacyrisico's voor de mensen van wie u gegevens wilt verwerken.

  • De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

Restrisico’s inschatten

Bij de beoordeling van de privacyrisico’s moet u inschatten of er sprake is van hoge restrisico’s. Het gaat dan over ernstige situaties, die ondanks uw voorzorgmaatregelen nog steeds kunnen gebeuren. Besteed hierbij in uw DPIA in elk geval aandacht aan de volgende punten:

  • Geef aan welke hoge privacyrisico’s u niet volledig kunt voorkomen.

  • Vermeld specifiek in welke situaties of bij welke onderdelen er sprake is van een hoog restrisico.

  • Geef aan hoe waarschijnlijk het u lijkt dat de omschreven situatie zich voordoet, ondanks de maatregelen die u treft. 

  • Omschrijf welke schade er dan ontstaat of kan ontstaan voor de personen van wie u persoonsgegevens verwerkt. 

Zo vroeg mogelijk starten met DPIA

Start de DPIA in de ontwerpfase van de gegevensverwerking, zo vroeg als praktisch gezien mogelijk is. Ook als nog niet alle details van de verwerking bekend zijn. Door vroeg te beginnen, is het voor u makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default.

DPIA uitbesteden

Als verwerkingsverantwoordelijke moet u ervoor zorgen dat er een DPIA wordt uitgevoerd. U hoeft de DPIA niet zelf uit te voeren. Dit kunt u ook door iemand anders binnen of buiten uw organisatie laten doen. Bijvoorbeeld door een gespecialiseerd bureau. U blijft wel eindverantwoordelijk.

Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia , geraadpleegd op 18 april 2024.