Bij veranderingen is een nieuwe DPIA nodig. Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. U moet daarom altijd blijven monitoren of er veranderingen zijn in:
uw gegevensverwerking;
de risico’s van de verwerking;
de context van de verwerking.
Vanwege deze veranderingen is het sowieso aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.
Dit geldt ook voor bestaande verwerkingen waarvoor u niet eerder een DPIA heeft uitgevoerd. Verandert er iets, dan kunt u alsnog verplicht zijn een DPIA uit te voeren.
Veranderingen in gegevensverwerking
Uw verwerking verandert bijvoorbeeld als u een nieuwe technologie gaat gebruiken. Of als u persoonsgegevens voor een ander doel gaat gebruiken. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. En dan kan een DPIA verplicht zijn.
Veranderingen in de risico’s van de verwerking
Verandert het privacyrisico van uw verwerking? Dan kunt u ook verplicht zijn een DPIA uit te voeren. Risico’s kunnen bijvoorbeeld veranderen omdat een onderdeel van het verwerkingsproces wijzigt. De technologische ontwikkelingen gaan snel. Daardoor kunnen nieuwe kwetsbaarheden ontstaan.
Veranderingen in de context van de verwerking
Tot slot kunt u verplicht zijn een DPIA uit te voeren omdat de context van uw organisatie of de maatschappelijke context verandert. Bijvoorbeeld omdat de gevolgen van bepaalde geautomatiseerde beslissingen belangrijker zijn geworden. Of omdat nieuwe categorieën mensen kwetsbaar worden voor discriminatie.
Vanwege deze veranderingen is het aan te raden om periodiek een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Bijvoorbeeld eens per 3 jaar.
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia#na-de-dpia , geraadpleegd op 27 januari 2025.
