Je voert een DPIA uit:
omdat je beleid en regelgeving maakt waaruit verwerkingen van persoonsgegevens voortvloeien;
omdat sprake is van een verplichting op basis van departementaal beleid;
of omdat sprake is van gegevensverwerkingen van persoonsgegevens met een hoog risico voor de rechten en vrijheden van betrokkenen (Externe link:artikel 35 van de Algemene verordening gegevensbescherming).
In de AVG is vastgelegd welke ruimte je hebt bij het verzamelen en verwerken van persoonsgegevens. Je moet de vraag beantwoorden of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn. Daarvoor moet je kijken of de voorgenomen regelgeving noodzakelijk, effectief en hanteerbaar is. Daarnaast is de proportionaliteit van belang: de inbreuk mag niet groter zijn dan strikt noodzakelijk is.
Ook als het niet verplicht is om een DPIA uit te voeren, kan het waardevol zijn om dit toch te doen. Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens namelijk op een gestructureerde manier onderdeel van de belangenafweging en besluitvorming van beleid, regelgeving en (ICT-)projecten binnen de Rijksdienst. Dit verhoogt de kwaliteit van de project- of beleidsuitvoering.
Bron: https://www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/beleidskompas/achtergrond-beleidskompas/verplichte-kwaliteitseisen/data-protection-impact-assessment , geraadpleegd op 18 april 2024.
