Data protection impact assessment (DPIA)

Wanneer bent u als organisatie verplicht om een DPIA uit te voeren als u van plan bent om persoonsgegevens te verwerken?
Bron: Autoriteit Persoonsgegevens

Data protection impact assessment (DPIA)

 

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

 

In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

 

Groot privacyrisico

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

 

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.

 

Guidelines DPIA

De Europese privacytoezichthouders hebben in oktober 2017 de (definitieve) Guidelines on Data Protection Impact Assessment gepubliceerd die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.

 

Huidige situatie

De Rijksoverheid is nu al verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een DPIA, nu nog Privacy Impact Assessment (PIA) genoemd. Andere organisaties zijn nu nog niet verplicht een (D)PIA uit te voeren.

 

Het is aan te raden om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.

Contact

Verzuimvizie BV

Statensingel 22

6217 KD MAASTRICHT

Telefoon: 043 – 240 00 30

Email: info@verzuimvizie.nl

Kamer van Koophandel : 14116892

 

Copyright 2021 | Verzuimvizie