Wat is een DPIA?

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term Data Protection Impact Assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacy toezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast zal de Autoriteit Persoonsgegevens (AP) op termijn een lijst publiceren van verwerkingen waarvoor een DPIA verplicht is.

Hoe moet ik een DPIA maken?

Er zijn verschillende methodes om een data protection impact assessment (DPIA) te maken. Als u maar aan de basisvereisten voldoet zoals die in de AVG staan beschreven.

De DPIA moet in ieder geval het volgende bevatten:

  • Een systematische beschrijving van de beoogde gegevensverwerkingen en de doeleinden hiervan. Beroept u zich op een gerechtvaardigd belang als grondslag voor de verwerking? Neem dit dan ook op in de beschrijving.
  • Een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen. Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk op uw doel te bereiken? En is de inbreuk op de privacy van de betrokkenen (de mensen van wie u gegevens verwerkt) niet onevenredig in verhouding tot dit doel?
  • Een beoordeling van de privacyrisico’s voor de betrokkenen.
  • De beoogde maatregelen om (1) de risico’s aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat u aan de AVG voldoet.

In de tool van AVG online komt u er snel achter of u een DPIA moet maken of niet en hoe u dan een DPIA moet maken. Aan de hand van een vragenlijst komen minimaal de bovenstaande voorwaarden voor het maken van een DPIA aan bod.

Bron: Autoriteit Persoonsgegevens