DPIA

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen


In het kort

Een Data Protection Impact Assessment (DPIA) wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd. Wanneer een organisatie persoonsgegevens gaat verwerken en zij beoordelen dat hierbij een hoog privacy risico ontstaat, moet een DPIA worden uitgevoerd.

Waarom een DPIA uitvoeren?

De DPIA is een instrument waarbij de organisatie inzicht verkrijgt in de privacy risico’s die een gegevensverwerking met zich mee brengt. De DPIA wordt dus uitgevoerd, voordat de gegevensverwerking plaatsvindt. Uit de DPIA volgen de maatregelen die een organisatie moet treffen om de ingeschatte risico’s te verkleinen. Het uitvoeren van DPIA’s valt onder de verantwoordingsplicht.

Wanneer een DPIA uitvoeren?

Een organisatie moet zelf de inschatting maken óf een DPIA uitgevoerd moet worden. Hierin is leidend of er een hoog privacyrisico ontstaat bij de gegevensverwerking. De Europese privacytoezichthouders hebben een handreiking opgesteld voor de gevallen waarin in ieder geval een DPIA uitgevoerd moet worden.

Uitgangspunt hierbij is dat een DPIA moet worden uitgevoerd als de verwerking aan 2 of meer van de onderstaande criteria voldoet:

  1. Beoordelen van mensen op basis van persoonskenmerken
  2. Geautomatiseerde besluiten
  3. Stelselmatige en grootschalige monitoring
  4. Gevoelige gegevens (bijvoorbeeld bijzondere persoonsgegevens, zoals strafrechtelijke gegevens)
  5. Grootschalige gegevensverwerkingen
  6. Gekoppelde databases
  7. Gegevens over kwetsbare personen
  8. Gebruik van nieuwe technologieën
  9. Blokkering van een recht, dienst of contract

DPIA in de ontwerpfase

De AVG gaat uit van het privacy by design en privacy by default principe. Om aan deze principes te voldoen, is het van belang dat een DPIA al in de ontwerpfase van de gegevensverwerking wordt uitgevoerd. Zo voorkomt de organisatie dat er onrechtmatig te grote privacy risico’s worden genomen. Het uitvoeren van een DPIA is geen eenmalige taak, maar een continu proces. Verandert er iets in het proces van gegevensverwerking, moet er een nieuwe DPIA uitgevoerd worden. Als de organisatie een Functionaris Gegevensbescherming (FG) heeft aangesteld, is het verplicht om bij deze advies in te winnen met betrekking tot de DPIA. De FG houdt intern toezicht op de gegevensverwerkingen en naleving van de AVG.

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=DPIA&oldid=337"