Een DPIA, of languit gezegd, een data protection impact assessment, is een onderzoek dat voorafgaand aan een gegevensverwerking in kaart brengt welke privacy risico’s een gegevensverwerking met zich meebrengt. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd. In feite bevat het een uitgebreide beschrijving van de gegevensverwerking en het proces en beoordeelt het de noodzaak en evenredigheid van een verwerking. Tevens wordt in een DPIA aan de hand van de geconstateerde risico’s bepaalt welke technische en organisatorische maatregelen er nodig zijn om de geïdentificeerde privacy risico’s te verkleinen of te voorkomen. Dit klinkt als een complex en ook lastig iets om uit te voeren. Gelukkig kunnen onze privacy specialisten zo’n onderzoek voor u uitvoeren.
Wanneer wordt een DPIA uitgevoerd?
Een DPIA is volgens de AVG verplicht wanneer er persoonsgegevens verwerkt worden waarbij een grote kans bestaat op een hoog privacy risico voor de mensen van wie de persoonsgegevens verwerkt worden. Of er een kans bestaat op een hoog privacy risico dient u zelf te bepalen.
De AVG benoemt ook situaties waarbij het uitvoeren van een DPIA verplicht is, namelijk:
- Als een organisatie systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking (waaronder profiling);
- Wanneer een organisatie op grote schaal bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerkt;
- Wanneer een organisatie op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, zoals het geval bij cameratoezicht.
Er dient hierbij per geval bekeken te worden of de verwerking een hoog risico oplevert. Indicatoren om te bepalen of sprake is van een hoog risico zijn bijvoorbeeld:
- De kans op discriminatie;
- Uitsluiting;
- Evalueren van persoonlijke aspecten;
- Reputatieschade, identiteitsdiefstal of – fraude;
- Aanzienlijk maatschappelijk;
- Economisch nadeel.
Als niet aan de eisen van de DPIA wordt voldaan, kan de Autoriteit Persoonsgegevens (AP) boetes opleggen wegens overtreding van de AVG.
DPIA in de praktijk
Wanneer een onderneming cameratoezicht wil toepassen, zal er dus een DPIA uitgevoerd moeten worden. Het toepassen van cameratoezicht is niet ongebruikelijk vooral bij winkels of op ‘gevaarlijke’ locaties. Zo hebben wij onlangs een DPIA uitgevoerd voor cameratoezicht bij een van onze klanten. In de DPIA is de verwerking van de camerabeelden beschreven, is de noodzaak en evenredigheid ervan beoordeelt en zijn de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen ingeschat en zijn de maatregelen beschreven die getroffen zijn om deze risico’s te beheren.
Een DPIA kan op verschillende manieren uitgevoerd worden en is dus in zekere zin vormvrij. Een onderneming heeft hier alle vrijheid in, als er maar aan de basisvereisten voldaan wordt uit de AVG:
- Een systematische beschrijving van de gegevensverwerking;
- Een beoordeling van de privacy risico’s;
- En de maatregelen om de risico’s aan te pakken.
Blue Legal to the rescue!
Maar nu, u wilt als organisatie beginnen, maar wie binnen de organisatie gaat dit oppakken? Hoe gaan we het aanpakken? En misschien het allerbelangrijkste nog wel: waar gaan we als organisatie beginnen? Gelukkig verplicht de AVG niet dat de organisatie dit alleen maar intern moet uitvoeren, ook een externe partij kan voor u een DPIA uitvoeren.
Onze privacy specialisten hebben met hun kennis en ervaringen een DPIA-model ontwikkelt waardoor zij efficiënt te werk kunnen gaan. Zij nemen hierbij alles voor u uit handen en voeren een DPIA uit zodat uw organisatie met betrekking tot gegevensverwerking en het proces geen vertraging op zal lopen en u snel weer verder kunt. Dat zorgeloze gevoel is wat iedereen wil! Met korte lijnen bespreken wij de opties samen met u door en zetten alles voor u op papier. Meer weten? Neem vrijblijvend contact op met één van onze privacy specialisten. Wij staan u graag te woord en maken dan ook graag een advies op maat voor u.
Vragen? Bekijk onze vorige blogs of neem vrijblijvend contact op met één van onze privacy/ICT-specialisten.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan