Data Protection Impact Assessment

ProbleemanalyseOntwerpDataverkenning en datapreparatieBeleid en adviesJuristProjectleiderPrivacy en gegevensbescherming

Direct naar de DPIA

Hulpmiddel

Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:

• Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer je een DPIA moet uitvoeren.
• De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor je een DPIA moet uitvoeren.
• De 9 criteria voor een DPIA van de Europese privacytoezichthouders.

De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:

• Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt en dit gebeurt op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop besluiten baseert die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
• Op grote schaal bijzondere persoonsgegevens verwerkt.
• Strafrechtelijke gegevens verwerkt.
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden geëvalueerd.

Relevantie

Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.

Auteur

De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.

Bijbehorende vereisten

Vereiste
avg-01 - Persoonsgegevens worden op een rechtmatige manier verwerkt
avg-02 - Persoonsgegevens worden zo kort mogelijk bewaard
avg-13 - Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen
avg-09 - Betrokkenen kunnen een beroep doen op hun privacyrechten
avg-05 - Persoonsgegevens zijn juist en actueel
avg-11 - Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen
avg-07 - Organisaties zijn transparant over het verwerken van persoonsgegevens
aia-35-verwerking-in-testomgeving

Bijbehorende maatregelen

Maatregel
owk-03 - Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden