Specialisten in de bescherming van uw gegevens

Uitvoeren van DPIA's

Onder de Algemene verordening gegevensbescherming (AVG) zijn sommige organisaties verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Ook andere organisaties kunnen er baat bij hebben om de mogelijke effecten van een gegevensverwerking vroegtijdig te verkennen en beoordelen. FG Support ondersteunt u hierbij.

Het belang van de DPIA

Een Data Protection Impact Assessment (DPIA) - ook wel Privacy Impact Assessment (PIA) of gegevensbeschermingseffectbeoordeling genoemd - is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat daarna passende maatregelen kunnen worden genomen. Een DPIA is handig bij bijvoorbeeld de aanleg van nieuwe databestanden, de bouw van nieuwe ICT-systemen, of de ontwikkeling van nieuwe applicaties.

Een DPIA geldt niet als een certificaat. Het is een procedure die inzicht geeft in de risico’s die een gegevensverwerking oplevert voor de betrokkenen, en in de maatregelen om deze risico’s af te dekken. De DPIA moet zijn gemaakt vóórdat de gegevensverwerking van start gaat. Als uit de DPIA blijkt dat de voorgenomen gegevensverwerking een hoog risico oplevert dan is de organisatie verplicht een voorafgaande raadpleging aan te vragen bij de Autoriteit Persoonsgegevens (AP).

Verplichte of vrijwillige DPIA

De Algemene verordening gegevensbescherming (AVG) geeft (in artikel 35) aan dat organisaties in een aantal gevallen verplicht zijn om een DPIA uit te voeren. Het gaat in algemene zin om organisaties die:

  • systematisch, uitgebreid en op basis van geautomatiseerde verwerkingen (zoals profiling) persoonlijke aspecten evalueren en daarop besluiten baseren die gevolgen hebben voor de betrokkenen.
  • op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerken.
  • op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.

De AP heeft een lijst opgesteld van soorten gegevensverwerkingen waarvoor verplicht een DPIA moet worden uitgevoerd. Ook de criteria van de Europese privacytoezichthouders bieden een handvat om de DPIA-verplichting te bepalen.

Er zijn goede redenen om vrijwillig een DPIA uit te voeren. Organisaties kunnen er bijvoorbeeld bedreigingen en kwetsbaarheden mee in kaart brengen, zodat de privacyrisico's goed beheerst worden. Daarnaast geeft een DPIA inzichten in oplossingen zoals privacy enhancing technologies. Bovendien kan de AP bij een onderzoek na een datalek vragen of er een DPIA is uitgevoerd. Met de rapportage van de DPIA kan de organisatie aantonen dat er alles aan is gedaan om een datalek te voorkomen, hetgeen uw positie versterkt.

Ondersteuning bij DPIA's

De uitkomsten van een DPIA moeten worden samengevat in een rapportage. De rapportage geeft een systematische beschrijving van de voorgenomen gegevensverwerking (inclusief de doeleinden en wettelijke grondslagen), een beoordeling van de privacyrisico’s en de maatregelen om de risico’s aan te pakken. Het is niet verplicht om de DPIA openbaar te maken, maar het kan wel raadzaam zijn om (onderdelen) te publiceren. Hiermee kunt u verantwoording afleggen en open communiceren, hetgeen het vertrouwen in de organisatie kan vergroten.

Er zijn verschillende methoden om een DPIA uit te voeren. NOREA, de beroepsorganisatie van IT-auditors, heeft bijvoorbeeld een handreiking opgesteld. FG Support ondersteunt het volledige proces van DPIA's: van de beoordeling van de noodzaak om het onderzoek te starten tot de oplevering van de rapportage.

Meer weten?

Wilt u meer weten over onze ondersteuning bij een (D)PIA, of een vrijblijvende offerte ontvangen om direct aan de slag te gaan? Neem dan gerust contact met ons op.