Eén antwoord van de overheid

DPIA (data protection impact assessment) uitvoeren

Deze informatie is geplaatst door

Antwoord voor bedrijven

Gebruikt, verzamelt of deelt u persoonsgegevens van uw klanten? En bestaat hierbij de kans op een groot privacyrisico? Dan moet u volgens de Algemene Verordening Gegevensbescherming (AVG) eerst een data protection impact assessment (DPIA) uitvoeren.

Wat is een DPIA?

Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan bij het gebruiken van persoonsgegevens. Een data protection impact assessment laat ook zien waar u maatregelen moet nemen om de risico’s te verkleinen of te voorkomen. Blijkt uit de DPIA dat er een hoog risico is? En lukt het u niet om dat risico te verkleinen of te voorkomen? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggenExternal link. U doet een DPIA voordat u begint met het bewaren, gebruiken en delen van persoonsgegevens.

Is een DPIA verplicht?

Een DPIA is volgens de AVG alleen verplicht als u persoonsgegevens verwerkt waarbij een grote kans bestaat op een hoog privacyrisico voor de mensen van wie die persoonsgegevens zijn. De Europese privacytoezichthoudersExternal link zeggen dat een data protection impact assessment verplicht is in 2 of meer van de volgende situaties:

  • U beoordeelt mensen met behulp van persoonskenmerken. U bepaalt bijvoorbeeld de kredietwaardigheid van klanten of u stelt profielen van mensen op met behulp van bijvoorbeeld hun interesses, gezondheidsgegevens of locatiegegevens.
  • U neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens. Het gaat hier om beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie.
  • Bij stelselmatige en grootschalige monitoring in de openbare ruimte. Bijvoorbeeld bij cameratoezicht verzamelt u persoonsgegevens zonder dat de mensen op beeld precies weten wat er met de beelden gebeurt.
  • U verwerkt gevoelige gegevens. Bijvoorbeeld informatie over politieke voorkeuren of religie. Of financiële en strafrechtelijke gegevens.
  • U gebruikt veel gegevens over een lange periode.
  • U koppelt verschillende databases met persoonsgegevens aan elkaar.
  • U gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten.
  • U gebruikt nieuwe technologieën met mogelijk nog onbekende maatschappelijke gevolgen.
  • U gebruikt persoonsgegevens op een bepaalde manier waardoor mensen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen.

Ook de Nederlandse toezichthouder op de privacywet, de Autoriteit Persoonsgegevens, heeft een lijst met situatiesExternal link waarbij een DPIA verplicht is.

Wat zijn de eisen voor een DPIA?

U mag zelf bepalen hoe u een data protection impact assessment uitvoert, maar de DPIA moet in ieder geval aan deze eisen voldoen:

  • U omschrijft welke gegevens u gaat gebruiken, met welk doel en welke onderbouwing u heeft.
  • U beoordeelt of het noodzakelijk is om persoonsgegevens te gebruiken om uw doel te bereiken.
  • U beoordeelt of de inbreuk op de privacy in verhouding staat tot het bereiken van uw doel.
  • U beoordeelt de privacyrisico's.
  • U bepaalt welke maatregelen u gaat nemen om de privacyrisico’s te verkleinen of te voorkomen.
  • U bepaalt welke maatregelen u gaat nemen om aan de AVG te voldoen.

Advies van een data protection officer

Heeft u een data protection officer in uw organisatie? Dan moet u de data protection officer om advies vragen en in het onderzoeksrapport melden wat hij heeft geadviseerd. De data protection officer is de functionaris voor de gegevensbescherming in uw bedrijf. Hij zorgt ervoor dat de AVG wordt toegepast en nageleefd.

Opnieuw een DPIA uitvoeren

Wanneer u de persoonsgegevens bijvoorbeeld voor een ander doel gaat gebruiken of wanneer u een nieuwe technologie gaat gebruiken, moet u bekijken of u opnieuw een data protection impact assessment moet uitvoeren.

Deze informatie is geplaatst door

Antwoord voor bedrijven