Vrijwel elke organisatie verwerkt persoonsgegevens. Met een DPIA krijgt je organisatie in een tijdig stadium zicht op de privacyrisico’s die deze verwerking met zich meebrengt. De uitkomsten van dit onderzoek helpen je om tijdig aanpassingen te doen. Hiermee bespaar je kosten, want het uitvoeren van een DPIA is makkelijker en daardoor goedkoper dan het achteraf aanpassen van werkwijzen die niet overeenstemmen met de AVG-richtlijnen. Bovendien is de uitvoering van een DPIA in sommige situaties wettelijk verplicht.
Maak je eigen DPIA
De uitgever van Nederlandse wetboeken
Wat je moet weten over een DPIA
1. Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment, ook wel gegevensbeschermingseffectbeoordeling (GEB) of Privacy Impact Assessment (PIA) genoemd. Een DPIA is een onderzoek om een overzicht van de privacyrisico’s van gegevensverwerking binnen je bedrijf te creëren, waardoor je maatregelen kunt nemen om deze risico’s te minimaliseren. Zo weet je ook zeker dat je verwerking voldoet aan de Algemene verordening gegevensbescherming (AVG) en voorkom je hoge boetes vanwege niet-naleving ervan. Hoewel het altijd verstandig is om over zo'n privacy overzicht te beschikken, ben je in sommige situaties verplicht een DPIA uit te voeren. We leggen je hieronder uit wanneer daar sprake van is.
2. Wanneer is een DPIA verplicht?
Het uitvoeren van een DPIA is verplicht wanneer de gegevensverwerking binnen je organisatie een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is sprake als er van minimaal 1 van onderstaande situaties sprake is. De lijst is niet uitputtend, maar het zijn wel de meest voorkomende gevallen:
- je organisatie beoordeelt personen met behulp van persoonskenmerken, zoals de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
- je organisatie neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens (profilering/profiling), zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
- je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet
- je verwerkt bijzondere persoonsgegevens
- je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd, waarbij het gebruik eigenlijk een kernactiviteit van je bedrijf betreft
- je koppelt verschillende databases met persoonsgegevens aan elkaar
- je gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
- je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
- je gebruikt persoonsgegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen, zoals een bedrijf dat gegevens verwerkt om te bepalen of zij een lening aan iemand wilt verstrekken
In alle andere gevallen is het verstandig om een DPIA uit te voeren. Hierdoor weet je op tijd welke risico's de verwerking met zich meebrengt en kun je hierop aanpassingen doen. Zo bespaar je kosten, want een DPIA uitvoeren is eenvoudiger en daardoor goedkoper dan het naderhand wijzigen van interne werkwijzen die niet AVG compliant zijn.
3. Welke informatie staat in een DPIA?
De volgende onderwerpen staan altijd in een DPIA opgenomen:
- je beoordeelt de privacyrisico's van de gegevensverwerking door je organisatie
- je bepaalt welke maatregelen je organisatie gaat nemen om privacyrisico’s te minimaliseren
- je bepaalt welke maatregelen je organisatie gaat nemen om aan de AVG-richtlijnen te voldoen
- je omschrijft welke persoonsgegevens je organisatie gaat gebruiken
- je beschrijft met welk doel en met welke onderbouwing je organisatie persoonsgegevens verwerkt
- je beoordeelt of het noodzakelijk is persoonsgegevens te verwerken om het doel van je organisatie te bereiken
- je beoordeelt of de inbreuk op de privacy van de betrokkenen in verhouding staat tot het bereiken van het doel van je organisatie
4. Hoe stel ik een DPIA op met Rocket Lawyer?
Het is eenvoudig om online een gratis DPIA te maken. Beantwoord enkele vragen en wij stellen je DPIA voor je samen. Het hele proces kan minder dan 10 minuten duren.
De AVG generator van Rocket Lawyer zal je begeleiden bij het opstellen van je op maat gemaakte DPIA. Nadat je je document start, genereren we automatisch de juridische taal die voor je DPIA is vereist aan de hand van hoe je de interviewvragen beantwoordt. Als je niet over alle informatie beschikt die je nodig hebt, kun je vragen overslaan en je DPIA opslaan voor later.
Je hebt altijd en overal toegang tot je DPIA, op elk apparaat. Als Premium lid van Rocket Lawyer kun je je document kopiëren of bewerken. Je kunt je DPIA ook downloaden in pdf- of Word-formaat en het op elk gewenst moment afdrukken.
5. Wat moet ik weten voor ik een DPIA maak?
Je hoeft niet te weten hoe je zelf een Data Protection Impact Assessment moet opstellen om de modellen van Rocket Lawyer te gebruiken. Het kan echter handig zijn om de volgende informatie van tevoren te verzamelen:
- of je een Data Protection Officer (DPO) of Privacy Officer (PO) hebt aangesteld binnen je organisatie
- welke persoonsgegevens je organisatie verwerkt en met welk doel
- welke rechtsgronden van toepassing zijn op de verwerking
6. Wat moet ik doen na het opstellen van een DPIA?
Heb je vragen over je opgestelde DPIA of twijfel je bijvoorbeeld aan een bepaalde clausule, vraag dan een advocaat om je document te controleren met de Vraag een Advocaat dienst van Rocket Lawyer. Je krijgt altijd persoonlijk antwoord van de advocaat. De meeste vragen worden binnen 4 kantooruren beantwoord. Als Premium lid heb je ook toegang tot een gratis consult van 30 minuten over elke nieuwe juridische kwestie. Premiumleden die meer hulp nodig hebben, kunnen tot 33% besparen op juridische kosten bij het inhuren van een advocaat uit ons netwerk.
Maak meer AVG documenten
Krijg toegang tot verschillende juridische documenten die zijn opgesteld voor personen en organisaties die met persoonsgegevens werken, waaronder:
- een privacyverklaring: verplicht wanneer je persoonsgegevens verwerkt
- een privacyverklaring personeel: verplicht wanneer je personeel hebt
- een privacyverklaring sollicitanten: verplicht wanneer je in gesprek gaat met een sollicitant
- een verwerkersovereenkomst: verplicht wanneer je verwerking van persoonsgegevens aan een ander uitbesteedt
- een verwerkingsregister (of register van verwerkingsactiviteiten): verplicht als je niet incidenteel persoonsgegevens verwerkt
- een cookieverklaring: verplicht wanneer je een website hebt waarop je cookies gebruikt of door anderen laat gebruiken
- een protocol melding datalekken: verplicht bij gegevensverwerking als organisatorische maatregel ter bescherming van de persoonsgegevens
- een informatiebeveiligingsbeleid: ook wel managementsysteem voor informatiebeveiliging (ISMS) genoemd is een overzicht van regels die bepalen hoe binnen je bedrijf gegevens verwerkt en beschermd worden
7. Veelgestelde vragen over de DPIA AVG
Hieronder volgt een overzicht van veelgestelde vragen over de DPIA AVG. Staat je vraag er niet bij, neem dan contact met ons op: 070 378 9825.
DPIA wettelijk verplicht?
Het opstellen van een DPIA is wettelijk verplicht als de verwerking van persoonsgegevens binnen je organisatie waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer je organisatie op grote schaal bijzondere persoonsgegevens verwerkt en bij stelselmatige of grootschalige monitoring van de openbare ruimte.
Moet mijn verwerker ook een DPIA uitvoeren?
Nee, als je samenwerkt met een verwerker zoals een ICT-beheerder, salarisadministratiekantoor of cloudprovider, dan hoeft deze geen DPIA uit te voeren. Dit kan natuurlijk wel het geval zijn als deze verwerker zelf ook weer verwerkingsverantwoordelijke is. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is tenslotte verantwoordelijk voor de privacy van de betrokkenen.
Verschil PIA en DPIA?
Er is geen verschil tussen een PIA en DPIA. De AVG/GDPR spreekt van Data Protection Impact Assessment (DPIA) maar de term Privacy Impact Assessment (PIA) is eveneens gebruikelijk, net als de Nederlandse term gegevensbeschermingseffectbeoordeling (GEB).
Bijzondere persoonsgegevens?
Bijzondere of gevoelige persoonsgegevens zijn persoonsgegevens die iets zeggen over een bepaald aspect van een persoon zoals:
-
ras of etnische afkomst
-
politieke opvattingen
-
religieuze of levensbeschouwelijke overtuigingen
-
lidmaatschap van een vakbond
-
genetische gegevens
-
biometrische gegevens
-
gezondheid
-
seksuele gedrag of seksuele geaardheid
Kan ik mijn DPIA laten controleren?
Ja, met je Premium lidmaatschap van Rocket Lawyer kun je gebruikmaken van onze Vraag een Advocaat dienst om je opgestelde DPIA te laten beoordelen door een advocaat of jurist gespecialiseerd in privacyrecht. Ook kun je deze dienst gebruiken om juridische vragen te stellen.
Hoe kan ik mijn opgestelde DPIA wijzigen?
Om je DPIA handmatig aan te passen hoef je alleen maar in te loggen op je Rocket Lawyer account, het document te selecteren dat je wilt bewerken en vervolgens bewerken te selecteren. Als je de oorspronkelijke versie als zodanig wilt opslaan, selecteer je eerst kopiëren en bewerk je vervolgens de gekopieerde versie.