Mijn documenten Account instellingen
Uitloggen
Hulp Tarieven
Registreren Inloggen
Hulp Tarieven

DPIA

Breng je privacyrisico's in kaart

Je kunt als organisatie verplicht zijn om onder de AVG een DPIA (Data protection impact assessment) uit te voeren als je persoonsgegevens verwerkt. Hiermee breng je als organisatie de privacyrisico’s van de gegevensverwerking in kaart. Lees hier wat een DPIA inhoudt en wat je eraan hebt. 

Een DPIA wordt ook wel gegevensbeschermingseffectbeoordeling genoemd, maar de afkorting DPIA is gebruikelijker. Een DPIA is een onderzoek om een overzicht van de privacyrisico’s van gegevensverwerking door je organisatie te creëren. Hierdoor kun je maatregelen nemen om deze risico’s te minimaliseren. Hoewel het altijd verstandig is om over een dergelijk overzicht te beschikken, ben je in sommige situaties verplicht een uit te voeren. 

De Algemene verordening gegevensbescherming (AVG) geeft aan wanneer je verplicht bent om een DPIA uit te voeren. Dat is het geval wanneer gegevensverwerking een hoog privacyrisico oplevert voor de mensen van wie je de persoonsgegevens verwerkt (de betrokkenen). 

Hoewel de opsomming niet volledig is, is er in ieder geval sprake van een hoog privacyrisico indien er van 1 of meer van onderstaande situaties sprake is:

  • je beoordeelt personen met behulp van persoonskenmerken, bijvoorbeeld de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
  • je neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens, zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
  • je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personene wat je met die beelden doet
  • je verwerkt bijzondere persoonsgegevens (zie hieronder)
  • je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd
  • je koppelt verschillende databases met persoonsgegevens aan elkaar
  • je gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
  • je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
  • je gebruikt persoonsgegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen

Bijzondere persoonsgegevens zijn persoonsgegevens over:

  • ras of etnische afkomst

  • politieke opvattingen

  • religieuze of levensbeschouwelijke overtuigingen

  • lidmaatschap van een vakbond

  • genetische gegevens

  • biometrische gegevens

  • gezondheid

  • seksuele gedrag of seksuele geaardheid

Een DPIA kun je op verschillende manieren uitvoeren. Het maakt niet uit hoe je het doet, zolang de uitvoering voldoet aan de eisen die de AVG eraan stelt.  De AVG stelt de volgende eisen aan een DPIA: 

  • je omschrijft welke gegevens je gaat gebruiken, met welk doel en met welke onderbouwing
  • je beoordeelt of het noodzakelijk is persoonsgegevens te verwerken om je doel te bereiken
  • je beoordeelt of de inbreuk op de privacy van de betrokkenen in verhouding staat tot het bereiken van je doel
  • je beoordeelt de privacyrisico's van je gegevensverwerking
  • je bepaalt welke maatregelen je gaat nemen om privacyrisico’s te minimaliseren
  • je bepaalt welke maatregelen je gaat nemen om aan de AVG-eisen te voldoen

De AVG geeft aan dat ook in bepaalde gevallen een DPO verplicht is. Een DPO wordt wel Functionaris voor de gegevensverwerking genoemd. Niet alleen organisaties die hiertoe wettelijk verplicht zijn, kunnen een DPO aanstellen maar ook andere organisaties. De taak van de DPO is om toe te zien op de naleving van je privacyverklaring en privacybeleid binnen je organisatie. Ben je verplicht om een DPIA uit te voeren, dan zal dit normaal gesproken gedaan worden door de DPO. Is een DPO niet verplicht, dan kun je dit ook laten uitvoeren door een Privacy Officer (PO). Een PO fungeert onder meer als aanspreekpunt voor alle privacygerelateerde zaken binnen een organisatie.

Wij gebruiken cookies om je de volgende keer nog beter te helpen