DPIA wettelijk verplicht?

Het opstellen van een DPIA is wettelijk verplicht als de verwerking van persoonsgegevens binnen je organisatie waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer je organisatie op grote schaal bijzondere persoonsgegevens verwerkt en bij stelselmatige of grootschalige monitoring van de openbare ruimte.

Moet mijn verwerker ook een DPIA uitvoeren?

Nee, als je samenwerkt met een verwerker zoals een ICT-beheerder, salarisadministratiekantoor of cloudprovider, dan hoeft deze geen DPIA uit te voeren. Dit kan natuurlijk wel het geval zijn als deze verwerker zelf ook weer verwerkingsverantwoordelijke is. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is tenslotte verantwoordelijk voor de privacy van de betrokkenen.

Er is geen verschil tussen een PIA en DPIA. De AVG/GDPR spreekt van Data Protection Impact Assessment (DPIA) maar de term Privacy Impact Assessment (PIA) is eveneens gebruikelijk, net als de Nederlandse term gegevensbeschermingseffectbeoordeling (GEB).

Bijzondere persoonsgegevens

Bijzondere of gevoelige persoonsgegevens zijn persoonsgegevens die iets zeggen over een bepaald aspect van een persoon zoals: ras of etnische afkomst politieke opvattingen religieuze of levensbeschouwelijke overtuigingen lidmaatschap van een vakbond genetische gegevens biometrische gegevens gezondheid seksuele gedrag of seksuele geaardheid

Hoe kan ik mijn opgestelde DPIA wijzigen?

Om je DPIA handmatig aan te passen hoef je alleen maar in te loggen op je Rocket Lawyer account, het document te selecteren dat je wilt bewerken en vervolgens bewerken te selecteren. Als je de oorspronkelijke versie als zodanig wilt opslaan, selecteer je eerst kopiëren en bewerk je vervolgens de gekopieerde versie.

MAAK JE GRATIS DPIA

ANDERE NAMEN Data Protection Impact Assessment Gegevensbeschermingseffectbeoordeling

Wat in een DPIA?

DPIA staat voor Data Protection Impact Assessment, ook wel gegevensbeschermingseffectbeoordeling (GEB) of Privacy Impact Assessment (PIA) genoemd. Een DPIA is een onderzoek om een overzicht van de privacyrisico’s van gegevensverwerking binnen je bedrijf te creëren, waardoor je maatregelen kunt nemen om deze risico’s te minimaliseren. Zo weet je ook zeker dat je verwerking voldoet aan de Algemene verorderdening gegevensbescherming (AVG) en voorkom je hoge boetes vanwege niet-naleving ervan. Hoewel het altijd verstandig is om over zo'n privacy overzicht te beschikken, ben je in sommige situaties verplicht een DPIA uit te voeren. We leggen je hieronder uit wanneer daar sprake van is.
Dit document is AVG-proof.

Wanneer heb ik een DPIA nodig?

Het uitvoeren van een DPIA is verplicht wanneer de gegevensverwerking binnen je organisatie een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is sprake als er van minimaal 1 van onderstaande situaties sprake is. De lijst is niet uitputtend, maar het zijn wel de meest voorkomende gevallen:

je organisatie beoordeelt personen met behulp van persoonskenmerken, zoals de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
je organisatie neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens (profilering/profiling), zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet
je verwerkt bijzondere persoonsgegevens
je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd, waarbij het gebruik eigenlijk een kernactiviteit van je bedrijf betreft
je koppelt verschillende databases met persoonsgegevens aan elkaar
je gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
je gebruikt persoonsgegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen, zoals een bedrijf dat gegevens verwerkt om te bepalen of zij een lening aan iemand wilt verstrekken

In alle andere gevallen is het verstandig om een DPIA uit te voeren. Hierdoor weet je op tijd welke risico's de verwerking met zich meebrengt en kun je hierop aanpassingen doen. Zo bespaar je kosten, want een DPIA uitvoeren is eenvoudiger en daardoor goedkoper dan het naderhand wijzigen van interne werkwijzen die niet AVG compliant zijn.

Rocket Lawyer leden hebben meer dan 1,2 miljoen documenten gemaakt

Rechtsgeldig en bindend

Voldoet aan Nederlandse wet- en regelgeving

Antwoord op je vragen over je document van een advocaat

Onderteken dit document gratis online met RocketSign®

DATA PROTECTON IMPACT ASSESSMENT

DEEL 1 - DE VERANTWOORDELIJKE

Verantwoordelijke voor de verwerking van persoonsgegevens
, , , KvK-nummer , ,

Uitvoerder van de Data Protection Impact Assessment
, ,

Datum uitvoering Data Protection Impact Assessment

DEEL 2 - DE VERWERKING VAN DE PERSOONSGEGEVENS EN RECHTMATIGHEID

Verwerking reguliere persoonsgegevens

Categorie persoonsgegeven(s):

Categorie betrokkenen:

Grondslag voor de verwerking:

Doel verwerking:

Zelf verwerken:

Waar bevindt zich de verwerker?

EU Verwerkersovereenkomst?

Bewaartermijn:

Veiligheidsmaatregelen:

Manier van verwerking
hanteert de volgende manier(en) om de persoonsgegevens te verzamelen: .

Toepassing van de persoonsgegevens
past de persoonsgegevens op de volgende manier(en) toe: .

Opslag van persoonsgegevens
slaat de persoonsgegevens op de volgende manier op: .

Verwijdering van persoonsgegevens

verwijdert de persoonsgegevens op de volgende manier: .

Noodzakelijkheid van de verwerking

Locatie(s) van de verwerking
verwerkt de persoonsgegevens op de volgende locatie(s): .

Het aantal betrokkenen bij de verwerking

DEEL 3 - EVALUATIE RISICO'S BIJ DE VERWERKING

DEEL 4 - BESCHRIJVING VOORGENOMEN MAATREGELEN

Over de DPIA

Alles inklappen

Alles uitklappen

Veelgestelde vragen over de Data Protection Impact Assessment

Alles inklappen

Alles uitklappen

DPIA wettelijk verplicht?

Het opstellen van een DPIA is wettelijk verplicht als de verwerking van persoonsgegevens binnen je organisatie waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer je organisatie op grote schaal bijzondere persoonsgegevens verwerkt en bij stelselmatige of grootschalige monitoring van de openbare ruimte.
Moet mijn verwerker ook een DPIA uitvoeren?

Nee, als je samenwerkt met een verwerker zoals een ICT-beheerder, salarisadministratiekantoor of cloudprovider, dan hoeft deze geen DPIA uit te voeren. Dit kan natuurlijk wel het geval zijn als deze verwerker zelf ook weer verwerkingsverantwoordelijke is. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is tenslotte verantwoordelijk voor de privacy van de betrokkenen.
Verschil PIA en DPIA

Er is geen verschil tussen een PIA en DPIA. De AVG/GDPR spreekt van Data Protection Impact Assessment (DPIA) maar de term Privacy Impact Assessment (PIA) is eveneens gebruikelijk, net als de Nederlandse term gegevensbeschermingseffectbeoordeling (GEB).
Bijzondere persoonsgegevens
Bijzondere of gevoelige persoonsgegevens zijn persoonsgegevens die iets zeggen over een bepaald aspect van een persoon zoals:
- ras of etnische afkomst
- politieke opvattingen
- religieuze of levensbeschouwelijke overtuigingen
- lidmaatschap van een vakbond
- genetische gegevens
- biometrische gegevens
- gezondheid
- seksuele gedrag of seksuele geaardheid
Hoe kan ik mijn opgestelde DPIA wijzigen?

Om je DPIA handmatig aan te passen hoef je alleen maar in te loggen op je Rocket Lawyer account, het document te selecteren dat je wilt bewerken en vervolgens bewerken te selecteren. Als je de oorspronkelijke versie als zodanig wilt opslaan, selecteer je eerst kopiëren en bewerk je vervolgens de gekopieerde versie.

Onze kwaliteitsgarantie

We garanderen dat de documenten die je via Rocket Lawyer maakt rechtsgeldig zijn in Nederland en veilig worden opgeslagen op Europese servers.

Hulp nodig? Geen probleem!

Stel een vraag of krijg juridisch advies van een advocaat.

Rond je DPIA af met onze Maak het rechtsgeldig™ checklist

Maak je document

Maak je document door het stapsgewijze interviewproces van Rocket Lawyer te volgen. Als je je antwoorden moet bewerken na het maken van je document, kun je terugkeren naar het interview om dit te doen. Begin nu!
Controleer je document

Neem je document goed door om er zeker van te zijn dat het voldoet aan de behoeften van alle betrokkenen. Vergeet niet dat als je vragen hebt, je gebruik kunt maken van onze dienst Vraag een Advocaat.
Sla je document op
Wat staat er in een DPIA?
De volgende onderwerpen staan altijd in een DPIA opgenomen:
- je beoordeelt de privacyrisico's van de gegevensverwerking door je organisatie
- je bepaalt welke maatregelen je organisatie gaat nemen om privacyrisico’s te minimaliseren
- je bepaalt welke maatregelen je organisatie gaat nemen om aan de AVG-richtlijnen te voldoen
- je omschrijft welke persoonsgegevens je organisatie gaat gebruiken
- je beschrijft met welk doel en met welke onderbouwing je organisatie persoonsgegevens verwerkt
- je beoordeelt of het noodzakelijk is persoonsgegevens te verwerken om het doel van je organisatie te bereiken
- je beoordeelt of de inbreuk op de privacy van de betrokkenen in verhouding staat tot het bereiken van het doel van je organisatie

MAAK JE GRATIS DPIA