MAAK JE GRATIS DPIA

Inhoudsopgave
Wat in een DPIA?
DPIA staat voor Data Protection Impact Assessment, ook wel gegevensbeschermingseffectbeoordeling (GEB) of Privacy Impact Assessment (PIA) genoemd. Een DPIA is een onderzoek om een overzicht van de privacyrisico’s van gegevensverwerking binnen je bedrijf te creëren, waardoor je maatregelen kunt nemen om deze risico’s te minimaliseren. Zo weet je ook zeker dat je verwerking voldoet aan de Algemene verorderdening gegevensbescherming (AVG) en voorkom je hoge boetes vanwege niet-naleving ervan. Hoewel het altijd verstandig is om over zo'n privacy overzicht te beschikken, ben je in sommige situaties verplicht een DPIA uit te voeren. We leggen je hieronder uit wanneer daar sprake van is.
Dit document is AVG-proof.
Wanneer heb ik een DPIA nodig?
Het uitvoeren van een DPIA is verplicht wanneer de gegevensverwerking binnen je organisatie een hoog privacyrisico oplevert voor de betrokkenen. Hiervan is sprake als er van minimaal 1 van onderstaande situaties sprake is. De lijst is niet uitputtend, maar het zijn wel de meest voorkomende gevallen:
- je organisatie beoordeelt personen met behulp van persoonskenmerken, zoals de kredietwaardigheid van je klanten of profielen van personen op basis van bijvoorbeeld hun interesses of locatiegegevens
- je organisatie neemt geautomatiseerde beslissingen aan de hand van persoonsgegevens (profilering/profiling), zoals beslissingen die grote gevolgen kunnen hebben zoals uitsluiting of discriminatie
- je verzamelt regelmatig en op grote schaal persoonsgegevens door personen te volgen in de openbare ruimte, zoals met cameratoezicht zonder dat die personen weten wat je met die beelden doet
- je verwerkt bijzondere persoonsgegevens
- je gebruikt op grote schaal veel persoonsgegevens voor een lange tijd, waarbij het gebruik eigenlijk een kernactiviteit van je bedrijf betreft
- je koppelt verschillende databases met persoonsgegevens aan elkaar
- je gebruikt persoonsgegevens van kwetsbare personen zoals werknemers, kinderen of patiënten
- je gebruikt nieuwe technologieën waarvan je nog niet precies weet wat de maatschappelijke gevolgen zijn
- je gebruikt persoonsgegevens op een bepaalde manier waardoor personen een dienst niet kunnen gebruiken, een contract niet kunnen afsluiten of een recht niet kunnen uitoefenen, zoals een bedrijf dat gegevens verwerkt om te bepalen of zij een lening aan iemand wilt verstrekken
In alle andere gevallen is het verstandig om een DPIA uit te voeren. Hierdoor weet je op tijd welke risico's de verwerking met zich meebrengt en kun je hierop aanpassingen doen. Zo bespaar je kosten, want een DPIA uitvoeren is eenvoudiger en daardoor goedkoper dan het naderhand wijzigen van interne werkwijzen die niet AVG compliant zijn.
Voorbeeld DPIA
De voorwaarden in je document worden bijgewerkt op basis van de informatie die je verstrekt
DATA PROTECTON IMPACT ASSESSMENT
DEEL 1 - DE VERANTWOORDELIJKE
Verantwoordelijke voor de verwerking van persoonsgegevens
, , , KvK-nummer , ,
Uitvoerder van de Data Protection Impact Assessment
, ,
Datum uitvoering Data Protection Impact Assessment
DEEL 2 - DE VERWERKING VAN DE PERSOONSGEGEVENS EN RECHTMATIGHEID
Verwerking reguliere persoonsgegevens
Categorie persoonsgegeven(s):
Categorie betrokkenen:
Grondslag voor de verwerking:
Doel verwerking:
Zelf verwerken:
Waar bevindt zich de verwerker?
EU Verwerkersovereenkomst?
Bewaartermijn:
Veiligheidsmaatregelen:
Manier van verwerking
hanteert de volgende manier(en) om de persoonsgegevens te verzamelen: .
Toepassing van de persoonsgegevens
past de persoonsgegevens op de volgende manier(en) toe: .
Opslag van persoonsgegevens
slaat de persoonsgegevens op de volgende manier op: .
Verwijdering van persoonsgegevens
verwijdert de persoonsgegevens op de volgende manier: .
Noodzakelijkheid van de verwerking
Locatie(s) van de verwerking
verwerkt de persoonsgegevens op de volgende locatie(s): .
Het aantal betrokkenen bij de verwerking
DEEL 3 - EVALUATIE RISICO'S BIJ DE VERWERKING
DEEL 4 - BESCHRIJVING VOORGENOMEN MAATREGELEN
Over de DPIA
Veelgestelde vragen over de Data Protection Impact Assessment
-
DPIA wettelijk verplicht?
Het opstellen van een DPIA is wettelijk verplicht als de verwerking van persoonsgegevens binnen je organisatie waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. Daarvan is bijvoorbeeld sprake van bij profiling, maar ook wanneer je organisatie op grote schaal bijzondere persoonsgegevens verwerkt en bij stelselmatige of grootschalige monitoring van de openbare ruimte.
-
Moet mijn verwerker ook een DPIA uitvoeren?
Nee, als je samenwerkt met een verwerker zoals een ICT-beheerder, salarisadministratiekantoor of cloudprovider, dan hoeft deze geen DPIA uit te voeren. Dit kan natuurlijk wel het geval zijn als deze verwerker zelf ook weer verwerkingsverantwoordelijke is. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is tenslotte verantwoordelijk voor de privacy van de betrokkenen.
-
Verschil PIA en DPIA
Er is geen verschil tussen een PIA en DPIA. De AVG/GDPR spreekt van Data Protection Impact Assessment (DPIA) maar de term Privacy Impact Assessment (PIA) is eveneens gebruikelijk, net als de Nederlandse term gegevensbeschermingseffectbeoordeling (GEB).
-
Bijzondere persoonsgegevens
Bijzondere of gevoelige persoonsgegevens zijn persoonsgegevens die iets zeggen over een bepaald aspect van een persoon zoals:
-
ras of etnische afkomst
-
politieke opvattingen
-
religieuze of levensbeschouwelijke overtuigingen
-
lidmaatschap van een vakbond
-
genetische gegevens
-
biometrische gegevens
-
gezondheid
-
seksuele gedrag of seksuele geaardheid
-
-
Hoe kan ik mijn opgestelde DPIA wijzigen?
Om je DPIA handmatig aan te passen hoef je alleen maar in te loggen op je Rocket Lawyer account, het document te selecteren dat je wilt bewerken en vervolgens bewerken te selecteren. Als je de oorspronkelijke versie als zodanig wilt opslaan, selecteer je eerst kopiëren en bewerk je vervolgens de gekopieerde versie.

Onze kwaliteitsgarantie
We garanderen dat de documenten die je via Rocket Lawyer maakt rechtsgeldig zijn in Nederland en veilig worden opgeslagen op Europese servers.
Hulp nodig? Geen probleem!
Stel een vraag of krijg juridisch advies van een advocaat.