Een DPIA is voor mij als Privacy Consultant de favoriete verplichting vanuit de AVG (Algemene Verordening Gegevensbescherming). Maar wat houdt zo’n DPIA nou in? En wanneer is het verplicht om een DPIA uit te voeren? Maar vooral, wat is hier nou zo interessant aan en wat kan jouw organisatie ermee winnen door een DPIA uit te (laten) voeren? Dat zal ik je vertellen.
Laten we eerst beginnen bij het begin:
De betekenis van een DPIA
Een DPIA, ofwel Data Protection Impact Assessment, betekent letterlijk een “gegevensbeschermingseffectbeoordeling” (GEB). Een andere benaming is de Privacy Impact Analyse (PIA). Een DPIA heeft als doel om (voorafgaand de verwerking van persoonsgegevens) privacy risico’s van een gegevensverwerking in kaart te brengen, zodat je als organisatie passende maatregelen kan nemen om de risico’s te verkleinen.
Simpelweg is een DPIA een proces om:
- Een verwerking van persoonsgegevens te beschrijven. (Denk aan de scope van de verwerking, het juridisch kader, de categorieën van persoonsgegevens en -betrokkenen);
- De noodzaak en evenredigheid van deze verwerking te beoordelen. (Denk aan de doelen en grondslagen van de verwerking en het antwoord op de vraag of de verwerking evenredig en proportioneel is voor de verwerkingsdoeleinden);
- En de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten. (Denk aan hoe groot de kans is op een risico en wat voor impact dit risico heeft op de betrokkenen).
- En maatregelen te bepalen om deze risico’s aan te pakken. (Denk bijv. aan het inregelen van autorisaties op basis van functiescheiding).
Wanneer is een DPIA voor jouw organisatie verplicht?
Een DPIA is verplicht wanneer je een verwerking uitvoert die waarschijnlijk een hoog risico kan opleveren voor de natuurlijke personen waarvan jij de persoonsgegevens verwerkt. Hoe weet je of er sprake is van een waarschijnlijk hoog risico? Dit kan je toetsen aan de hand van een 4 Stappenplan welke is gebaseerd vanuit de AVG.
"*" geeft vereiste velden aan
Hoe voer je een DPIA uit?
Het uitvoeren van een DPIA is vormvrij. Je kan gebruik maken van diverse modellen, zoals van NOREA en Rijksmodel GEB. Avensus kan je helpen met het uitvoeren van een DPIA. Een DPIA moet in ieder geval aan een aantal basisvereisten voldoen:
- Het beschrijven van de verwerking;
- Het beschrijven van de noodzakelijkheid en proportionaliteit van de verwerking;
- Het beoordelen van de risico’s;
- Het benoemen van de voorgenomen maatregelen om de risico’s aan te pakken én om aan te tonen dat aan de AVG wordt voldaan.
Wat is er zo interessant aan een DPIA en wat win je ermee?
- Met een DPIA kan je voorkomen dat je organisatie negatief in de media verschijnt (imagoschade) en/of boetes opgelegd krijgt. Denk aan bijv. de “Manfield”-zaak (invoeren vingerscan medewerkers);
- In een DPIA worden de basisbeginselen van een verwerking vanuit de AVG onderzocht en beoordeeld. Dit is tevens een AVG-verplichting (win-win);
- Een DPIA is een belangrijk middel om de naleving van de AVG te kunnen aantonen (win-win);
- Met een DPIA ben je in Control! Je kent je processen, de risico’s, en je weet welke acties moeten worden genomen (win-win);
- Met een DPIA wordt inzichtelijk of voorafgaande raadpleging bij de Autoriteit Persoonsgegevens (AP) nodig is, wanneer de risico’s niet goed beperkt kunnen worden (win-win);
- Het verwerkingsregister (=AVG-verplichting) kan worden gewijzigd op basis van de uitkomsten van een DPIA (win-win).
Als laatste nog wat tips van mij, op een rij…
- Bespreek van tevoren het doel van de DPIA met de proceseigenaar en/of -verantwoordelijke. Een DPIA is een middel, en geen doel op zich. Na het afronden van een DPIA is het nog niet klaar. Het gaat om de resultaten uit de DPIA die van belang zijn;
- Maak vooraf een planning en stem ontwikkelingen af met stakeholders. Zo weet iedereen wat van hen kan worden verwacht en welke acties nog moeten worden ondernomen;
- Zorg dat je vooraf zoveel mogelijk informatie hebt over het proces of de verwerking;
- Beschrijf duidelijk de scope van de DPIA, en ook wat hier niet in zit. Zorg voor helderheid.
Wil je weten of het voor jouw organisatie verplicht is om een DPIA uit te voeren voor een bepaalde verwerking? Of wil je meer weten over de voordelen van een DPIA en wat Avensus voor jouw organisatie kan betekenen? Neem dan gerust en geheel vrijblijvend contact op via privacy@avensus.nl