Wat is een DPIA?

De DPIA is een Engelstalige afkorting voor ‘Data Protection Impact Assessment’. Het is de opvolger van de Privacy Impact Assessment (PIA). In het Nederlands wordt de DPIA een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Het is een instrument om vóór de verwerkingen de hoge privacyrisico’s in kaart te brengen. In een DPIA worden privacyrisico’s in kaart gebracht en maatregelen beschreven die de risico’s beperken. De organisatie dient zelf te oordelen of er sprake is van een verhoogd privacyrisico. Wanneer de verwerking een verhoogd privacyrisico met zich meebrengt en aanhoudt, ondanks de maatregelen, is consultatie met de toezichthouder verplicht.

De Autoriteit Persoonsgegevens (AP) raadt aan om periodiek een DPIA uit te voeren, omdat er natuurlijk wat gewijzigd kan zijn. Dit kan eens per 3 jaar gebeuren.

Wat kunnen wij voor u doen?

Wij bieden u advies en ondersteuning bij:

  • het bepalen of een DPIA nodig is;
  • het uitvoeren van een (periodieke) DPIA;
  • het analyseren en beoordelen van de privacyrisico’s en maatregelen;
  • het uitkiezen van de juiste methodiek;
  • consultatie met de toezichthouder.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht voor organisaties die persoonsgegevens willen verwerken waarbij de gegevens een verhoogd privacyrisico met zich meebrengen. De verwerking mag niet gestart worden voordat een DPIA, of consultatie met de AP is afgerond. De AP heeft twee hulpmiddelen beschikbaar gesteld, een lijst met verwerkingen waar altijd een DPIA voor moet worden gedaan en een aantal vragen om te toetsen of er sprake is van een hoog privacyrisico.

Altijd verplicht als…

De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van 16 verwerkingen waarvoor het uitvoeren van een DPIA verplicht is. Dit zijn: heimelijk onderzoek, zwarte lijsten, fraudebestrijding, creditscores, financiële situatie, genetische persoonsgegevens, gezondheidsgegevens, samenwerkingsverbanden, cameratoezicht, flexibel cameratoezicht, controle werknemers, locatiegegevens, communicatiegegevens, internet of things, profilering en observatie en beïnvloeding van gedrag.

Deze lijst kan nog wijzigen. Raadpleeg altijd de site van AP voor de meest actuele informatie.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht voor organisaties die persoonsgegevens willen verwerken waarbij de gegevens een verhoogd privacyrisico met zich meebrengen. De verwerking mag niet gestart worden voordat een DPIA, of consultatie met de AP is afgerond. De AP heeft twee hulpmiddelen beschikbaar gesteld, een lijst met verwerkingen waar altijd een DPIA voor moet worden gedaan en een aantal vragen om te toetsen of er sprake is van een hoog privacyrisico.

Altijd verplicht als…

De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van 16 verwerkingen waarvoor het uitvoeren van een DPIA verplicht is. Dit zijn:

  1. Heimelijk onderzoek
  2. Zwarte lijsten
  3. Fraudebestrijding
  4. Creditscores
  5. Financiële situatie
  6. Genetische persoonsgegevens
  7. Gezondheidsgegevens
  8. Samenwerkingsverbanden
  9. Cameratoezicht
  10. Flexibel cameratoezicht
  11. Controle werknemers
  12. Locatiegegevens
  13. Communicatiegegevens
  14. Internet of things, (IoT)
  15. Profilering en observatie
  16. Beïnvloeding van gedrag.

Deze lijst kan nog wijzigen. Raadpleeg altijd de site van AP voor de meest actuele informatie.

Vaststellen hoog privacyrisico

U dient in ieder geval een DPIA uit te voeren als u aan twee of meer van de onderstaande criteria voldoet:

  1. Beoordelen van mensen op basis van persoonskenmerken
  2. Geautomatiseerde beslissingen
  3. Stelselmatige en grootschalige monitoring
  4. Gevoelige gegevens
  5. Grootschalige gegevensverwerkingen (afhankelijk van het aantal personen van wie de gegevens worden verwerkt, aantal (verschillende soorten) persoonsgegevens, duur van de gegevensverwerking en de geografische omvang)
  6. Gekoppelde databases
  7. Gegevens over kwetsbare personen
  8. Gebruik van nieuwe technologieën
  9. Blokkering van een recht, dienst of contract

Vragen?

Heeft u vragen over deze dienstverlening? Stuur dan een mail naar privacy@senict.nl of vul het contactformulier in op de contactpagina.

Mail ons
Bel nu

Wat kunnen wij voor u doen?

Wij bieden u advies en ondersteuning bij:

  • het bepalen of een DPIA nodig is;
  • het uitvoeren van een (periodieke) DPIA;
  • het analyseren en beoordelen van de privacyrisico’s en maatregelen;
  • het uitkiezen van de juiste methodiek;
  • consultatie met de toezichthouder.

Vragen?

Heeft u vragen over deze dienstverlening? Vul het contactformulier in op de contactpagina.

Mail ons
Bel nu