DPIA

DPIA

Het uitvoeren van een DPIA (Data Protection Impact Assessment) kan verplicht zijn vanaf het moment dat de GDPR (General Data Protection Regulation) op 25 mei 2018 van kracht wordt. DPIA is een beoordeling. Met deze beoordeling breng je van tevoren de privacyrisico’s van een gegevensverwerking in kaart. In de Nederlandse AVG wordt de DPIA gegevensbeschermingseffectbeoordeling genoemd.

Een DPIA voer je uit, omdat je bijvoorbeeld op grote schaal persoonsgegevens gaat verwerken. Denk hierbij aan het ziekenhuis dat patiëntengegevens verwerkt. Maar dit kan ook zijn wanneer je persoonsgegevens verwerkt met het gebruik van een nieuwe technologie. Zoals bijvoorbeeld een CRM-systeem.

Bij veranderingen met een hoog risico voor de verwerking van persoonsgegevens is een DPIA verplicht onderdeel van het project. Het is van belang om de DPIA zo vroeg mogelijk uit te voeren, om zo het beste rekening te kunnen houden met uitkomsten. Zo kun je op basis van de DPIA-resultaten maatregelen treffen, als dat nodig is.

WP29

Wanneer een gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, is een DPIA verplicht. De Working Party art.29 (De WP29) is een werkgroep van Europese privacytoezichthouders. Deze werkgroep heeft criteria opgesteld om het risico van de gegevensverwerking te bepalen en daarmee of je een DPIA moet uitvoeren. Ook stellen zij enkele ‘Guidelines’; richtlijnen op, over hoe bepaalde begrippen uit de GDPR uitgelegd moeten worden. Deze richtlijnen voor een DPIA vind je terug op https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf

Advies van de FG

Als er binnen jouw organisatie een Functionaris voor de Gegevensbescherming actief is, moet de verantwoordelijke bij het uitvoeren van een DPIA advies vragen van de FG. Je moet in het rapport opnemen wat de FG geadviseerd heeft omtrent het verwerken van persoonsgegevens. Bijvoorbeeld wanneer een DPIA uitgevoerd moet worden bij een nieuw CRM-systeem. De FG ziet toe op bijvoorbeeld vragen als: waar staat de data opgeslagen? En wie heeft er toegang tot deze data? Dit zijn vragen waar rekening mee gehouden moet worden. De Functionaris voor de Gegevensbescherming kijkt of deze onderdelen aanwezig zijn bij het uitvoeren van de DPIA. De FG houdt ook in de gaten of de DPIA daadwerkelijk wordt uitgevoerd. Wanneer je het advies van de FG negeert, hoeft dat geen probleem te zijn, maar je moet wel aangeven waarom je dit doet.

Inhoud van de DPIA

De DPIA is vormvrij, maar dient wel de volgende onderdelen te bevatten:

  • Een systematische beschrijving over wat je gaat verwerken en wat het doel is van deze verwerking
  • Waarom je deze verwerking moet doen. Is het verwerken persoonsgegevens op deze manier echt noodzakelijk om je doel te bereiken?
  • Een beoordeling van de risico’s voor de betrokkenen
  • Maatregelen om deze risico’s aan te pakken

Resultaten DPIA

Je hebt een DPIA uitgevoerd, maar wat nu? Mocht er geen risico zijn, dan kun je van start gaan met je voorgenomen verwerking. Wanneer blijkt dat de voorgenomen verwerking toch een hoog risico oplevert en je neemt geen maatregelen, dan moet je de Autoriteit Persoonsgegevens (AP) raadplegen voor advies. Autoriteit Persoonsgegevens raadt aan om, zelfs wanneer je dit niet verplicht bent, vrijwillig een DPIA te doen en dit proces om de drie jaar te herhalen. Dit komt de bescherming van de persoonsgegevens en daarmee jouw organisatie ten goede.

Wil je graag meer weten over een DPIA? Of over de GDPR in het algemeen? Neem contact met ons op of bezoek ons GDPR-dossier op gdpr.eshgro.nl.

groen gdpr

 

Download het whitepaper

Jouw pad naar NIS2 compliance

NIS2 whitepaper Eshgro

Verken de wereld van IT

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Kies je voor accepteren, dan plaatsen we alle cookies. Kies je voor afwijzen, dan plaatsen we alleen functionele en analytische cookies. Je kunt je voorkeuren later nog aanpassen.

Accepteren Weigeren Meer opties

Deze website gebruikt cookies

Met deze cookies kunnen wij en derde partijen informatie over jou en jouw internetgedrag verzamelen, zowel binnen als buiten onze website. Op basis daarvan passen wij en derde partijen de website, onze communicatie en advertenties aan op jouw interesses en profiel. Meer informatie lees je in ons cookie statement.

Functionele cookies
Arrow down

Functionele cookies zijn essentieel voor het correct functioneren van onze website. Ze stellen ons in staat om basisfuncties zoals paginanavigatie en toegang tot beveiligde gebieden mogelijk te maken. Deze cookies verzamelen geen persoonlijke informatie en kunnen niet worden uitgeschakeld.

Analytische cookies
Arrow down

Analytische cookies helpen ons inzicht te krijgen in hoe bezoekers onze website gebruiken. We verzamelen geanonimiseerde gegevens over pagina-interacties en navigatie, waardoor we onze site voortdurend kunnen verbeteren.

Marketing cookies
Arrow down

Marketing cookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Het doel is om relevante advertenties te vertonen aan de individuele gebruiker. Door deze cookies toe te staan, help je ons relevante inhoud en aanbiedingen aan je te vertonen.

Accepteren Opslaan

Eshgro Adventskalender

Tel samen met ons af tot de feestdagen, en
krijg 24 dagen lang een gratis verrassing.

Doe mee aan onze adventskalender en
maak kans op een gratis Microsoft CoPilot training!

Ga naar de inhoud