Wat is een Data Protection Impact Assessment (DPIA)?

 

Een Data Protection Impact Assessment (afgekort: DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De Algemene Verordening Gegevensbescherming (AVG) stelt een DPIA voor sommige organisaties verplicht. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling.

 

Inhoud DPIA

In een DPIA beschrijft de verwerkingsverantwoordelijke welke gegevensverwerkingen zij wil uitvoeren en wat de doeleinden hiervan zijn. Wanneer een organisatie zich op een gerechtvaardigd belang beroept als grondslag voor de verwerking, moet dit ook worden opgenomen in de beschrijving. Daarnaast moet de organisatie in de DPIA beoordelen of de verwerking wel noodzakelijk is en of de belangen van de verwerkingsverantwoordelijke opwegen tegen de inbreuk op de privacy. Verder moet in de DPIA een beoordeling staan van de risico’s voor de betrokkenen. Ten slotte moet de verwerkingsverantwoordelijke in de DPIA de beoogde maatregelen beschrijven om die risico’s in te perken en aan te tonen dat de organisatie aan de AVG voldoet.

Heb jij je privacyzaken al op orde?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

Wanneer is een DPIA verplicht?

Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Een organisatie mag in dat geval niet beginnen met het verwerken van gegevens totdat er een DPIA is uitgevoerd. In de AVG staat dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Soorten verwerkingen

De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat een organisatie begint met verwerken. Let op: deze lijst is niet uitputtend.

  • Heimelijk onderzoek;
  • Opstellen van zwarte lijsten;
  • Fraudebestrijding;
  • Genereren van creditscores;
  • Verwerken van gegevens over financiële situaties;
  • Verwerken van genetische persoonsgegevens;
  • Verwerken van gezondheidsgegevens;
  • Delen van persoonsgegevens binnen samenwerkingsverbanden door gemeenten;
  • (Flexibel) cameratoezicht;
  • Controle werknemers;
  • Verwerken van locatiegegevens;
  • Verwerken van communicatiegegevens;
  • Verwerkingen middels ‘internet of things’;
  • Profilering;
  • Observatie en beïnvloeding van gedrag;
  • Verwerken van biometrische gegevens.

Bezoek de website van de AP voor een uitgebreidere uitleg.

 

Het kan zijn dat de verwerking die een organisatie wil verrichten niet op de bovenstaande lijst staat, maar een DPIA wél verplicht is. In dat geval moet de organisatie zelf bepalen of de verwerking een hoog privacyrisico oplevert voor de betrokkenen. Voor deze beoordeling kan een organisatie gebruik maken van de negen criteria de Europese privacytoezichthouders hebben opgesteld. Wanneer een verwerking aan twee of meer van de onderstaande criteria voldoet, is het verplicht een DPIA uit te voeren:

  • Beoordelen van mensen op basis van persoonskenmerken;
  • Geautomatiseerd beslissingen nemen;
  • Stelselmatig en grootschalig monitoren;
  • Verwerken van gevoelige gegevens;
  • Grootschalige gegevensverwerkingen;
  • Hebben van gekoppelde databases;
  • Verwerken van gegevens over kwetsbare personen;
  • Blokkeren van een recht, dienst of contract.

Voor meer informatie, zie hier.

 

Hoe ziet een DPIA er uit?

Een DPIA is vormvrij. Dat wil zoveel zeggen als: een organisatie mag zelf weten hoe, zolang de DPIA maar wordt uitgevoerd en de DPIA aan de criteria voldoet. De voorwaarden voor een DPIA worden hier beschreven.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Kunstmatige intelligentie en ethiek: een essentiële training op Studytube

Privacy en ethiek zijn essentiële thema's in de wereld van kunstmatige intelligentie. Daarom heeft Aaron Mirck een waardevolle cursus ontwikkeld op Studytube: Kunstmatige intelligentie en ethiek! Deze training biedt inzicht in de impact van AI op privacy,...

Veilig je identiteitsbewijs kopiëren – voorkom identiteitsfraude!

Identiteitsfraude komt helaas steeds vaker voor. Criminelen kunnen misbruik maken van jouw persoonsgegevens, bijvoorbeeld om op jouw naam spullen te kopen of contracten af te sluiten. Dit kan enorme gevolgen hebben, zoals onverwachte rekeningen of zelfs problemen met...

LinkedIn: Een Goudmijn voor Cybercriminelen en CEO Fraude

LinkedIn, hét platform waar professionals wereldwijd hun netwerk uitbreiden en zichzelf presenteren, is tegenwoordig niet alleen een bron van zakelijke kansen, maar ook een potentieel hulpmiddel voor cybercriminelen. De rijkdom aan informatie die gebruikers vaak...

AI aan de lijn: Hoe geautomatiseerde stemmen jouw gegevens proberen te stelen

Gisteren kreeg ik een telefoontje dat mij flink aan het denken heeft gezet. Het begon met een simpele vraag over mijn adres, zogenaamd in verband met een bestelling. Niets bijzonders, zou je denken. Maar terwijl het gesprek vorderde, viel me iets op. De stem aan de...

Toch nog even dit over schijnzelfstandigheid bij ZZP’ers

Mag de overheid zomaar informatie krijgen over mijn werkzaamheden? Bij Privacy Zeker krijgen wij regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming) en de manier waarop deze wet uw privacy beschermt. Onlangs ontvingen we een interessante vraag van...

Klantverhaal: Hoe een hacker klanten doorstuurde naar de concurrent.

Bij Privacy Zeker hebben we de afgelopen jaren veel ondernemers geholpen die te maken kregen met datalekken. Een van de meest opvallende verhalen is dat van een kleine ondernemer, de ondernemer, Door een datalek vrijwel al zijn klanten zag verdwijnen eindigde bijna in...

Zullen we het een keer niet hebben over Privacy?

Privacy. Je hoort het overal, in elke hoek van het internet, op het nieuws, in gesprekken bij het koffiezetapparaat. Maar laten we eerlijk zijn: zodra het woord "privacy" valt in de vergaderzaal, vallen de meeste mensen stil of, erger nog, beginnen ze ongeïnteresseerd...

Belangrijke Privacy Updates in macOS Sequoia: Wat Betekenen Ze voor Jou?

Apple staat bekend om zijn focus op privacy, en de nieuwste macOS-update, Sequoia, bewijst dat opnieuw. Deze update bevat verschillende privacyverbeteringen die je gegevens beter beschermen tijdens het surfen op internet en het gebruik van netwerken. Hieronder...

KVK Telefoonnummers Afschermen: Wat Betekent Dit voor Privacy en Acquisitie?

De Kamer van Koophandel (KVK) heeft aangekondigd om telefoonnummers van ondernemers in het Handelsregister af te schermen. Dit besluit komt voort uit toenemende zorgen over privacy en ongewenste acquisitiepraktijken. Wat betekent deze verandering voor jou als MKB'er...

Is de nieuwe iOS 18 Apple wachtwoorden-app veilig en eenvoudig te gebruiken?

Apple heeft met de introductie van iOS 18 een eigen Wachtwoorden-app gelanceerd, waarmee gebruikers hun wachtwoorden, verificatiecodes, en wifi-netwerken veilig kunnen beheren. Maar hoe zit het met de gebruiksvriendelijkheid en veiligheid van deze app? Veiligheid De...

Hoe werkt Privacy Zeker? Bekijk de video.