Wat is een Data Protection Impact Assessment (DPIA)?

 

Een Data Protection Impact Assessment (afgekort: DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De Algemene Verordening Gegevensbescherming (AVG) stelt een DPIA voor sommige organisaties verplicht. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling.

 

Inhoud DPIA

In een DPIA beschrijft de verwerkingsverantwoordelijke welke gegevensverwerkingen zij wil uitvoeren en wat de doeleinden hiervan zijn. Wanneer een organisatie zich op een gerechtvaardigd belang beroept als grondslag voor de verwerking, moet dit ook worden opgenomen in de beschrijving. Daarnaast moet de organisatie in de DPIA beoordelen of de verwerking wel noodzakelijk is en of de belangen van de verwerkingsverantwoordelijke opwegen tegen de inbreuk op de privacy. Verder moet in de DPIA een beoordeling staan van de risico’s voor de betrokkenen. Ten slotte moet de verwerkingsverantwoordelijke in de DPIA de beoogde maatregelen beschrijven om die risico’s in te perken en aan te tonen dat de organisatie aan de AVG voldoet.

Heb jij je privacyzaken al op orde?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

Wanneer is een DPIA verplicht?

Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Een organisatie mag in dat geval niet beginnen met het verwerken van gegevens totdat er een DPIA is uitgevoerd. In de AVG staat dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Soorten verwerkingen

De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat een organisatie begint met verwerken. Let op: deze lijst is niet uitputtend.

  • Heimelijk onderzoek;
  • Opstellen van zwarte lijsten;
  • Fraudebestrijding;
  • Genereren van creditscores;
  • Verwerken van gegevens over financiële situaties;
  • Verwerken van genetische persoonsgegevens;
  • Verwerken van gezondheidsgegevens;
  • Delen van persoonsgegevens binnen samenwerkingsverbanden door gemeenten;
  • (Flexibel) cameratoezicht;
  • Controle werknemers;
  • Verwerken van locatiegegevens;
  • Verwerken van communicatiegegevens;
  • Verwerkingen middels ‘internet of things’;
  • Profilering;
  • Observatie en beïnvloeding van gedrag;
  • Verwerken van biometrische gegevens.

Bezoek de website van de AP voor een uitgebreidere uitleg.

 

Het kan zijn dat de verwerking die een organisatie wil verrichten niet op de bovenstaande lijst staat, maar een DPIA wél verplicht is. In dat geval moet de organisatie zelf bepalen of de verwerking een hoog privacyrisico oplevert voor de betrokkenen. Voor deze beoordeling kan een organisatie gebruik maken van de negen criteria de Europese privacytoezichthouders hebben opgesteld. Wanneer een verwerking aan twee of meer van de onderstaande criteria voldoet, is het verplicht een DPIA uit te voeren:

  • Beoordelen van mensen op basis van persoonskenmerken;
  • Geautomatiseerd beslissingen nemen;
  • Stelselmatig en grootschalig monitoren;
  • Verwerken van gevoelige gegevens;
  • Grootschalige gegevensverwerkingen;
  • Hebben van gekoppelde databases;
  • Verwerken van gegevens over kwetsbare personen;
  • Blokkeren van een recht, dienst of contract.

Voor meer informatie, zie hier.

 

Hoe ziet een DPIA er uit?

Een DPIA is vormvrij. Dat wil zoveel zeggen als: een organisatie mag zelf weten hoe, zolang de DPIA maar wordt uitgevoerd en de DPIA aan de criteria voldoet. De voorwaarden voor een DPIA worden hier beschreven.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

De meest voorkomende manieren van online fraude op een rijtje

Er zijn verschillende online fraude methodes die worden gebruikt door oplichters. Hier zijn enkele van de meest voorkomende: Phishing: dit is wanneer oplichters zich voordoen als legitieme bedrijven of organisaties om persoonlijke informatie van slachtoffers te...

Er is veel te doen over het BRP (Basisregistratie Personen) maar wat is deze instantie? En waarom bestaan ze?

De BRP (Basisregistratie Personen) is een databank met persoonsgegevens van personen die in Nederland wonen of gewoond hebben. Deze database wordt gebruikt door verschillende overheidsinstanties, zoals gemeenten en de Belastingdienst, om bijvoorbeeld...

LinkedIn en Instagram eisen privacyverklaring van bedrijven voor het werven van nieuwe klanten online.

Platforms zoals LinkedIn en Instagram vereisen dat bedrijven een privacyverklaring hebben voordat ze toegang krijgen tot hun advertentieprogramma's en andere functies voor leadgeneratie. In de nieuwe feature Leads bij bedrijfspagina's op Linkedin en Instagram krijgen...

10 feiten over de AVG Privacy wetgeving

Je hebt een nieuwe papiervernietiger nodig, USB sticks zijn verboden en je mag geen foto's maken in het openbaar! nee daar klopt niets van... Hier zijn 10 feiten over de AVG. De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die geldt sinds 25 mei...

Beter omgaan met privacy: 5 tips voor ondernemers

Samen met onze partner ABN AMRO helpen wij ondernemers met Cyber, Privacy en wetgeving. Om deze reden brengen wij regelmatig artikelen uit en bieden wij de klanten van ABN AMRO het gratis Privacy Start pakket aan. Naast ontzorging bij de AVG en Privacy kunnen onze...

Uitspraak Europees hof gaat leiden tot meer controle, boetes en verantwoordelijkheid voor ondernemers binnen de AVG

Bedrijven in de EU moeten specifiek aangeven aan welke partijen ze persoonsgegevens verkopen, volgens een uitspraak van het Europees Hof van Justitie. De uitspraak kwam tot stand in een zaak waarin een Oostenrijker zich beriep op artikel 15 van de AVG (Algemene...

Begrippenlijst Privacy en AVG

De privacywetgeving en de AVG (algemene verordening gegevensbescherming) is doorspekt van ingewikkelde begrippen en jargon. Om deze reden hebben wij een begrippenlijst samengesteld voor iedere ondernemer die te maken heeft met de AVG. Persoonsgegevens: elk type...

5 Tips voor het beschermen van je online privacy

Met de groeiende digitalisering en het toenemend gebruik van internet, is het belangrijker dan ooit om te zorgen voor de bescherming van onze online privacy. Hier zijn vijf tips om je te helpen je persoonlijke informatie te beschermen: 5 tips Controleer je...

Hoe u uw persoonlijke gegevens kunt beschermen op openbare WiFi-netwerken

Privacy en WiFi Openbare WiFi-netwerken zijn een gemakkelijke en handige manier om verbinding te maken met het internet wanneer we onderweg zijn of wanneer we geen toegang hebben tot een privé-internetverbinding. Helaas kunnen deze netwerken ook een risico vormen voor...

De ernstige gevolgen van het enorme datalek bij Twitter

De gevolgen van een Datalek In een recente hack zijn ruim 200 miljoen mailadressen van Twitter-gebruikers op straat terechtgekomen. Dit kan grote gevolgen hebben voor de privacy van deze gebruikers. Volgens Privacy Zeker, de marktleider op het gebied van de Algemene...

Hoe werkt Privacy Zeker? Bekijk de video.