Wat is een Data Protection Impact Assessment (DPIA)?

 

Een Data Protection Impact Assessment (afgekort: DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De Algemene Verordening Gegevensbescherming (AVG) stelt een DPIA voor sommige organisaties verplicht. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling.

 

Inhoud DPIA

In een DPIA beschrijft de verwerkingsverantwoordelijke welke gegevensverwerkingen zij wil uitvoeren en wat de doeleinden hiervan zijn. Wanneer een organisatie zich op een gerechtvaardigd belang beroept als grondslag voor de verwerking, moet dit ook worden opgenomen in de beschrijving. Daarnaast moet de organisatie in de DPIA beoordelen of de verwerking wel noodzakelijk is en of de belangen van de verwerkingsverantwoordelijke opwegen tegen de inbreuk op de privacy. Verder moet in de DPIA een beoordeling staan van de risico’s voor de betrokkenen. Ten slotte moet de verwerkingsverantwoordelijke in de DPIA de beoogde maatregelen beschrijven om die risico’s in te perken en aan te tonen dat de organisatie aan de AVG voldoet.

Heb jij je privacyzaken al op orde?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

Wanneer is een DPIA verplicht?

Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Een organisatie mag in dat geval niet beginnen met het verwerken van gegevens totdat er een DPIA is uitgevoerd. In de AVG staat dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Soorten verwerkingen

De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat een organisatie begint met verwerken. Let op: deze lijst is niet uitputtend.

  • Heimelijk onderzoek;
  • Opstellen van zwarte lijsten;
  • Fraudebestrijding;
  • Genereren van creditscores;
  • Verwerken van gegevens over financiële situaties;
  • Verwerken van genetische persoonsgegevens;
  • Verwerken van gezondheidsgegevens;
  • Delen van persoonsgegevens binnen samenwerkingsverbanden door gemeenten;
  • (Flexibel) cameratoezicht;
  • Controle werknemers;
  • Verwerken van locatiegegevens;
  • Verwerken van communicatiegegevens;
  • Verwerkingen middels ‘internet of things’;
  • Profilering;
  • Observatie en beïnvloeding van gedrag;
  • Verwerken van biometrische gegevens.

Bezoek de website van de AP voor een uitgebreidere uitleg.

 

Het kan zijn dat de verwerking die een organisatie wil verrichten niet op de bovenstaande lijst staat, maar een DPIA wél verplicht is. In dat geval moet de organisatie zelf bepalen of de verwerking een hoog privacyrisico oplevert voor de betrokkenen. Voor deze beoordeling kan een organisatie gebruik maken van de negen criteria de Europese privacytoezichthouders hebben opgesteld. Wanneer een verwerking aan twee of meer van de onderstaande criteria voldoet, is het verplicht een DPIA uit te voeren:

  • Beoordelen van mensen op basis van persoonskenmerken;
  • Geautomatiseerd beslissingen nemen;
  • Stelselmatig en grootschalig monitoren;
  • Verwerken van gevoelige gegevens;
  • Grootschalige gegevensverwerkingen;
  • Hebben van gekoppelde databases;
  • Verwerken van gegevens over kwetsbare personen;
  • Blokkeren van een recht, dienst of contract.

Voor meer informatie, zie hier.

 

Hoe ziet een DPIA er uit?

Een DPIA is vormvrij. Dat wil zoveel zeggen als: een organisatie mag zelf weten hoe, zolang de DPIA maar wordt uitgevoerd en de DPIA aan de criteria voldoet. De voorwaarden voor een DPIA worden hier beschreven.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

Even privé met… Arjan Middelkoop, SIDN

Privacy, gegevensbescherming, de AVG; onderwerpen die bijna dagelijks in het nieuws zijn. In de rubriek ‘Even privé met…’ komen verschillende professionals aan het woord over privacy. We spraken met Arjan Middelkoop, commercieel directeur bij SIDN. Wie ben je en wat...

Recordaantal datalekmeldingen in 2019

In 2019 ontving de Autoriteit Persoonsgegevens (AP) bijna 27.000 datalekmeldingen, een nieuw record. Dit is een stijging van 29% ten opzichte van 2018. Dat blijkt uit de vandaag gepubliceerde jaarcijfers van de AP. De sector met de meeste gemelde datalekken is de...

Nederland koploper in de EU: meeste gemelde datalekken

Sinds de invoering van de AVG op 25 mei 2018 zijn er meer dan 160.000 datalekken gemeld in de EU. Nederland staat bovenaan het lijstje, met ruim 40.000 gemelde datalekken. Op nummer 2 staat Duitsland met ruim 37.000 gemelde datalekken en het Verenigd Koninkrijk sluit...

Samenwerking tussen SIDN en Privacy Zeker

Links: Tom Maarsman, Managing Director van Privacy Zeker. Rechts: Arjan Middelkoop, commercieel directeur bij SIDN Voor veel ondernemers is online security nog steeds een complex onderwerp. Dit terwijl cybercriminelen het juist vaker gemunt hebben op het mkb. Om...

Het privacyjaar 2019

Met 2020 voor de deur is het tijd om terug te kijken op het afgelopen jaar. Ook in 2019 waren privacy, de AVG en databeveiliging weer belangrijke thema’s. 2019 was niet alleen het jaar waarin de AVG zijn eerste verjaardag vierde, maar ook het jaar waarin mensen steeds...

PERSBERICHT: Privacy Zeker certificaat zet nieuwe standaard voor (cyber)veiligheid

AMSTERDAM – Brancheorganisatie ZZP Nederland, verzekeraar Hiscox, netwerkbeveiligingsspecialist SecureMe2 en veilige e-mailspecialist ZIVVER verbinden zich aan het privacycertificaat van AVG-dienstverlener Privacy Zeker. Met dit certificaat tonen organisaties aan dat...

Privacywaakhond: webshops schenden massaal privacywet

Uit een controle van de Autoriteit Persoonsgegevens (AP) blijkt dat veel websites niet op de juiste manier toestemming vragen voor het plaatsen van tracking cookies. De AP controleerde circa 175 websites van onder andere webshops, gemeenten en media. Bijna de helft...

Organisaties verplicht om vooraf privacyrisico’s van vingerafdrukscanners in kaart te brengen

Organisaties die gebruik willen maken van biometrische gegevens, zoals vingerafdrukken of gezichtsscans, zijn vanaf nu verplicht om eerst de privacyrisico’s te onderzoeken.    Hoog privacyrisico De Autoriteit Persoonsgegevens publiceerde deze week een definitieve...

Even privé met… Rick Sulman, Speakup

Privacy, gegevensbescherming, de AVG; onderwerpen die bijna dagelijks in het nieuws zijn. In de rubriek ‘Even privé met…’ komen verschillende professionals aan het woord over privacy. We spraken met Rick Sulman, CEO bij Speakup. Wie ben je en wat doe je?'Ik ben Rick...

Vandaag vieren wij de Dag van de Ondernemer

Vandaag is het de Dag van de Ondernemer. Deze dag is door MKB-Nederland in het leven geroepen om het ondernemerschap te vieren en ondernemers te bedanken en in het zonnetje te zetten. Ondernemers zijn namelijk van grote waarde voor ons land. Ze creëren groei, banen en...

Hoe werkt Privacy Zeker? Bekijk de video.