Wat is een Data Protection Impact Assessment (DPIA)?

 

Een Data Protection Impact Assessment (afgekort: DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. De Algemene Verordening Gegevensbescherming (AVG) stelt een DPIA voor sommige organisaties verplicht. De Nederlandse vertaling van Data Protection Impact Assessment is gegevensbeschermingseffectbeoordeling.

 

Inhoud DPIA

In een DPIA beschrijft de verwerkingsverantwoordelijke welke gegevensverwerkingen zij wil uitvoeren en wat de doeleinden hiervan zijn. Wanneer een organisatie zich op een gerechtvaardigd belang beroept als grondslag voor de verwerking, moet dit ook worden opgenomen in de beschrijving. Daarnaast moet de organisatie in de DPIA beoordelen of de verwerking wel noodzakelijk is en of de belangen van de verwerkingsverantwoordelijke opwegen tegen de inbreuk op de privacy. Verder moet in de DPIA een beoordeling staan van de risico’s voor de betrokkenen. Ten slotte moet de verwerkingsverantwoordelijke in de DPIA de beoogde maatregelen beschrijven om die risico’s in te perken en aan te tonen dat de organisatie aan de AVG voldoet.

Heb jij je privacyzaken al op orde?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

 

Wanneer is een DPIA verplicht?

Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Een organisatie mag in dat geval niet beginnen met het verwerken van gegevens totdat er een DPIA is uitgevoerd. In de AVG staat dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt ;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Soorten verwerkingen

De Autoriteit Persoonsgegevens (AP) heeft een lijst opgesteld van soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is vóórdat een organisatie begint met verwerken. Let op: deze lijst is niet uitputtend.

  • Heimelijk onderzoek;
  • Opstellen van zwarte lijsten;
  • Fraudebestrijding;
  • Genereren van creditscores;
  • Verwerken van gegevens over financiële situaties;
  • Verwerken van genetische persoonsgegevens;
  • Verwerken van gezondheidsgegevens;
  • Delen van persoonsgegevens binnen samenwerkingsverbanden door gemeenten;
  • (Flexibel) cameratoezicht;
  • Controle werknemers;
  • Verwerken van locatiegegevens;
  • Verwerken van communicatiegegevens;
  • Verwerkingen middels ‘internet of things’;
  • Profilering;
  • Observatie en beïnvloeding van gedrag;
  • Verwerken van biometrische gegevens.

Bezoek de website van de AP voor een uitgebreidere uitleg.

 

Het kan zijn dat de verwerking die een organisatie wil verrichten niet op de bovenstaande lijst staat, maar een DPIA wél verplicht is. In dat geval moet de organisatie zelf bepalen of de verwerking een hoog privacyrisico oplevert voor de betrokkenen. Voor deze beoordeling kan een organisatie gebruik maken van de negen criteria de Europese privacytoezichthouders hebben opgesteld. Wanneer een verwerking aan twee of meer van de onderstaande criteria voldoet, is het verplicht een DPIA uit te voeren:

  • Beoordelen van mensen op basis van persoonskenmerken;
  • Geautomatiseerd beslissingen nemen;
  • Stelselmatig en grootschalig monitoren;
  • Verwerken van gevoelige gegevens;
  • Grootschalige gegevensverwerkingen;
  • Hebben van gekoppelde databases;
  • Verwerken van gegevens over kwetsbare personen;
  • Blokkeren van een recht, dienst of contract.

Voor meer informatie, zie hier.

 

Hoe ziet een DPIA er uit?

Een DPIA is vormvrij. Dat wil zoveel zeggen als: een organisatie mag zelf weten hoe, zolang de DPIA maar wordt uitgevoerd en de DPIA aan de criteria voldoet. De voorwaarden voor een DPIA worden hier beschreven.

 

Is jouw bedrijf al AVG-proof?

Privacy Zeker helpt ondernemers met tools, documenten en begeleiding zodat zij kunnen voldoen aan de AVG. Eenvoudig en betaalbaar.

In gesprek met…… Digidentity’s Alex van Unnik over eHerkenning en de toepassingen binnen het MKB

Digidentity ontrafelt de eHerkenning levels: Een diepgaand gesprek met Alex van Unnik over beveiliging, wettelijke verplichtingen en het vereenvoudigen van bedrijfsprocessen voor het MKB.Privacy Zeker staat altijd aan de voorhoede van ontwikkelingen die bedrijven...

Privacy Trends 2024: Navigeren door de Data-explosie door AI

Met de exponentiële groei van AI komt ook een tsunami van data op ons af, en ondernemers staan voor de uitdaging om hier bewust en proactief mee om te gaan. In 2024 zullen privacykwesties in het bedrijfsleven een cruciale rol spelen. Laten we eens kijken naar vijf...

Boost je onderneming met Privacy Zeker Certificering! 🚀🔐

Privacy is niet alleen een buzzword; het is een cruciaal aspect van succesvol ondernemen. Met cyberdreigingen die constant evolueren, is het tijd om je bedrijf te wapenen met het Privacy Zeker certificaat. Waarom Privacy Certificering? 🔒 Vertrouwen Opbouwen:...

Het cruciale belang van bescherming van Niet-Digitale Persoonsgegevens

In de digitale wereld waarin we leven, staat de bescherming van persoonsgegevens centraal in discussies over privacy en beveiliging. Echter, het belang van het beschermen van niet-digitale persoonsgegevens mag niet over het hoofd worden gezien. Van papieren dossiers...

De Nieuwe Frontlinie: Privacy en Persoonsgegevens in het tijdperk van AI Marketing

In een tijdperk waarin technologische vooruitgang de norm is, staan privacy en de bescherming van persoonsgegevens op de voorgrond van maatschappelijke discussies. Een Nieuw Tijdperk van Bewustwording 2024 markeert een cruciaal keerpunt waarin mensen steeds bewuster...

Adviesraad kunstmatige intelligentie (AI) aanstaande

In de razendsnelle wereld van kunstmatige intelligentie (AI) is er een dringende behoefte aan onafhankelijk advies, en recente ontwikkelingen laten zien dat de overheid hierin een cruciale rol speelt. Met aangenomen moties van zowel de VVD als D66 staat de oprichting...

Privacy in de Digitale Euro: Europese Toezichthouders Benadrukken Verbeteringen

Onlangs hebben Europese privacytoezichthouders hun aandacht gericht op het ontwerp van de digitale euro, en hoewel ze positieve notities hebben gemaakt, benadrukken ze de noodzaak van verbeteringen, vooral met betrekking tot gegevensverwerking. De feiten spreken voor...

De AI Act en Privacy: Risico’s voor Ondernemers in de Wereld van Kunstmatige Intelligentie

In een tijdperk waarin technologie voortdurend evolueert, hebben kunstmatige intelligentie (AI) en privacykwesties steeds meer de schijnwerpers gekregen. Recentelijk heeft het Europees Parlement de zogenaamde AI Act aangenomen, een Europese wet die strenge regels...

Privacy in Gevaar: Generatieve AI Gebruikt Jouw Persoonsgegevens Zonder Toestemming

In de moderne wereld zijn gegevens de drijvende kracht achter innovatie, met generatieve kunstmatige intelligentie (AI) die steeds vaker wordt ingezet om nieuwe informatie te creëren, van tekst tot afbeeldingen en meer. Hoewel dit veelbelovend is, bestaat het gevaar...

De KNVB en de Losgeldbetaling: Achtergrond en Gevolgen

De Koninklijke Nederlandse Voetbalbond (KNVB) heeft recentelijk de krantenkoppen gehaald vanwege een opmerkelijk incident waarbij ze losgeld hebben betaald aan cybercriminelen. Deze gebeurtenis werpt licht op de complexe vraagstukken rond ransomware-aanvallen en de...

Hoe werkt Privacy Zeker? Bekijk de video.