Data Protection Impact Assessment (DPIA)

Wat is een DPIA?

Bij een DPIA wordt onderzocht of en waar grote privacyrisico’s kunnen ontstaan bij organisaties die persoonsgegevens gebruiken. Uit het Data Protection Impact Assessment komt ook naar voren welke maatregelen er genomen moeten worden in deze risico’s te beperken of te voorkomen. Een DPIA moet volgens GDPR/AVG worden uitgevoerd vóórdat wordt begonnen met het bewaren, gebruiken en delen van persoonsgegevens. Als uit een DPIA naar voren komt dat de geplande gegevensverwerking een hoog risico oplevert en het de organisatie niet lukt om dat risico te beperken, dan moet met de Autoriteit Persoonsgegevens (AP) worden overlegd voordat met de verwerking wordt gestart.

Wanneer is een DPIA verplicht?

Een DPIA is volgens GDPR/AVG verplicht als uw organisatie persoonsgegevens verwerkt die, als ze in verkeerde handen vallen of op een andere manier ‘lekken’, grote risico’s kunnen betekenen voor de eigenaar van de betreffende informatie. Denk daarbij bijvoorbeeld aan:

• Het systematisch en uitgebreid evalueren van persoonlijke aspecten, gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop baseren van besluiten die gevolgen hebben voor mensen;
• Het op grote schaal verwerken van bijzondere persoonsgegevens of strafrechtelijke gegevens;
• Het op grote schaal systematisch volgen van mensen in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Dit zijn drie van de in totaal negen criteria voor de verplichte uitvoering van een DPIA die zijn opgesteld door de Europese toezichthouders op het gebied van privacy. In de regel geldt dat u een DPIA moet uitvoeren als uw verwerking aan twee of meer van deze criteria voldoet. Een compleet overzicht van de DPIA-criteria vindt u op de website van de Autoriteit Persoonsgegevens.

Wat gebeurt er tijdens een DPIA?

Er zijn verschillende methodes om een DPIA uit te voeren en Kiwa kan u daarbij helpen. Zo kan de gegevensverwerking die u gaat uitvoeren systematisch worden beschreven of kunnen de privacyrisico’s die hierbij kunnen ontstaan in kaart worden gebracht en worden voorzien van maatregelen om deze te voorkomen. Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen. Ook maakt een goede DPIA duidelijk welke maatregelen genomen moeten worden om die risico’s af te dekken. Het is aan de organisatie zélf om die maatregelen ook daadwerkelijk te treffen.

Verschil DPIA en PIA

In de AVG en GDPR wordt gesproken over een Data Protection Impact Assessment (DPIA), terwijl ook de term PIA gebruikt wordt, wat staat voor Privacy Impact Assessment (of Analyse). Inhoudelijk is er echter geen verschil tussen DPIA en PIA en de termen worden dan ook door elkaar gebruikt.

Meer informatie

Wilt u meer weten over Kiwa’s services op het gebied van Data Protection Impact Assessments? Vul dan het contactformulier in en wij nemen zo snel mogelijk contact met u op. Meer informatie over informatiebeveiliging vindt u op onze themapagina Cybersecurity.