Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

DPIA Life Cycle Management

Wat is een DPIA Life Cycle?

Een Data Protection Impact Assessment (DPIA) is geen éénmalige risicoanalyse maar wordt gedurende de life cycle van de verwerking van persoonsgegevens bijgehouden. De wetgever en de nadere uitleg van de wetgeving duiden op een life cycle van de verwerking.

Risico’s worden afgewogen tussen doelen/beleid, afhankelijkheden en kwetsbaarheden aan de ene kant en passende en effectieve beheersingsmaatregelen gericht op het beschermen van de persoonsgegevens aan de andere kant.

De kwaliteit van de professional die de DPIA uitvoert kan worden afgelezen aan de hand van de opdrachtbeschrijving. Hierin is duidelijk wat het doel van de DPIA is, wie de stakeholders zijn, wat de aanpak is en wat de opdrachtgever verwacht van de rapportage. De DPIA maakt onderdeel uit van de DPIA life cycle. Dit wil zeggen dat de rapportage aanleiding geeft de volgende DPIA te plannen. In het jaarplan blijkt de jaarlijkse weerslag van de DPIA Life cycle.

Wanneer een DPIA?

Op basis van de verwachtingen van de Autoriteit Persoonsgegevens (AP) voorzien wij DPIA’s op:

  • Nieuwe diensten/services/systemen die een hoog risico opleveren voor betrokkenen.Voordat deze systemen in gebruik genomen mogen worden zijn er DPIA’s uitgevoerd en rekening gehouden met de uitkomsten van deze onderzoeken;
  • Wijzigingen in bestaande diensten/services/systemen; en
  • Operationele diensten/services/systemen. Het gaat om een periodieke 3-jaarlijkse herijking van een eerder uitgevoerde DPIA.

Wat is de focus de komende jaren?

Bij het bepalen van uit te voeren DPIA’s wordt rekening gehouden met de focus die de AP voor de jaren 2020-2023 legt op: datahandel, digitale overheid en artificiële intelligentie en algoritmes. Indien uw organisatie activiteiten verricht op een van deze gebieden is het goed om hiervoor een DPIA te plannen.

Organisaties die de Avg serieus nemen hebben een privacybeleid. Hierin staan in het algemeen de uitgangspunten en de werkwijze voor het uitvoeren van DPIA’s beschreven. Het kan zijn dat op basis van de bevindingen van de uitgevoerde DPIA’s een update van het privacybeleid is gewenst. Hier herkent u dus ook weer de plan-do-check-act cycle.

Meer informatie

Interesse? Neem contact met ons op of bekijk deze pagina over het uitvoeren van een DPIA.