Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Waarom moet u een DPIA uitvoeren?

Wat is een DPIA?

Onder de Europese Algemene verordening gegevensbescherming (Avg), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Door het uitvoeren van een DPIA kunt u vooraf de privacy risico’s van een gegevensverwerking in kaart brengen en maatregelen nemen om de risico’s te verkleinen. De Avg heeft gevolgen voor de verwerking van persoonsgegevens door organisaties. Er mag niet gestart worden met het verwerken van persoonsgegevens alvorens een onderzoek naar de risico’s voor de betrokkenen heeft plaatsgevonden.

De kwaliteit van de DPIA is bepalend voor de latere beheersing van de risico’s die gepaard gaan met de verwerking. De verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoering van de DPIA en loopt risico’s als later blijkt dat niet of niet effectieve beheersmaatregelen zijn getroffen. Dit kan leiden tot datalekken met boetes van de Autoriteit Persoonsgegevens (AP) of claims van betrokkenen.

Wanneer is een DPIA verplicht?

Wanneer bent u verplicht om een DPIA uit te voeren? Volgens art 35 Avg is voor een verwerking een DPIA verplicht indien de verwerking waarschijnlijk tot een hoog risico leidt voor de rechten en vrijheden van natuurlijke personen. In een besluit van de Autoriteit Persoonsgegevens zijn 17 gevallen genoemd waarvoor een DPIA verplicht is indien de organisatie zich bezig houdt met:  heimelijk onderzoek, zwarte lijsten, fraudebestrijding, creditscores, financiële situatie, genetische persoonsgegevens, gezondheidsgegevens, samenwerkingsverbanden, cameratoezicht, flexibel cameratoezicht, controle werknemers, locatiegegevens, communicatiegegevens, internet of things, profilering, observatie en beïnvloeding van gedrag en biometrische gegevens.

De wetgever en ook de Nederlandse good governance code biedt de leiding wel een risicogerichte benadering ‘voer de DPIA uit of verklaar waarom een DPIA niet is uitgevoerd’.