Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

DPIA en onderzoeken

Wat is een DPIA?

Data Protection Impact Assessment (DPIA), in het Nederlands gegevensbeschermingseffectbeoordeling, is een instrument om van voorgenomen regelgeving of projecten waarbij persoonsgegevens worden verwerkt, de effecten voor betrokkenen op een gestructureerde en gestandaardiseerde wijze in kaart te brengen en te beoordelen. Op basis hiervan worden maatregelen getroffen om deze effecten voor betrokkenen te voorkomen of verkleinen.

Verplichting

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie het bedrijf of instelling gegevens verwerkt. Deze open norm moet het bedrijf of de instelling zelf invullen. Wanneer bepaald is dat een DPIA uitgevoerd moet worden, mag niet begonnen worden met het verwerken van (persoons)gegevens alvorens de DPIA is afgerond.

Een DPIA geeft inzicht in de risico’s die het verwerken van persoonsgegevens oplevert voor de betrokkenen, zoals klanten, cliënten, patiënten, etc. Het geeft inzicht in de te treffen beheersmaatregelen die het bedrijf of de instelling zal moeten nemen om de risico’s af te dekken. Het is aan de organisatie zelf om beheers- en beveiligingsmaatregelen ook daadwerkelijk te treffen (of eventueel de Autoriteit Persoonsgegevens vooraf te raadplegen). 

Periodieke DPIA

Het uitvoeren van een DPIA is niet eenmalige, maar een continu proces. Het is de bedoeling dat verwerkingen van persoonsgegevens gemonitord worden en als daarvoor aanleiding is opnieuw worden onderzocht. Bijvoorbeeld als er nieuwe technologie beschikbaar komt of verwerkingen een ander doel krijgt. Het is verstandig risicovolle verwerkingen één keer per 3 jaar te onderwerpen aan een DPIA.

FG en de DPIA

De functionaris voor Gegevensbescherming (FG) vervult een centrale rol bij het beschermen van persoonsgegevens. De leiding van de organisatie vraagt advies aan de FG. Omdat de FG de belangen van ook de betrokkenen behartigt, mag ervan worden uitgegaan dat in voldoende mate diens belangen in de DPIA worden meegenomen. De FG ziet erop toe dat de DPIA voldoende zicht geeft op de bedreigingen en afhankelijkheden van gegevensbescherming en er voldoende beheers- en beveiligingsmaatregelen zijn/ worden getroffen om deze af te dekken.

Andere soorten (privacy) onderzoeken

Met het uitvoeren van de privacy nulmeting wordt het besef (bewustwording en bewustzijn) van gegevens- en privacybescherming binnen de organisatie verhoogd en inventarisaties uitgevoerd die gericht zijn op het zo volledig mogelijk documenteren van de verwerkingen die onder verantwoordelijkheid van de organisatie worden uitgevoerd.

Bij de uitvoering van de privacy nulmeting hanteren wij een algemeen geaccepteerd privacy en security normenkader dat gebaseerd is op relevante nationale en Europese wet- en regelgeving. Wij hanteren een 4-stappenaanpak voor het uitvoeren van de privacy nulmeting. De stappen sluiten aan op de handreiking die is opgesteld door NOREA.

Ervaringen

Duthler Associates is al meer dan 20 jaar gespecialiseerd in het uitvoeren van DPIA’s bij uiteenlopende type bedrijven en instellingen.  Het is niet verwonderlijk dat de registeraccountants en IT Auditors van Duthler Associates co-auteurs zijn van de NOREA DPIA. Dat geldt ook voor het auditmodel PCF NOREA. DPIA’s beschouwen wij als een speciale vorm van onderzoek naar de kwaliteit van gegevensverwerking en informatievoorziening.

Meer informatie

Wilt u meer weten of DPIA’s laten uitvoeren? Neem dan contact met ons op en wij maken graag een afspraak met u.