Skip to content
Home » Services » Protecting personal data » Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA)

[vc_row][vc_column][vc_empty_space][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

Have a DPIA performed?

In de Nederlandse tekst van de Europese Algemene verordening gegevensbescherming (AVG) spreken wij in artikel 35 en 36 AVG over gegevensbeschermingseffectbeoordeling. Deze beoordeling geven velen aan met Data Protection Impact Assessment, de Engelse aanduiding of alleen met de afkorting DPIA.

De uitkomsten van een DPIA leggen de beschermingsrisico’s van persoonsgegevens bloot. Het komt voor dat beschermingsmaatregelen bij het verwerken van persoonsgegevens niet passend en of niet effectief zijn. Bedrijven gebruiken het compliance “instrument” DPIA voor het beoordelen van bestaande en nieuw op te zetten verwerkingen van persoonsgegevens.

De bedrijfsleiding kan ook een DPIA laten uitvoeren op de beleidsvorming en het realiseren van de beleidsdoelen. De toezichthouder verwacht dat de bedrijfsleiding DPIA’s uitvoert op bepaalde verwerkingen van persoonsgegevens en dat periodiek (minimaal 1x per 3 jaar) de uitgevoerde DPIA’s worden geactualiseerd.

Wat is de motivatie?

De Europese wetgever vraagt om het uitvoeren van DPIA’s voor specifieke verwerkingen van persoonsgegevens. De Europese toezichthouders hebben in richtlijnen (guidelines) hun verwachtingen uitgewerkt voor welke verwerkingen DPIA’s nodig zijn en hoe een dergelijk beoordelingsonderzoek opgebouwd moet zijn. De Nederlandse toezichthouder, Autoriteit Persoonsgegevens (AP) schrijft uitgebreid hierover op haar website. In de Staatscourant publiceert de AP een lijst met verwerkingen waarvoor een DPIA verplicht is.

Het uitvoeren van DPIA’s kan ook bedrijfsmatig gemotiveerd zijn. Kennis hebben van de risico’s van het niet effectief beschermen van (persoons)gegevens leidt tot aansprakelijkheids- en kostenrisico’s die zich uiteindelijk voorgaan doen. De scope en reikwijdte van een DPIA onderzoeksaanpak kan de leiding verruimen naar bedrijfsgegevens, in het bijzonder bedrijfsgeheimen. Wij leggen bij het organiseren van de bedrijfscompliance functie een relatie tussen compliance-aanpak en de DPIA- onderzoeksaanpak. Hierdoor ligt de toegevoegde waarde voor het periodiek organiseren van DPIA’s ook in het verlengde van het organiseren van de compliance functie.

Kort en goed leiden de uitkomsten van DPIA’s tot:

  • Effectievere organisatie van bedrijfsactiviteiten; en
  • Beperken van aansprakelijkheids- en kostenrisico’s.

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_row_inner el_class=”third_bg_color”][vc_column_inner el_class=”third_bg_color” css=”.vc_custom_1574398098802{padding-top: 40px !important;padding-right: 40px !important;padding-bottom: 40px !important;padding-left: 40px !important;}”][vc_custom_heading stripe_pos=”hide” text=”Hoe kunnen wij u helpen?” font_container=”tag:h4|text_align:left|color:%23ffffff” use_theme_fonts=”yes” el_class=”remove_padding”][vc_column_text css=”.vc_custom_1659430329524{margin-bottom: 20px !important;}”]Heeft u vragen over het organiseren, implementeren of uitbouwen van een Data Protection Impact Assessment? Onze service-eigenaren bespreken graag uw behoefte, casus en/of probleem.[/vc_column_text][vc_btn title=”Neem contact met ons op” style=”flat” color=”white” i_icon_fontawesome=”stm-lnr-phone” add_icon=”true” link=”url:%2Fcontact|title:Neem%20contact%20op|target:_blank”][/vc_column_inner][/vc_row_inner][vc_empty_space][vc_row_inner el_class=”third_bg_color”][vc_column_inner el_class=”third_bg_color” css=”.vc_custom_1574398098802{padding-top: 40px !important;padding-right: 40px !important;padding-bottom: 40px !important;padding-left: 40px !important;}”][vc_custom_heading stripe_pos=”hide” text=”Factsheet Data Protection Impact Assessment (DPIA)” font_container=”tag:h4|text_align:left|color:%23ffffff” use_theme_fonts=”yes” el_class=”remove_padding”][vc_column_text css=”.vc_custom_1659432021149{margin-bottom: 20px !important;}”]Download hier de factsheet over de Data Protection Impact Assessment (DPIA).[/vc_column_text][vc_btn title=”Download de factsheet (pdf)” style=”flat” color=”white” i_icon_fontawesome=”fas fa-file-download” add_icon=”true” link=”url:https%3A%2F%2Fduthler.nl%2Fwp-content%2Fuploads%2F2021%2F07%2F220505-Factsheet-Data-Protection-Impact-Assessment-DPIA.pdf|target:_blank”][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column width=”1/2″][vc_column_text]

What is our approach?

Verschillende toezichthouders, zoals de AP, verenigingen van beroepsbeoefenaren zoals de NOREA (zie: DPIA handreiking waaraan wij hebben meegewerkt), en opleidingsinstituten, zoals de Duthler Academy (DPIA theoretisch en praktisch kader) geven handreikingen en trainingen voor het uitvoeren van DPIA’s.

Op hoofdlijnen kunnen wij een DPIA als volgt inrichten:

  • Stap 1: De intake, de analyse van het object van onderzoek en het identificeren van risico’s: De bedrijfsleiding initieert periodiek, in overleg met de functionaris voor gegevensbescherming en het management, de doelen van de DPIA-onderzoeken gericht op het beoordelen van met name het effectief beschermen van persoonsgegevens. Het object van onderzoek heeft veelal betrekking op de beheers- en beveiligingsmaatregelen die in bedrijfsprocessen of verwerkingen van persoonsgegevens zijn of moeten worden opgenomen. De verwerkingen maken veelal onderdeel uit van een complex van bedrijfsprocessen. Het verkennen van de inherente, interne controle en onderzoek risico’s van de verwerking plaatst het onderzoek in een duidelijk bedrijfsperspectief.

[/vc_column_text][/vc_column][vc_column width=”1/2″][vc_column_text]

  • Stap 2: Consulteren van de sleutelmedewerkers: de procesbeschrijvingen, de weerslag van het bewijs van effectieve werking van de beheersmaatregelen en het overzicht van de incidenten en de datalekken geven een basis voor het onderzoek. Dit in samenhang met de uitkomsten van de consultatie van de sleutelmedewerkers ontstaat een beeld van de volwassenheid van het effectief beschermen van persoonsgegevens.
  • Stap 3: Toetsen aan baselines: De bedrijfsleiding kan een set van standaarden en baselines – als onderdeel van haar beleid – omarmen voor het organiseren van de bedrijfsactiviteiten. Veelal zijn in de baselines eisen uit relevante wetgeving opgenomen. Op deze wijze heeft MYOBI bijvoorbeeld in de TTP-policy, in het bijzonder de TTP Gedragscode AVG relevante wetgeving op het vlak van het beschermen van persoonsgegevens opgenomen.
  • Stap 4: Documenteren van bevindingen en rapporteren: Tijdens een DPIA-onderzoek leggen de onderzoekers hun bevindingen systematisch vast. Zorgvuldig onderzoek kenmerkt zich door verslagen van gesprekken met medewerkers af te stemmen en onderzoekstappen reproduceerbaar te maken. Het gaat er om de betrokken medewerkers inzichten te geven waarom en hoe bedrijfsactiviteiten beter georganiseerd kunnen worden. Het proces van het uitvoeren van een DPIA is veelal belangrijker dan de uitkomsten. Het doel van de DPIA bepaalt de vorm van de rapportage. Veelal volstaat een toegankelijk verslag van bevindingen en aanbevelingen.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading icon_size=”15″ text=”Meer over DPIA’s” font_container=”tag:h2|font_size:25|text_align:left” use_theme_fonts=”yes” subtitle=”Lees hieronder de blogs en artikelen over ‘Data Protection Impact Assessments (DPIA’s)’.”][stm_news loop=”size:4|post_type:post|by_id:2023,7834,6832,6817″ posts_per_row=”4″][/vc_column][/vc_row][vc_row][vc_column][vc_empty_space][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading icon_size=”15″ text=”Heeft u vragen of behoefte aan een afspraak?” font_container=”tag:h2|font_size:25|text_align:left” use_theme_fonts=”yes”][vc_column_text]

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.

[/vc_column_text][vc_row_inner][vc_column_inner][stm_staff_list category=”data-protection-impact-assessment” style=”grid” grid_view=”minimal” per_row=”2″ count=”2″][/vc_column_inner][/vc_row_inner][vc_row_inner][vc_column_inner width=”1/2″][vc_btn title=”Neem contact met ons op” color=”theme_style_5″ size=”sm” align=”center” button_block=”true” link=”url:https%3A%2F%2Fduthler.nl%2Fcontact%2F|title:Contact|target:_blank”][/vc_column_inner][vc_column_inner width=”1/2″][vc_btn title=”Bel mij terug!” color=”theme_style_5″ size=”sm” align=”center” i_icon_fontawesome=”stm-lnr-phone” button_block=”true” add_icon=”true” link=”url:https%3A%2F%2Fduthler.nl%2Fterugbellen%2F|title:Contact|target:_blank”][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row]