Waarom wij?

Wij helpen u graag met het uitvoeren van een Data Protection Impact Assessment

Middels een DPIA kan het ‘volwassenheidsniveau’ van een bedrijf of instelling gemeten worden op het gebied van gegevensbescherming en het borgen van privacy, en ingeschat worden in welke beheers- en beveiligingsmaatregelen getroffen moeten worden om te komen tot een voor organisatie passend niveau van gegevensbescherming.

Data Protection Impact Assessment (DPIA)

Wat is het? En Waarom?

Een Data Protection Impact Assessment (DPIA) is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie het bedrijf of instelling gegevens verwerkt. Dit moet de verwerkingsverantwoordelijke of verwerker zelf bepalen.

Wanneer bepaald is dat een DPIA uitgevoerd moet worden, mag  niet begonnen worden met het verwerken van (persoons)gegevens alvorens de DPIA is gedaan.

Een DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen, en in de maatregelen die de verantwoordelijke moet nemen om de risico’s af te dekken. Het is aan de verantwoordelijke zelf om die maatregelen ook daadwerkelijk te treffen (of eventueel een voorafgaande raadpleging aan de AP aan te vragen).

Als er een functionaris voor gegevensbescherming (FG) is, dan moet de verantwoordelijke het advies van de FG inwinnen. Dit geeft extra zekerheid dat de belangen van de betrokkenen in voldoende mate in de DPIA zijn meegenomen. De FG ziet er op toe dat de DPIA voldoende zicht geeft op de risico’s en er voldoende maatregelen worden getroffen om deze af te dekken.

De Algemene verordening gegevensbescherming (AVG) geeft aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

  • Systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
  • Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De Autoriteit Persoonsgegevens (AP) heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint.

Een DPIA geeft inzicht in de risico's die de verweking oplevert voor de betrokkenen.

Hoe?

De IT auditors werken met eigen normenkaders én het normenkader van de NOREA. Deze kaders worden gehouden tegen de  systematische beschrijving van de gegevensverwerking die u gaat doen, waarna een beoordeling van de privacyrisico’s plaatsvindt en advies welke maatregelen om de risico’s kunnen mitigeren.

Periodieke DPIA

Een DPIA uitvoeren is geen eenmalige handeling, maar een continu proces. U moet altijd blijven monitoren of uw verwerking verandert en de impact hiervan op de risico’s voor persoonsgegevens. Voorbeelden zijn  een nieuwe technologie ff  het gebruiken van  persoonsgegevens voor een ander doel. In deze situaties verandert uw gegevensverwerking feitelijk in een nieuwe gegevensverwerking. In het algemeen moet een DPIA een keer per 3 jaar worden uitgevoerd maar wezenlijke wijzigingen in een proces (zoals de voorbeelden) nopen een organisatie om het herzien van de DPIA naar voren te halen.

Klanten

Mijn naam is Jetse Biesheuvel en ik help u graag.

Fulfilment Accountability

Kom vrijblijvend in contact voor een afspraak, vrijblijvende offerte of factsheet.