Wat is een DPIA?
Met een Data Protection Impact Assessment (DPIA) kan een bedrijf of instelling vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen om daarna maatregelen te kunnen nemen om de risico’s voor betrokkenen te verkleinen. Als een Functionaris voor Gegevensbescherming (FG) is aangewezen, moet de verwerkingsverantwoordelijke ook diens advies inwinnen (artikel 35, lid 2), en dat advies moet samen met de beslissingen van de verwerkingsverantwoordelijke in de DPIA worden gedocumenteerd. De FG dient ook toe te zien op de uitvoering van de DPIA (artikel 39, lid 1, onder c)).
In overeenstemming met artikel 35, lid 1, is het de taak van de verwerkingsverantwoordelijke, niet van de FG, om waar nodig een DPIA uit te voeren. De FG kan echter wel een erg belangrijke en nuttige rol spelen door de verwerkingsverantwoordelijke te ondersteunen.
Artikel 29-werkgroep
De Europese privacy toezichthouders, verenigd in de zogeheten Artikel 29-werkgroep raden de verwerkingsverantwoordelijke aan advies te vragen aan de FG over onder andere de volgende aangelegenheden:
- of er al dan niet een DPIA moet worden uitgevoerd;
- welke methodologie bij een DPIA moet worden gevolgd;
- of de DPIA intern uitgevoerd of uitbesteed moet worden;
- welke waarborgen (waaronder technische en organisatorische maatregelen) moeten worden toegepast om eventuele risico’s voor de rechten en belangen van de betrokkenen te beperken;
- of de DPIA al dan niet correct is uitgevoerd en of de conclusies (de verwerking al dan niet uitvoeren en welke waarborgen toepassen) al dan niet in overeenstemming zijn met de algemene verordening gegevensbescherming.
Als de verwerkingsverantwoordelijke niet met het door de FG verleende advies instemt, moet in de documentatie over de DPIA specifiek en schriftelijk worden gemotiveerd waarom geen rekening is gehouden met het advies.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
