DPIA (data protection impact assessment) uitvoeren

Gebruikt, verzamelt of deelt u persoonsgegevens van uw klanten? En is hierbij de kans op een hoog privacyrisico? Dan moet u volgens de Algemene Verordening Gegevensbescherming (AVG) eerst een 'data protection impact assessment' (DPIA) uitvoeren.

Wat is een DPIA?

Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan als u persoonsgegevens gebruikt. Een data protection impact assessment laat ook zien waar u maatregelen moet nemen om de risico’s kleiner te maken of te voorkomen. U doet een DPIA voordat u begint met het bewaren, gebruiken en delen van persoonsgegevens.

Is de uitkomst van de DPIA dat er een hoog risico is? En lukt het u niet om dat risico te verkleinen of te voorkomen? Dan moet u eerst overleggen met de toezichthouder op de privacywet in Nederland, de Autoriteit Persoonsgegevens (AP). Dit heet voorafgaande raadpleging.

Wanneer is een DPIA verplicht?

Een DPIA is alleen verplicht als u persoonsgegevens verwerkt waarbij een grote kans bestaat op een hoog privacyrisico voor de mensen van wie die persoonsgegevens zijn. U moet zelf bepalen of dit zo is. Om u te helpen heeft de Autoriteit Persoonsgegevens een lijst met situaties waarin een DPIA verplicht is. Bijvoorbeeld:

• U beoordeelt systematisch en uitgebreid persoonlijke kenmerken van mensen, zoals bij 'profiling'. Denk aan online gedrag, voorkeuren en demografische gegevens.
• U verwerkt op grote schaal bijzondere persoonsgegevens.
• Uw verwerking van persoonsgegevens voldoet aan 2 of meer van de criteria van de Europese privacytoezichthouders.

Eisen voor een DPIA

U mag zelf bepalen hoe u een data protection impact assessment uitvoert, maar de DPIA moet in ieder geval aan de eisen van de Autoriteit Persoonsgegevens voldoen. Zo geeft u aan welke gegevens u gaat gebruiken, de noodzaak en het doel. En u maakt een inschatting van de privacyrisico’s en hoe u die tegengaat.

Opnieuw een DPIA uitvoeren

Soms moet u opnieuw een DPIA uitvoeren. Bijvoorbeeld als u de persoonsgegevens voor een ander doel gaat gebruiken of als u een nieuwe technologie gaat gebruiken.

Functionaris voor de gegevensbescherming (FG)

In sommige situaties moet u een functionaris voor de gegevensbescherming (FG) hebben. De functionaris voor de gegevensbescherming houdt in de gaten dat uw organisatie zich houdt aan de AVG. U moet de FG aanmelden bij de Autoriteit Persoonsgegevens. Overheidsinstanties en publieke organisaties moeten altijd een FG hebben. Dit geldt niet voor rechtbanken.