Neem contact op

Data Protection Impact Assessment (DPIA)

Een gegevensbeschermingseffectbeoordeling voor het verwerken van persoonsgegevens

Gaat jouw organisatie een nieuwe verwerking van persoonsgegevens starten? Misschien een nieuw CRM-systeem, een zaaksysteem of een Elektronisch Patiënten Dossier waarin veel (bijzondere) persoonsgegevens worden verwerkt? Ga je grootschalig en/of systematisch cameratoezicht inzetten om diefstal tegen te gaan? Of wijzigt een bestaand proces waardoor er iets verandert in de gegevensverwerking?

Dan ben je mogelijk verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. In Nederland ook bekend onder de term gegevensbeschermingseffectbeoordeling (GEB).

Uitleg over de DPIA
Een DPIA? Wat is dat precies?

Een DPIA is een risicoanalyse op de effecten van een nieuwe of aangepaste verwerking van persoonsgegevens op de mensen wiens gegevens je gaat verwerken. De DPIA voer je uit voordat je van start gaat met je nieuwe verwerking, of wanneer er iets gaat veranderen aan een proces. Daarnaast is het van belang dat je de DPIA periodiek reviewt en indien nodig aanpast.

Het doel? Risico’s ten aanzien van rechten en vrijheden van mensen wiens gegevens jij gaat verwerken in een vroeg stadium in kaart brengen en maatregelen inzichtelijk maken waarmee deze risico’s beperkt kunnen worden.

overleg
Wanneer is een DPIA verplicht?

Een DPIA is verplicht wanneer de beoogde verwerking hoge risico’s oplevert voor de rechten en vrijheden van de mensen wiens persoonsgegevens worden verwerkt. Dit schrijft artikel 35 uit de Algemene verordening gegevensbescherming (AVG) voor. Voorbeelden van verwerkingen met hoge risico’s zijn automatische besluitvorming, het op grote schaal verwerken van bijzondere persoonsgegevens, cameratoezicht en monitoring van medewerkers.

Daarnaast heeft Artikel 29-Werkgroep, een adviesorgaan dat adviseerde aan de Europese Commissie en de voorloper is van de EDPB, een lijst met negen criteria opgesteld aan de hand waarvan kan worden beoordeeld of er sprake is van een hoog privacy risico. Ook op nationaal niveau is er een lijst opgesteld door de Autoriteit Persoonsgegevens (AP) van zeventien verwerkingen waarvoor de uitvoering van een DPIA verplicht is. In ons Cuccibook over de DPIA lees je meer over deze criteria.

Hoe kunnen wij helpen?

Onze ervaren Privacy & Legal consultants helpen graag met het uitvoeren van een Data Protection Impact Assessment (DPIA). Daarnaast kunnen we jouw organisatie ook begeleiden in het zelf uitvoeren van de DPIA’s. We spitsen onze eigen effectieve aanpak dan toe op jouw organisatie. Daarnaast kunnen we ook een (incompany) training Data Protection Impact Assessment verzorgen. Plan vrijblijvend een adviesgesprek en we vertellen je graag meer!

Contact

Meest gestelde vragen

We zetten de meest gestelde vragen over DPIA’s voor je op een rijtje.

Ja, zeker! Ook als het uitvoeren van een DPIA geen wettelijke verplichting is voor jouw organisatie kan het raadzaam zijn om tóch een DPIA uit te voeren. Een goed uitgevoerde DPIA zorgt er namelijk voor dat je inzichten verkrijgt in de mogelijke risico’s voor de betrokkenen die bij de verwerking van persoonsgegevens betrokken zijn. Bovendien biedt de DPIA praktische maatregelen en handvatten voor jouw organisatie om rekening mee te houden bij de verwerking van persoonsgegevens.

De verplichting voor het uitvoeren van een DPIA is opgenomen in de:

  • Algemene erordening gegevensbescherming (AVG);
  • Wet politiegegevens (Wpg);
  • Wet justitiële en strafvorderlijke gegevens (Wjsg).

Let op, in deze wetten wordt de DPIA een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

De verwerkingsverantwoordelijke zorgt voor de uitvoering van de DPIA. Hij of zij kan de uitvoering zelf doen of laten uitvoeren door een externe partij. In de praktijk wordt de DPIA meestal uitgevoerd door de proceseigenaren met de steun van de Privacy Officer (PO) in de organisatie.

De Functionaris Gegevensbescherming (FG) mag in ieder geval niet een DPIA uitvoeren. De Functionaris Gegevensbescherming heeft namelijk een toezichthoudende en adviserende rol binnen de organisatie. Hij of zij schrijft wel een advies op het DPIA-rapport.

Daarnaast is het ook mogelijk dat je als verwerker, bijvoorbeeld als leverancier, voor je klanten een referentie DPIA opstelt. Hierbij dient de verwerkingsverantwoordelijke wel altijd nog te kijken hoe de betreffende verwerking plaatsvindt in haar eigen organisatie.

Hoe jouw organisatie een DPIA moet uitvoeren is niet bij wet voorgeschreven. Ons advies is om binnen de organisatie een procedure op te (laten) stellen voor de uitvoering van een DPIA. Laat daarin in ieder geval de volgende elementen terugkomen:

  • Voorwaarden (en beleid eigen organisatie) uitvoering DPIA’s;
  • De specifieke verwerkingen binnen de organisatie waar in ieder geval een DPIA voor moet worden uitgevoerd;
  • Moment uitvoering van de DPIA;
  • Verantwoordelijke functionaris voor de uitvoering van de DPIA;
  • Aanpak, tijdslijn en verdeling verantwoordelijkheden;
  • Advisering op uitvoering en uitkomsten DPIA;
  • Besluitvorming omtrent de uitkomsten van de DPIA;
  • Evaluatie van de procedure;
  • Herhaling van DPIA’s;
  • Rapportagelijnen;
  • Rapportagekeuze;
  • Bijlagen met vragenlijsten als men ervoor kiest om met een standaardvragenlijst te werken;
  • Nog meer relevante procedurele zaken afhankelijk van de organisatie.

Er zijn diverse templates voor zowel DPIA-vragen als DPIA-rapportages. Zo heeft NOREA vragenlijsten gepubliceerd die binnen veel gemeenten als basis worden gebruikt. De Rijksoverheid heeft ook een Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA) gepubliceerd waar de meeste organisaties gebruik van maken om de DPIA-uitkomsten te rapporteren. De verwerkingsverantwoordelijke is vrij in de keuze van de uitvoering en rapportage van de DPIA, zolang er maar aan de basisvereisten voor een DPIA uit artikel 35 lid 7 AVG wordt voldaan. Cuccibu hanteert tevens een eigen methodiek en rapportage template bij het uitvoeren van haar DPIA’s.

Zet jouw organisatie cameratoezicht in om de eigendommen, het personeel of gebouwen te beveiligen? Dan moet je voldoen aan de eisen uit de AVG. Het betreft namelijk camerabeelden waarbij persoonsgegevens worden verwerkt. In principe is het uitvoeren van een DPIA verplicht wanneer het een groot privacy risico vormt voor de personen die op beeld worden vastgelegd.
In twee gevallen is een DPIA in ieder geval verplicht:

  • Bij grootschalig en/of systematisch cameratoezicht om diefstal tegen te gaan of mensen te beschermen.
  • Als jouw organisatie een verborgen camera (heimelijk cameratoezicht) wil inzetten. Dit geldt ook als het heimelijk cameratoezicht incidenteel is.

Relevante downloads

Meer weten over de eisen en uitvoering van een DPIA? Download dan hieronder ons CucciBook DPIA.