Neem contact op
Neem contact op

 
Home · Privacy · DPIA
 

Inzicht in de privacy risico's bij gegevensverwerking

DPIA uitvoeren: inzicht in privacyrisico’s

Ga je werken met een nieuw CRM-systeem? Introduceer je binnenkort een Elektronisch Patiëntendossier met veel bijzondere persoonsgegevens? Of verandert een bestaand proces waardoor de verwerking van persoonsgegevens wijzigt? Dan moet je mogelijk een Data Protection Impact Assessment (DPIA) uitvoeren. Ook wel bekend als gegevensbeschermingseffectbeoordeling (GEB).

Een DPIA is een risicoanalyse die inzicht geeft in de privacyrisico’s van een (nieuwe of gewijzigde) verwerking. Maar waar begin je? En nog belangrijker: hoe zorg je ervoor dat een DPIA méér oplevert dan een rapport dat in de la verdwijnt? Bij Cuccibu ondersteunen we organisaties met het uitvoeren van DPIA’s op een manier die wél werkt: praktisch, van toegevoegde waarde en toekomstbestendig.

Snel naar de juiste informatie:

↓ Wat is een DPIA en wie voert het uit?
↓ Wanneer is een DPIA verplicht?
↓ DPIA laten uitvoeren door Cuccibu
↓ Veel gestelde vragen over DPIA’s

DPIA laten uitvoeren Download DPIA Checklist

DPIA laten uitvoeren

Met trots werken wij onder andere voor

Klantlogo TU Eindhoven
klantlogo gemeente Breda
Logo klantcase custompixels
Klantlogo Wageningen University
klantlogo Hogeschool Utrecht
Klantcase Medux
klantlogo Hertek
YoungCapital
Frontline - informatiebeveiliging
klantlogo Reinier de Graaf
klant
Klantlogo Gemeente Nijmegen
Klantlogo iai industrial systems
Klantcase Riedel EED
klantlogo de Volksbank
Klantlogo gemeente helmond
Klantlogo HAS Hogeschool
Klantcase coolprofs
Klantcase MAAS
Klantcase vereniging coin
Logo klantcase Cuccibu x Pleyade
klantlogo Mercedes
klantcase GPTW
Klantcase Driessen
Klantlogo Erasmus universiteit Rotterdam
klantlogo de Hypotheker
Klantcase Actor
klantlogo GGD GHOR Nederland
klantlogo BAM
klantlogo PeakData
klantlogo e-on

Wat is een DPIA?

Een Data Protection Impact Assessment (DPIA) is een risicoanalyse die je in principe uitvoert vóór de start van een nieuwe of gewijzigde verwerking van persoonsgegevens. De focus ligt op het identificeren van privacyrisico’s voor betrokkenen en het treffen van maatregelen om die risico’s te beperken of voorkomen. Je onderzoekt onder andere of de verwerking noodzakelijk is en of de rechten van betrokkenen goed geborgd zijn.

In de praktijk wordt een DPIA ook vaak ingezet voor lopende verwerkingen. Het kan heel waardevol zijn om bestaande of oudere processen opnieuw te beoordelen, zodat je tijdig nieuwe risico’s signaleert en verbetermaatregelen kunt treffen.

Het DPIA-rapport vormt de basis voor de beslissing of een verwerking mag plaatsvinden. Afhankelijk van de uitkomsten wordt de verwerking goedgekeurd, aangepast of – bij niet te beperken risico’s – eerst voorgelegd aan de Autoriteit Persoonsgegevens (AP).

En wie voert het uit?

De verantwoordelijkheid voor het uitvoeren van een DPIA ligt bij de verwerkingsverantwoordelijke: de organisatie of persoon die het doel en de middelen van de gegevensverwerking bepaalt. Diegene kan ervoor kiezen de DPIA zelf uit te voeren of uit te besteden aan een externe partij. In de praktijk wordt een DPIA vaak uitgevoerd door de proceseigenaar, met ondersteuning van de interne of externe Privacy Officer (PO).

Let op! De Functionaris Gegevensbescherming (FG) mag de DPIA niet uitvoeren, omdat hij/zij een onafhankelijke toezichthoudende en adviserende rol heeft. De FG geeft wel advies over de inhoud en conclusies uit het DPIA-rapport.

Wanneer is een DPIA verplicht? 

Een DPIA is wettelijk verplicht wanneer de verwerking waarschijnlijk een hoog privacyrisico oplevert voor de rechten en vrijheden van betrokkenen.

Of er sprake is van een hoog risico, moet je als organisatie zelf beoordelen. Artikel 35, lid 3 van de AVG noemt vier situaties waarin een DPIA sowieso verplicht is.

  • Systematische en grootschalige beoordeling van persoonlijke kenmerken via geautomatiseerde verwerking (bijvoorbeeld profiling), waarbij de uitkomsten gevolgen hebben voor betrokkenen.
  • Grootschalige verwerking van bijzondere persoonsgegevens.
  • Verwerking van strafrechtelijke gegevens.
  • Grootschalig en systematisch volgen van personen in een publiek toegankelijk gebied.

Handige hulpmiddelen bij het bepalen van een hoog privacyrisico
Om te bepalen of een verwerking een hoog risico met zich meebrengt, kun je gebruikmaken van twee gezaghebbende hulpmiddelen:

Meer uitleg over deze verwerkingen en criteria vind je ook in ons CucciBook ‘DPIA: eisen & uitvoering’.

DPIA laten uitvoeren door Cuccibu

Een DPIA uitvoeren is geen eenmalige verplichting, maar een strategisch onderdeel van goed privacybeheer. Bij Cuccibu staat niet het rapport centraal, maar het proces ernaartoe én erna. Geen juridische vragenlijst of losse interviews, maar interactieve workshops waarin we samen het proces stap voor stap doornemen. We betrekken de juiste stakeholders op het juiste moment, zodat zij elkaar kunnen aanvullen en gezamenlijk tot nieuwe inzichten komen. Zo ontstaat draagvlak binnen je organisatie en krijg je een DPIA die niet alleen juridisch klopt, maar ook direct toepasbaar is in de praktijk.

Cuccibu ondersteunt uiteenlopende organisaties, van overheden en zorginstellingen tot onderwijs- en profitorganisaties, met elk type DPIA. Of je nu alles wilt uitbesteden of liever zelfstandig aan de slag gaat met onze begeleiding: wij bieden een aanpak die past bij jouw situatie.

  • Losse DPIA: Soms heb je slechts éénmalig een DPIA nodig, bijvoorbeeld bij de invoering van een nieuw systeem of verwerking. In dat geval verzorgen wij een deskundige DPIA met minimale belasting voor jouw organisatie.
  • Pre-DPIA: Twijfel je of een DPIA überhaupt nodig is? Onze Pre-DPIA (quickscan) helpt je snel te bepalen of de wettelijke verplichting geldt en welke vervolgstappen verstandig zijn.
  • Herhaal DPIA: Verandert de context, de verwerking of de aard van de risico’s? Dan is het belangrijk om je DPIA te herzien. Met onze herhaal-DPIA zorgen we voor een actuele beoordeling zonder alles opnieuw te hoeven opstarten.
  • DPIA-as-a-Service: Voor organisaties die DPIA’s structureel willen borgen. Het proces wordt zo ingericht dat de DPIA’s cyclisch, herhaalbaar en efficiënt uitgevoerd kunnen worden.
  • Training DPIA: Wil je DPIA’s zelf uitvoeren? Tijdens onze praktijkgerichte training leer je, aan de hand van een concrete casus, stap voor stap hoe je een volwaardige DPIA opstelt én hoe je deze borgt in jouw organisatie.

Meer dan 10 jaar kennis en ervaring op het gebied van Privacy

Meer dan 100 DPIA’s uitgevoerd voor diverse opdrachtgevers.

Een team van ruim 30 ervaren én CIPP gecertificeerde privacy specialisten.

Meer weten over de mogelijkheden?
Wil je meer weten over onze DPIA diensten? Maak een afspraak met onze professional Dennis Baay. Hij vertelt je graag meer over de mogelijkheden voor jouw organisatie!

Maak een afspraak

Cuccibu valt op door de no-nonsens cultuur en de prettige manier van zaken doen. Pragmatisch, meedenkend en betrokken

Marcel Slingerland Manager ICT at Reinier de Graaf Groep

In de samenwerking met Cuccibu valt mij de combinatie van professionaliteit en plezier op. Duidelijkheid en transparantie zijn hierbij ondersteunend. Cuccibu is gericht op een duurzame relatie en denkt vergaand mee.

Mevr. drs. P.M.L. (Petra) de Bruijn Lid College van Bestuur SILFO

“Cuccibu heeft niet alleen onze privacy op orde gebracht, maar ook gezorgd dat het beleid écht bij Pleyade past. Ze spreken onze taal en begrijpen waar we als organisatie naartoe willen. Dat maakt het verschil.”

Philippe Strooisma Informatiemanager

DPIA Checklist – hoe werkt het?

Een volledige DPIA-rapport bevat onder andere een beschrijving van de beoogde verwerking en de bijbehorende verwerkingsdoeleinden, een beoordeling van de noodzaak en evenredigheid, een inschatting van de privacyrisico’s voor betrokkenen en een overzicht van de voorgenomen beheersmaatregelen. Klinkt eenvoudig, toch? In theorie wel, maar in de praktijk blijkt het opstellen van een volledige en goed onderbouwde DPIA vaak een uitdaging.

Er bestaat geen wettelijk format of standaardaanpak: je bepaalt zelf de vorm, zolang je voldoet aan de eisen uit artikel 35, lid 7 van de AVG. Het is daarom verstandig om een interne DPIA procedure op te stellen voor het uitvoeren, rapporteren en borgen van DPIA’s. Zo hoef je niet telkens opnieuw het wiel uit te vinden.

Om je hierbij te helpen, stellen we graag een praktische checklist beschikbaar voor het opstellen van een effectieve DPIA procedure.

Download DPIA Checklist

FAQ DPIA

We zetten de meest gestelde vragen over het uitvoeren van een DPIA voor je op een rijtje.

Inhoudelijk is er geen verschil. Het zijn simpelweg verschillende benamingen voor hetzelfde proces. Data Protection Impact Assessment (DPIA) en Privacy Impact Assessment (PIA) zijn de internationaal gangbare termen, terwijl gegevensbeschermingseffectbeoordeling (GEB) de Nederlandse vertaling is zoals die in de AVG wordt gebruikt.

Een pre-DPIA is een korte, voorafgaande toets die helpt bepalen of het uitvoeren van een volledige DPIA wettelijk verplicht is. Het is géén verplicht onderdeel van de AVG, maar wordt wel sterk aanbevolen wanneer er twijfel bestaat over de noodzaak van een DPIA. Met een pre-DPIA krijg je snel inzicht in de aard en omvang van de gegevensverwerking en of deze waarschijnlijk een hoog privacyrisico met zich meebrengt.

Ja, er zijn verschillende templates beschikbaar voor zowel het opstellen van DPIA-vragenlijsten als voor de uiteindelijke rapportage. Zo heeft NOREA praktische vragenlijsten ontwikkeld die veel gemeenten als uitgangspunt gebruiken. Ook de Rijksoverheid biedt een eigen template aan: het Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA), dat breed wordt toegepast binnen (semi)publieke organisaties.

De verwerkingsverantwoordelijke is vrij in de keuze voor de vorm en methode van uitvoering, zolang het rapport maar voldoet aan de inhoudelijke vereisten uit artikel 35, lid 7 van de AVG.

Bij Cuccibu werken we met een eigen, beproefde methodiek en rapportagestructuur, die we afstemmen op jouw organisatie en sector. Zo ben je verzekerd van een inhoudelijk sterke én praktisch bruikbare DPIA.

Nee, de AVG verplicht niet tot het openbaar maken van een DPIA. Het is primair een intern document dat bedoeld is om privacyrisico’s in kaart te brengen en passende maatregelen te treffen.

Wel moet je als organisatie het rapport kunnen overleggen aan de Autoriteit Persoonsgegevens als zij daarom vragen.

Toch is het in sommige gevallen aan te raden om (een deel van) de DPIA openbaar te maken, bijvoorbeeld als de gegevensverwerking publieke impact heeft. Dit kan bijdragen aan transparantie, vertrouwen en verantwoording, zeker bij overheden en organisaties die met gevoelige maatschappelijke thema’s werken.

Ja. Als jouw organisatie cameratoezicht inzet, bijvoorbeeld ter beveiliging van eigendommen, personeel of gebouwen, dan verwerk je persoonsgegevens en moet je voldoen aan de eisen van de AVG. Het uitvoeren van een DPIA is in principe verplicht als het cameratoezicht een groot privacyrisico oplevert voor de personen die worden gefilmd.

Een DPIA is in ieder geval verplicht in de volgende situaties:

  • Bij grootschalig en/of systematisch cameratoezicht om diefstal tegen te gaan of mensen te beschermen.
  • Bij het gebruik van verborgen camera’s (heimelijk cameratoezicht), ook als dit incidenteel gebeurt.

In deze gevallen is sprake van een verhoogd risico op inbreuk op de persoonlijke levenssfeer, en eist de AVG een zorgvuldige afweging via een DPIA.

Gemeenten moeten, net als andere organisaties, voldoen aan de verplichtingen uit de AVG. Er gelden geen specifieke wettelijke DPIA-eisen uitsluitend voor gemeenten. Wel zijn DPIA’s bij gemeenten vaak verplicht, met name vanwege de grootschalige verwerking van gevoelige persoonsgegevens binnen het sociaal domein.

Ja, absoluut. Ook wanneer een DPIA niet verplicht is, kan het zeer verstandig zijn om er toch één uit te voeren. Een goed uitgevoerde DPIA geeft je inzicht in de mogelijke privacyrisico’s van een gegevensverwerking en helpt om deze risico’s tijdig te ondervangen. Daarnaast biedt het waardevolle handvatten voor het verbeteren van processen, het nemen van passende maatregelen en het versterken van interne bewustwording.

Kortom: een DPIA helpt je niet alleen om risico’s te beperken, maar ook om grip te krijgen op je gegevensverwerkingen én het vertrouwen van betrokkenen te versterken.

De kosten voor het uitvoeren van een DPIA verschillen per situatie en hangen af van meerdere factoren. Denk aan het aantal benodigde DPIA’s, de complexiteit van de verwerkingen en de mate waarin jouw organisatie zelf werkzaamheden uitvoert of kiest voor volledige ontzorging door Cuccibu.

Wil je weten wat dit voor jouw organisatie betekent? Neem vrijblijvend contact met ons op. We denken graag met je mee en maken een voorstel dat past bij jouw behoefte.

Cuccibu – DPIA’s die meer opleveren dan een rapport

Een goed uitgevoerde DPIA maakt risico’s inzichtelijk, helpt processen verbeteren en zorgt voor passende maatregelen. Zo voldoe je aan de AVG, behoud je grip op gegevensverwerkingen en versterk je vertrouwen bij klanten, medewerkers en burgers.

Bij Cuccibu staat niet het rapport centraal, maar het proces ernaartoe. Geen ingewikkeld document dat in de la verdwijnt, maar een pragmatische aanpak met continue afstemming en draagvlak binnen je organisatie. We betrekken de juiste stakeholders op het juiste moment en zorgen dat de uitkomsten direct toepasbaar zijn. Zo krijg je een DPIA die niet alleen juridisch klopt, maar ook praktisch werkt. Zo ben én blijf je in control!

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Ik kom graag in contact over:
Onze privacy- en cookieverklaring is van toepassing op de verwerking van de gegevens die je hier verstrekt.