Gaat je organisatie een nieuwe verwerking van persoonsgegevens starten? Misschien een nieuw CRM-systeem, een zaaksysteem of een Elektronisch Patiënten Dossiers waarin veel (bijzondere) persoonsgegevens worden verwerkt? Of ga je een bestaand proces vernieuwen of aanpassen waardoor er iets verandert in de gegevensverwerking?
Mogelijk ben je dan verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. In het Nederlands heet dit een ‘gegevensbeschermingseffectbeoordeling’ ook wel ‘GEB’ genoemd. Deze verplichting geldt overigens ook voor oude processen waarvoor nog nooit eerder een dergelijke analyse is uitgevoerd.
Een risicoanalyse op de effecten van een nieuwe of aangepaste verwerking van persoonsgegevens op de mensen wiens gegevens je gaat verwerken. Bijvoorbeeld bij de uitvoer van een project (zoals een nieuw ICT-systeem voor klantinformatie), een uitwisseling van persoonsgegevens met andere organisaties of als je persoonsgegevens (anders) gaat analyseren of profileren.
De DPIA voer je uit voordat je van start gaat met je nieuwe verwerking, of wanneer er iets gaat veranderen aan een proces. Daarnaast zorg je ervoor dat je hem periodiek reviewt en indien nodig aanpast. Het doel is om risico’s ten aanzien van rechten en vrijheden van mensen wiens gegevens jij gaat verwerken in een vroeg stadium in kaart te brengen en maatregelen inzichtelijk te maken waarmee deze risico’s beperkt kunnen worden.
Een DPIA is verplicht wanneer de beoogde verwerking hoge risico’s oplevert voor de rechten en vrijheden van de mensen wiens persoonsgegevens worden verwerkt. Voorbeelden daarvan zijn automatische besluitvorming, verwerken van bijzondere persoonsgegevens op grote schaal, cameratoezicht en monitoring van medewerkers. De autoriteit persoonsgegevens heeft een lijst met 17 verwerkingen opgesteld waarbij dit altijd verplicht is. Deze kun je hier vinden. Ook het geen wettelijke verplichting is, kan het raadzaam zijn om tóch een DPIA uit te voeren. Een goede DPIA zorgt er namelijk voor dat je voldoet aan de vereisten die de Algemene Verordening Gegevensbescherming (AVG) aan de verwerking van persoonsgegevens stelt. Bovendien biedt de DPIA praktische maatregelen en handvatten voor jouw organisatie om rekening mee te houden bij de verwerking.
Wij helpen je graag met het uitvoeren van een DPIA, maar ook om jouw organisatie zelf DPIA’s uit te laten voeren. Onze eigen effectieve aanpak kunnen we dan toespitsen op jouw organisatie en borgen.
Wil je zelf een DPIA uitvoeren of dit leren? Dan is een DPIA workshop iets voor jouw organisatie. Tijdens deze workshop geven we de deelnemers uitleg over het hoe en waarom van de DPIA en nemen we ze hands-on mee in de uitvoering hiervan.
Wilt je meer lezen? Lees dan ons Cuccibubook over DPIA’s.
Neem vrijblijvend contact met ons op. Wij denken graag met je mee over de oplossing die het beste past bij jouw organisatie. Laat hier je gegevens achter.
"*" geeft vereiste velden aan