In een wereld die iedere dag verder digitaliseert zullen er ook bij heel veel online activiteiten die binnen jullie organisatie plaatsvinden persoonsgegevens verwerkt worden. Denk bijvoorbeeld aan het implementeren van een nieuwe CRM-systeem waarin klantdata wordt opgeslagen om meer voeling te houden met klanten, de omzet en/of winst van het bedrijf te vergroten en processen te stroomlijnen.
Het kan zo zijn dat je voor een dergelijke activiteit verplicht bent om een Data Protection Impact Assessment ofwel DPIA uit te voeren. In het Nederlands wordt dit ook wel een gegevensbeschermingseffectbeoordeling genoemd. KVGM heeft jarenlange ervaring met het uitvoeren van DPIA’s.
Wat is een DPIA dan precies?
Een DPIA is een risicoanalyse van een nieuwe of aangepaste activiteit waarbij persoonsgegevens worden verwerkt. Een DPIA voer je uit voordat je met de verwerkingsactiviteit begint. De DPIA is ingesteld om te voorkomen de organisaties te gemakkelijk risico’s nemen bij de verwerking van bepaalde persoonsgegevens. Het doel van een DPIA is dan ook het vroegtijdig in kaart brengen van de verschillende risico’s en vervolgens maatregelen te identificeren die de risico’s van de verwerkingen beperken.
Een DPIA is bij uitstek een middel om aantoonbaar te maken dat jouw organisatie voldoet aan de verantwoordingsplicht die in de AVG is opgenomen.
Is een DPIA verplicht?
Een DPIA is alleen verplicht voor de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is de organisatie die het doel en middel bepaalt voor de verwerking. Van een verwerking is sprake wanneer er een handeling plaats vindt met persoonsgegevens. Denk hierbij aan ontvangen, opslaan, doorsturen en verwijderen van persoonsgegevens.
De verplichting om een DPIA uit te voeren is vastgesteld in art. 35 AVG. Die verplichting tot het uitvoeren van een DPIA ontstaat wanneer de verwerking van persoonsgegevens een hoog risico met zich meebrengt. Een hoog risico is natuurlijk een relatief subjectief begrip, maar de AVG schrijft voor dat een DPIA in ieder geval uitgevoerd moet worden indien:
- Op grote schaal bijzondere persoonsgegevens worden verwerkt.
- Systematische en uitgebreide beoordeling van persoonlijke aspecten van mensen plaatsvindt. Deze beoordeling vindt plaats door geautomatiseerde verwerking van persoonsgegevens en op basis van deze beoordeling besluiten worden genomen die gevolgen kunnen hebben voor personen.
- Strafrechtelijke gegevens verwerkt worden.
- Systematisch en op grote schaal mensen gevolgd worden in een voor publiek vrij toegankelijk gebied. Je kunt hierbij denken aan cameratoezicht op deze locaties.
Hoe voor je een DPIA uit?
Er is geen eenduidige methode om een DPIA uit te voeren. Een organisatie kiest zelf een methode die goed past bij de werkwijze binnen de organisatie als er maar aan onderstaande basisvereisten voor het uitvoeren van een DPIA voldaan wordt.
De basisvereisten voor de uitvoering van een DPIA zijn:
- Een systematische beschrijving van de verschillende verwerkingen van persoonsgegevens en de doelen van de verwerkingen.
- Een beoordeling van de noodzaak en proportionaliteit van de verwerkingen.
- Een beoordeling van de privacy risico’s van de betrokkenen.
- De beoogde maatregelen om de risico’s aan te pakken en om aan te tonen dat de organisatie aan de eisen van de AVG voldoet.
Benieuwd hoe wij kunnen helpen?
Wij begrijpen dat het voor organisaties lastig kan zijn om te bepalen of het uitvoeren van DPIA verplicht of noodzakelijk is. De juristen van KVGM helpen je graag met alle aspecten van de uitvoering van een DPIA. Wil je de DPIA graag door ons laten uitvoeren of heb je liever dat wij jouw organisatie begeleiden in het uitvoeren van een DPIA? Afhankelijk van jullie behoeften passen wij onze beproefde methodes toe en komen samen met de organisatie tot een duidelijke invulling van jullie vraag.