Data protection impact assessment (DPIA)
Wanneer bent u als organisatie verplicht om een DPIA uit te voeren als u van plan bent om persoonsgegevens te verwerken?
Bron: Autoriteit Persoonsgegevens
Data protection impact assessment (DPIA)
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.
Groot privacyrisico
Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:
Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.
Guidelines DPIA
De Europese privacytoezichthouders hebben in oktober 2017 de (definitieve) Guidelines on Data Protection Impact Assessment gepubliceerd die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.
Huidige situatie
De Rijksoverheid is nu al verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een DPIA, nu nog Privacy Impact Assessment (PIA) genoemd. Andere organisaties zijn nu nog niet verplicht een (D)PIA uit te voeren.
Het is aan te raden om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.
Hieronder kunt u een aantal publicaties downloaden:
Handleiding Algemene verordening gegevensbescherming (ministerie van Justitie en Veiligheid)
Contact
Arbo Werkt B.V. Heerenveen
Breedpad 21
8442 AA Heerenveen
Email: patrickweertz@insidecase.nl
Arbo Werkt B.V. 's-Gravenzande
Gasthuislaan 10
2691 AE 's-Gravenzande
Telefoon: 06-48 80 85 19
Email: patrickweertz@insidecase.nl
Kamer van Koophandel : 80259022
Arbo Werkt B.V. Haarlem
Diakenhuisweg 17,
2033 AP Haarlem
Email: patrickweertz@insidecase.nl
STUUR EEN BERICHT
Copyright 2020 | Arbo Werkt!