Welkom bij Arbo Werkt!

Welkom bij Arbo Werkt!

Data protection impact assessment (DPIA)

Wanneer bent u als organisatie verplicht om een DPIA uit te voeren als u van plan bent om persoonsgegevens te verwerken?
Bron: Autoriteit Persoonsgegevens

Data protection impact assessment (DPIA)

 

Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

 

In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

 

Groot privacyrisico

Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

 

  • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
  • op grote schaal bijzondere persoonsgegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

 

Buiten deze drie situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De Europese privacytoezichthouders hebben criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een DPIA verplicht is.

 

Guidelines DPIA

De Europese privacytoezichthouders hebben in oktober 2017 de (definitieve) Guidelines on Data Protection Impact Assessment gepubliceerd die meer uitleg geven over de DPIA. Er is ook een officiële Nederlandse vertaling van de guidelines DPIA beschikbaar.

 

Huidige situatie

De Rijksoverheid is nu al verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een DPIA, nu nog Privacy Impact Assessment (PIA) genoemd. Andere organisaties zijn nu nog niet verplicht een (D)PIA uit te voeren.

 

Het is aan te raden om vrijwillig een (D)PIA te doen. Dit komt niet alleen de gegevensbescherming ten goede, maar ook voor de organisatie zelf levert een (D)PIA voordelen op.

Contact

Arbo Werkt B.V. Heerenveen

Breedpad 21

8442 AA Heerenveen

06 – 1917 3180

tjitskedejong@arbowerkt.nl

Arbo Werkt B.V. 's-Gravenzande

Gasthuislaan 10

2691 AE 's-Gravenzande

06 – 82 16 29 50

renatevandenbosch@arbowerkt.nl

 

Backoffice

Gasthuislaan 10

2691 AE 's-Gravenzande

085-0180665

info@arbowerkt.nl

Kamer van Koophandel : 80259022

Arbo Werkt B.V. Haarlem

Diakenhuisweg 17,

2033 AP Haarlem

06 – 82 16 29 50

renatevandenbosch@arbowerkt.nl

Copyright 2021 | Arbo Werkt!