Niet meer weg te denken uit het privacy-vocabulaire is een DPIA. Een nieuw onderwerp geïntroduceerd door de AVG. DPIA staat voor data protection impact assessment. Officieel spreekt de AVG van een Data Protection Impact Assessment (DPIA), wat in het Nederlands wordt vertaald als ‘gegevensbeschermingseffectbeoordeling’ (‘GEB’). Maar PIA, DPIA en GEB worden door elkaar gebruikt, al is PIA de bekendste afkorting.
Een goede manier om te bekijken of uw organisatie al voldoet aan de AVG is het uitvoeren van een audit of zogenaamde quick scan. Dit is géén DPIA. Het is een veel gehoord misverstand dat een DPIA wordt uitgevoerd ‘op een bedrijf of organisatie’, als een soort audit of quick scan. Dit is dus niet het geval. Een DPIA is een beoordeling van een specifieke verwerking.
De AVG schrijft voor dat een verwerkingsverantwoordelijke de impact van een voorgenomen verwerking moet toetsen, als deze voorgenomen verwerking een verhoogd risico vormt voor de betrokkene.
Deze standaard van een ‘verhoogd risico’ is een open standaard. Dit betekent dat er in de AVG niet exact staat beschreven in welke gevallen er wel of geen sprake is van een verhoogd risico. Hierbij moet je letten op de volgende punten:
Aan de hand van deze factoren zal je dus van tevoren moeten bekijken of de voorgenomen verwerking een verhoogd risico voor de rechten van de betrokkenen met zich meebrengt. Als dit het geval is, moet je de voorgenomen verwerking onderwerpen aan een DPIA.
Ook noemt de AVG een aantal gevallen waarin een DPIA altijd verplicht is. Dat is bij de volgende verwerkingen:
Nu zijn we aangekomen bij het IA-gedeelte van de DPIA. Wat houdt de impact assessment in? De AVG schrijft vier onderdelen voor die je tenminste moet meenemen in de beoordeling van de impact van de voorgenomen verwerking:
Deze punten werk je uit en weeg je tegen elkaar af. Wanneer uit de DPIA blijkt dat de verwerking een hoog risico oplevert zonder dat er afdoende maatregelen zijn om de betrokkene te beschermen, dan moet de verwerkingsverantwoordelijke de Autoriteit Persoonsgegevens inlichten over de voorgenomen verwerking. Vervolgens houdt de Autoriteit Persoonsgegevens de voorgenomen verwerking nogmaals tegen het licht. De Autoriteit Persoonsgegevens beoordeelt of de verwerking inbreuk zou maken en geeft de verwerkingsverantwoordelijke schriftelijk advies hierover.
Privacy Company kan u helpen met een DPIA. Lees meer over onze diensten, of neem contact op.