To DPIA or not to DPIA?

We doen het steeds vaker en het krijgt steeds meer aandacht, de Data Protection Impact Assessment, ofwel de DPIA. Onder de Nederlandse puristen ook wel de gegevensbeschermingseffectbeoordeling. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van 17 onderwerpen waarvoor je een DPIA moet uitvoeren.

Als de activiteiten die je organisatie uitvoert in deze lijst staan, dan kan een DPIA verplicht zijn. Het moet dan in bijna alle gevallen wel gaan om grootschalige verwerkingen, stelselmatige monitoring of uitgebreide beoordeling (zie tabel/infographic hieronder). De Autoriteit Persoonsgegevens mag de DPIA opvragen en het niet voldoen aan deze verplichting levert een maximale boete op van 10  miljoen euro of 2% van de wereldwijde jaaromzet.

Staat het onderwerp niet in de lijst, dan kan het nog steeds verplicht zijn om een DPIA uit te voeren. De lijst is dus niet uitputtend. En andersom: als het niet verplicht is, kunnen er nog steeds goede redenen zijn om een DPIA uit te voeren. Een DPIA geeft inzicht in privacy risico’s. Daarmee zijn DPIA’s een kans om beter te begrijpen waar die risico’s liggen en hoe deze te verlagen. Dat is belangrijk voor de uitvoerende organisatie en voor degene wiens gegevens worden verwerkt. Een duidelijke win-win dus. De vraag uit de titel mag dan ook vaak met ja (yes) worden beantwoord.

Gepubliceerd op
16/1/2020
DPIA; autoriteit persoonsgegevens; wanneer moet een DPIA; DPIA verplicht;