Onder de Algemene verordening gegevensbescherming (AVG) kun je als organisatie verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Hiermee breng je vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Met de DPIA van Privacy Company ontvang je een overzichtelijk omschrijving van de gegevensverwerking die je gaat doen, een professionele beoordeling van de privacyrisico’s en praktische maatregelen om de risico’s aan te pakken. Hiermee ontvang je niet alleen inzicht in de risico’s die de verwerking oplevert voor de betrokkenen, maar ook hands-on maatregelen die jij als verantwoordelijke moet nemen om de risico’s af te dekken.

Onze werkwijze

Wij helpen je stapsgewijs door de vier verplichte onderdelen van de DPIA heen:

1. Omschrijving

Ten eerste moeten de verwerkingen van de persoonsgegevens en het doel waarvoor de organisatie de persoonsgegevens verwerkt omschreven worden.

2. Afweging noodzakelijkheid en proportionaliteit

Vervolgens moeten de noodzakelijkheid en proportionaliteit van de verwerkingen van de persoonsgegevens beschreven worden.

Dit doen we, omdat de inbreuk op de privacy van de betrokkenen niet onevenredig mag zijn met het doel waarvoor de organisatie de gegevens verwerkt (proportionaliteit). Kan het doel op een andere manier die minder inbreuk op de privacy van betrokkenen maakt bereikt worden? Dan moet de verwerking gebeuren op die manier die minder inbreuk maakt op de privacy van betrokkenen.

Weegt het bedrijfsbelang zwaarder dan de privacybelangen van de betrokkenen (noodzakelijkheid)? Dan dienst de organisatie uit te kunnen leggen hoe de belangen van de organisatie zijn afgewogen tegen de privacybelangen van de betrokkenen.

3. Beoordeling mogelijke risico’s

Aan de hand van de omschrijvingen en afwegingen, worden de privacyrisico’s voor de betrokkenen beoordeeld. Hierbij wordt gelet op de aard van de verwerking, de omvang, de context en de doeleinden van de verwerking(en) van persoonsgegevens die een hoog privacyrisico inhouden voor de betrokkenen.

Is het verwerken van bijzondere persoonsgegevens een hoog risicoverwerking, dan valt dit bijzonder persoonsgegeven onder de categorie gevoelige persoonsgegevens. Echter is niet elk gevoelige persoonsgegevens per definitie bijzondere persoonsgegevens. Dit leggen we je graag uit.

4. Beoordeling aanvaardbaarheid van eventuele restrisico’s en de beoogde maatregelen om de risico’s aan te pakken

Samen met de organisatie, stellen we de beoogde maatregelen vast om zodoende (1) de risico’s te verkleinen en (2) aan te kunnen tonen dat de organisatie de maatregelen ook daadwerkelijk uitvoert en aan de AVG voldoet. De organisatie moet ook uitleggen (vastleggen) waarom zij van mening is dat een eventueel restrisico aanvaardbaar is.