Een DPIA… Uitbesteden of zelf doen?

De Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing. Volgens deze wet bent u verplicht een Data Protection Impact Assessment (DPIA) – in het Nederlands ‘gegevensbeschermingseffectbeoordeling’ (snel vergeten) – uit te voeren als uw gegevensverwerkingen een (vermoedelijk) hoog risico opleveren.

Als verwerkingsverantwoordelijke moet u zelf bepalen of dit het geval is. Als u geen DPIA – en indien nodig een voorafgaande raadpleging – heeft uitgevoerd, mag u niet met de hoog-risico-verwerkingen beginnen.

Wat is een DPIA?

Een DPIA is een manier waarmee uw organisatie, voorafgaand aan een gegevensverwerking, de privacyrisico’s in kaart brengt. Dit doet u door met name de oorsprong, de aard, het specifieke karakter en de ernst van de privacyrisico’s te beoordelen. Indien nodig kunnen vervolgens maatregelen worden getroffen om de privacyrisico’s te verkleinen.

Voor welke gegevensverwerkingen een DPIA uitvoeren?

Niet iedere gegevensverwerking verplicht uw organisatie tot het uitvoeren van een DPIA. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor natuurlijke personen. Dit geldt in het bijzonder voor een gegevensverwerking waarbij met name nieuwe technologieën worden gebruikt.

Een DPIA moet in ieder geval worden uitgevoerd als uw organisatie:

  • Systematisch en uitvoerig persoonlijke aspecten beoordeelt.
  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld door cameratoezicht.

Voorbeelden van dergelijke gegevensverwerkingen zijn:

  • Een zorgverlener die patiëntgegevens verwerkt.
  • Een marktonderzoeksbureau dat in opdracht locatiegegevens van klanten verwerkt voor statistische doeleinden.
  • Een recruitmentbureau dat heel veel cv’s – en dus persoonlijke informatie – verwerkt.

Ook andere gegevensverwerkingen kunnen wegens het hoge privacyrisico in aanmerking komen voor een DPIA. Bij het bepalen of daarvan sprake is, moet worden gekeken naar het aantal betrokkenen, de hoeveelheid gegevens die worden verwerkt, de duur van de gegevensverwerking en de geografische reikwijdte van de verwerking.

De Autoriteit Persoonsgegevens heeft een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.

Aanvraag informatie

Benieuwd naar het uitbesteden van een DPIA?

Vraag dan vrijblijvend informatie aan

    AVG compliance tools

    DPOrganizer
    PrivacyPerfect