Een Data Protection Impact Assessment (DPIA): Alles wat je moet weten!
Iedere organisatie verwerkt persoonsgegevens. Je registreert bijvoorbeeld de NAW-gegevens van je personeel, betaalt loon op een bankrekeningnummer en de loonadministratie beschikt over een kopie van het identiteitsbewijs van werknemers. Inmiddels zijn we eraan gewend dat we dan te maken hebben met privacy en de AVG en zorgen we ervoor dat we daar goed mee om gaan. In sommige gevallen ben je wettelijk verplicht om voordat je persoonsgegevens kunt gaan verwerken een zogenaamde DPIA uit te voeren. Met een DPIA breng je de privacy risico’s van de verwerking van persoonsgegevens in kaart. Wil je weten wanneer een DPIA noodzakelijk is? En wat je aan een DPIA hebt? Lees dan verder.
Wanneer voer je een DPIA uit?
Simpel gezegd is een DPIA nodig als het verwerken van persoonsgegevens een hoog privacyrisico met zich meebrengt. Denk aan de situatie waarin je van plan bent om op grote schaal bijzondere persoonsgegevens (zoals gezondheidsgegevens) te verwerken of wanneer je jouw werknemers systematisch wilt monitoren (zoals via een voertuigvolgsysteem of cameratoezicht). Op de website van de Autoriteit Persoonsgegevens staat een lijst met verwerkingen waarvoor een DPIA moet worden uitgevoerd. Kijk dus vooral op de lijst als je twijfelt aan de noodzaak van een DPIA.
Als je een functionaris gegevensbescherming hebt aangesteld dan vraag je deze om advies. Heb je deze niet schakel dan met een privacydeskundige om te beoordelen of het uitvoeren van een DPIA noodzakelijk is. Dan kun je indien nodig op een later moment verantwoorden waarom er destijds wel of juist geen DPIA is uitgevoerd. Immers ben je wettelijk verplicht om in bepaalde gevallen een DPIA uit te voeren.
Door een DPIA uit te voeren minimaliseer je tevens het risico op een forse boete
Je kunt forse boetes opgelegd krijgen als je dit niet of niet goed doet. Creditcardbedrijf ICS bijvoorbeeld kreeg een boete van € 150.000,- van de Autoriteit Persoonsgegevens omdat ICS had nagelaten een DPIA uit te voeren. Als verwerkingsverantwoordelijke (degene die bepaalt dat bepaalde persoonsgegevens worden verwerkt, voor welk doel en de wijze waarop) ben je eindverantwoordelijk voor het uitvoeren van de DPIA. Je dient er dan ook op toe te zien dát een DPIA wordt uitgevoerd als dat nodig is en dat dit goed gebeurt.
Wat levert een DPIA op?
Een DPIA levert inzicht in de privacy risico’s van een voorgenomen verwerking van persoonsgegevens. Daardoor is beter te bepalen welke maatregelen getroffen moeten worden om die risico’s te beperken en af te dekken. Dit helpt om de juiste partijen en/of producten te kiezen. Zo wordt gewerkt aan de AVG-compliance van jouw organisatie en kunnen onnodige kosten worden voorkomen.
Je kunt er voor kiezen om een DPIA openbaar te maken. Daarmee geef je een professionele en betrouwbare indruk af.
Tot slot
Ga je een DPIA opstellen? Zorg dan voor een overzichtelijk document waarin in ieder geval is toegelicht:
- Welke persoonsgegevens verwerkt worden;
- Op welke wijze deze verwerking plaatsvindt;
- Welke privacyrisico’s deze verwerking met zich meebrengt;
- Waarom de verwerking noodzakelijk is en proportioneel en er geen beter alternatief is;
- Of de privacyrisico’s niet onredelijk groot zijn in vergelijking tot het met de verwerking te bereiken doel;
- Welke maatregelen er worden voorgenomen om de privacyrisico’s te beperken en aan de AVG te voldoen.
Heb je hier vragen over of wil je dat we met je meekijken bij het bepalen of een DPIA noodzakelijk is of het uitvoeren van een DPIA? Laat het aan Sabine van Loon of een van haar collega’s van het privacyteam weten, wij helpen graag!