DPIA: Wanneer is een privacyrisico-onderzoek verplicht?

DPIA: Wanneer is een privacyrisico-onderzoek verplicht?

De Autoriteit Persoonsgegevens heeft een lijst samengesteld van verwerkingen waarbij een DPIA, een privacyrisico-onderzoek verplicht is. Moet ú zich nu alweer druk maken over die AVG? 


Wat is een DPIA?

Sommige bedrijven zijn volgens de Algemene verordening gegevensbescherming (AVG) verplicht een data protection impact assessment (DPIA) uit te voeren. Hiermee brengt u de privacyrisico’s van een gegevensverwerking in kaar. Daarna kunt u maatregelen nemen om die risico’s te verkleinen.

Voor wie is een DPIA verplicht?

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Let op. Dit moet ú als verwerkingsverantwoordelijke wel zelf bepalen.

Wanneer is DPIA verplicht?

Formeel is een DPIA in ieder geval verplicht als u:

  • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling (bijv. profielen opbouwen van websitebezoekers), en daarop besluiten baseert die gevolgen hebben voor mensen;
  • op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Dat is allemaal een hele mond vol. Gelukkig is er nu een lijst met voorbeelden van werkingen van persoonsgegevens waarbij een DPIA verplicht is.

Download de lijst met verwerkingen van persoonsgegevens waarbij een DPIA verplicht.

Is een DPIA voor u verplicht? Wat dan?

En wat nu als u aan de slag moet? Een DPIA bestaat uit de volgende vier stappen:

  • Stap 1. Breng in kaart welke persoonsgegevens verwerkt worden en de reden waarom.
  • Stap 2. Bepaal of deze verwerkingen gerechtvaardigd zijn. Denk daarbij aan het kunnen uitvoeren van een overeenkomst, een gerechtvaardigd belang voor u als ondernemer of als u toestemming heeft van de betrokkene.
  • Stap 3. Beoordeel de privacyrisico’s voor de betrokkenen.
  • Stap 4. Bepaal maatregelen om de risico’s voor de betrokkenen te beperken.

De AP verwijst voor een handreiking voor de uitvoering van een DPIA naar de handreiking van de NOREA, de beroepsorganisatie van IT auditors.

Download hier eventueel de handreiking voor de uitvoering van de DPIA.

Dus moet ú zich druk maken?

Nee, meestal niet. Het geldt met name voor grote bedrijven en in geval u bijv.:

  • als winkelier of horecaondernemer met een zwarte lijst werkt;
  • als u camera’s heeft hangen;
  • als u medewerkers controleert (e-mails, gps, e.d.); en
  • in sommige gevallen van online marketing (als u bijv. een webshop heeft.

Breng sowieso in kaart welke persoonsgegevens u verwerkt en wat de privacyrisico’s zijn. Dat kan prima met een verwerkingsregister.

Download hier het model verwerkingsregister.

De meeste kleine ondernemingen zijn niet verplicht om een DPIA uit te voeren. Check aan de hand van de nieuwe lijst van de AP of u wel of niet verplicht bent dit te doen en breng uw verwerkingen van persoonsgegevens altijd in kaart met het verwerkingsregister.

Related posts