DPIA’s: wat is dit en wat moet ik dan doen?

In de AVG is in artikel 35 op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een nieuwe gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de gegevens worden verwerkt. Dit moet de verwerkingsverantwoordelijke zelf bepalen. U mag in dat geval niet beginnen met het verwerken van gegevens voordat u een DPIA heeft uitgevoerd.

De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

De Autoriteit Persoonsgegevens heeft daarnaast een lijst van soorten verwerkingen opgesteld (zie: https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia?qa=DPIA) waarvoor het uitvoeren van een DPIA verplicht is vóórdat u met verwerken begint. De lijst is niet uitputtend. Het kan zijn dat uw verwerking niet op deze lijst staat. In dat geval moet u zelf beoordelen of uw verwerking een hoog privacyrisico oplevert voor de betrokkenen.

In de bibliotheek van EasyPrivacy® is een DPIA beleid opgenomen en een voorbeeld rapport voor een DPIA.

Meer hulp nodig: neem contact op met een van de medewerkers van PrivacyTeam; zij helpen u graag verder.