Wat is een DPIA?

Gelijktijdig met de Algemene Verordening Gegevensbescherming (AVG) zien bedrijven zich geconfronteerd met een hoop nieuwe juridische termen en vakjargon op het gebied van privacy. Een van deze termen – die u in de afgelopen maanden waarschijnlijk wel voorbij heeft zien komen – is DPIA, oftewel het Data Protection Impact Assessment. Wat is een DPIA, en welk doel dient dit? Dit zijn de vragen die in deze blog aan de orde zullen komen.

 Om te beginnen met de eerste vraag; een DPIA is een instrument voor organisaties om vooraf (dus voordat u start met deze verwerking) de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodra de privacyrisico’s in kaart zijn gebracht kunnen er maatregelen worden getroffen om de risico’s te verkleinen.

 De AVG heeft bepaald dat er in de volgende gevallen in ieder geval een DPIA dient te worden uitgevoerd:

• als een organisatie systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
• er op grote schaal bijzondere of strafrechtelijke persoonsgegevens worden verwerkt;
• er op grote schaal en systematisch mensen worden gevolgd in een publiek toegankelijk gebied (bijvoorbeeld door middel van cameratoezicht).

 Een DPIA is daarnaast enkel verplicht voor organisaties als een gegevensverwerking waarschijnlijk een verhoogd risico met zich meebrengt voor de personen van wie de betreffende organisatie de gegevens verwerkt. De toetsing of hiervan waarschijnlijk sprake is ligt bij de organisatie zelf. Omdat dit lastig kan zijn heeft de Autoriteit Persoonsgegevens een lijst gepubliceerd van 9 criteria, opgesteld door de Europese toezichthouders (zie link). Indien uw verwerking aan minstens 2 van deze criteria voldoet dient u een DPIA uit te (laten) voeren.

 Bent u voornemens een nieuwe gegevensverwerking te starten met een verhoogd privacyrisico? Maurits & Hömann kan een DPIA voor u uitvoeren of u hierin adviseren.