Privacy Impact Assessment

Het verwerken van persoonsgegevens kan een groot risico betekenen voor de bescherming van de privacy van degene wiens persoonsgegevens worden verwerkt. De gegevens kunnen bijvoorbeeld met de verkeerde persoon gedeeld worden, of zelfs kwijtraken. Hoe hoog dit risico is, verschilt per gegevensverwerker. Op grond van de Algemene Verordening Gegevensbescherming (AVG) kan een organisatie verplicht zijn een gegevensbeschermingseffectbeoordeling (ook wel genoemd: Data Protection Impact Assessment (DPIA)) uit te voeren. DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Verplicht

Een DPIA is alleen verplicht als een gegevensverwerking in alle waarschijnlijkheid een hoog risico oplevert voor de betrokkenen. Dat is in ieder geval zo wanneer een organisatie:

- systematisch en uitvoerig persoonlijke aspecten evalueert (waaronder profilering);

- op grote schaal bijzondere persoonsgegevens verwerkt;

- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (denk aan cameratoezicht).

Het risico van de gegevensverwerking

Het Europees Comité voor Gegevensbescherming (ECG) heeft richtlijnen opgesteld om een inschatting te maken van de risico’s van een gegevensverwerking. Naar aanleiding hiervan kan worden geconcludeerd of een DPIA verplicht is. Voor deze beoordeling zijn negen criteria opgesteld. Indien aan twee van deze criteria is voldaan, kan worden geconcludeerd dat het nodig is om een DPIA uit te voeren. Deze criteria zijn als volgt: ingeval van evaluatie van scores (1); geautomatiseerde besluitvorming met een juridisch of vergelijkbaar significant effect (2); systematisch monitoren (3); gevoelige persoonsgegevens of informatie (4); verwerking van persoonsgegevens op grote schaal (5); sets van gegevens die worden gekoppeld en gecombineerd (6); gegevens van kwetsbare betrokkenen (7); innovatief gebruik van de persoonsgegevens of het toepassen van technologische of organisatorische oplossingen op de persoonsgegevens (8); de verwerking verhindert de betrokkene van het uitoefenen van een recht of het gebruikt van een dienst of een overeenkomst (9).

Noodzakelijkheid en proportionaliteit van de gegevensverwerking

Indien de wetgeving vereist dat een organisatie een DPIA uitvoert, zal de verwerker de noodzakelijkheid en proportionaliteit van het verwerken van persoonsgegevens moeten nagaan en de mogelijke risico’s van deze verwerking moeten identificeren. Tevens dienen in de DPIA ook de veiligheidsmaatregelen die zullen worden genomen om de risico’s zo klein mogelijk te maken neergelegd te worden.



Specialist privacy impact assessment

Middels een DPIA kan een organisatie de risico's van de verwerking van persoonsgegevens in kaart brengen en ervoor zorgen dat geschikte maatregelen zijn genomen om deze risico's te verkleinen.
Innovation / Growth / Commitment

Neem contact op

U kunt contact met ons opnemen door het invullen van ons contactformulier. Wij reageren zo spoedig mogelijk. Natuurlijk kunt u ons ook direct mailen of bellen.