Wat is een Data Protection Impact Assessment (DPIA)?

Een Data Protection Impact Assessment (DPIA) is een onderzoek dat de risico’s van een verwerking van persoonsgegevens in kaart brengt, voordat die verwerking plaatsvindt. Aan de hand van een dergelijk onderzoek kunnen bijvoorbeeld extra maatregelen genomen worden om de veiligheid en privacy van de gegevens te versterken.

Lees meer

Waarom is een Data Protection Impact Assessment verstandig?

Iedere organisatie die persoonsgegevens verwerkt, moet dat doen met grote zorg en volgens de richtlijnen van de privacywetgeving. Met een Data Protection Impact Assessment krijgt een organisatie in een tijdig stadium zicht op de privacyrisico’s die een project met zich meebrengt. De uitkomsten van zo’n onderzoek helpen om tijdig aanpassingen te doen. Dat kan kosten besparen, want is gemakkelijker en daardoor goedkoper dan het achteraf aanpassen van methoden en werkwijzen die niet in pas blijken te lopen met de wetgeving.

Is een Data Protection Impact Assessment altijd verplicht?

Nee. Op dit moment is voor alle organisaties een Data Protection Impact Assessment bij risicovolle verwerkingen wel aanbevolen, maar in geen enkel geval verplicht. Een uitzondering vormt de Rijksoverheid. Risicovolle dataverwerkingen moeten door de Rijksoverheid al wel vooraf onderzocht worden middels een Data Protection Impact Assessment.

Wanneer moet een Data Protection Impact Assessment wel worden uitgevoerd?

Het vrijblijvende karakter van een DPIA verandert vanaf mei 2018. Dan gaat de nieuwe Europese privacywetgeving van kracht, de AVG, ofwel GDPR. Vanaf dat moment is het uitvoeren van een Data Protection Impact Assessment verplicht in een aantal situaties.

  • wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt, zoals medische data, strafrechtelijke gegevens, data over iemands financiële positie, politieke voorkeur, seksuele voorkeur of etniciteit;
  • wanneer er de persoonsgegevens worden verwerkt voor het uitgebreid en systematische bestudering van persoonlijke aspecten. Denk daarbij aan analyses op bigdatapools vol persoonlijke data over bijvoorbeeld shopgedrag. Of denk aan een kredietverstrekker die het inkomsten- en uitgavepatroon van iemand analyseert en zo de kredietwaardigheid beoordeelt;
  • wanneer de organisatie op grote schaal systematisch personen volgt in een openbare ruimte. Denk daarbij bijvoorbeeld aan cameratoezicht in openbare ruimten;
  • wanneer intensief gebruik wordt gemaakt van nieuwe technologie zoals Internet of Things (IoT). Nieuwe technologie geeft vaak onbekende risico’s. Een Data Protection Impact Assessment kan deze risico’s voortijdig in kaart brengen. Bijvoorbeeld het IoT kan een grote impact op de privacy van betrokkenen hebben, bijvoorbeeld doordat sensoren hen continu monitoren en metingen vastleggen in datasystemen;
  • wanneer de organisatie persoonsgegevens doorgeeft aan landen buiten de EU. Niet in alle landen buiten de EU geldt een strenge privacywetgeving. Een Data Protection Impact Assessment onderzoekt in zo’n geval of het doorgeven van de persoonsgegevens niet buitenproportioneel ten koste gaat van de privacyveiligheid van de betrokken;
  • wanneer de organisatie meerdere databases met persoonsgegevens koppelt die in eerste instantie elk met een eigen doel zijn opgezet. Denk bijvoorbeeld aan het koppelen van een database over verkoopgegevens met een database waarin clicks op online advertenties worden bijgehouden.

Over het algemeen kun je stellen dat een Data Protection Impact Assessment altijd verplicht is wanneer de verwerking grote risico’s voor de privacy van betrokkenen met zich meebrengt.

Moet een externe verwerker ook een Data Protection Impact Assessment uitvoeren?

Nee. Het kan zijn dat de verantwoordelijke externe partijen inschakelt voor de verwerking van persoonsgegevens. Denk aan een externe ICT-beheerder, salarisadministratiekantoor of cloudprovider. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is verantwoordelijk voor de privacy van de betrokkene. En dus ook verantwoordelijk voor het uitvoeren van een Data Protection Impact Assessment.

Wat is het verschil met een Privacy Impact Assessment?

Niets. Onder de AVG/GDPR verandert de term ‘Privacy Impact Assessment’ in ‘Data Protection Impact Assessment’ (DPIA). Exact dezelfde betekenis heeft de Nederlandse term gegevensbeschermingseffectbeoordeling.

Wat moet ik met de uitkomsten van een Data Protection Impact Assessment doen?

De vervolgstappen na een assessment hangen natuurlijk geheel samen met de uitkomsten ervan. Zo kan de verantwoordelijke besluiten om versleuteling toe te passen. Ook het verscherpen van de toegang tot de gegevens via een strenger account/toegangsbeheer is een logische stap. Het kan zijn dat de organisatie meer persoonsgegevens verwerkt dan strikt noodzakelijk. In zo’n geval kan besloten worden om een deel van de persoonsgegevens te verwijderen. We noemen dat ‘dataminimalisatie’. De AVG/GDPR verbiedt namelijk om meer persoonsgegevens te verwerken dan strikt noodzakelijk voor het beoogde doel.

Een andere mogelijke maatregel is het versterken van de technische beveiligingslaag. Denk daarbij aan de aanschaf van een nieuwe firewall of systeem voor netwerkmonitoring.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This