Wat is een Data Protection Impact Assessment (DPIA)?

YourSafetynet - Vraag en antwoord

Een Data Protection Impact Assessment (DPIA) is een onderzoek dat de risico’s van een verwerking van persoonsgegevens in kaart brengt, voordat die verwerking plaatsvindt. Aan de hand van een dergelijk onderzoek kunnen bijvoorbeeld extra maatregelen genomen worden om de veiligheid en privacy van de gegevens te versterken.

Waarom is een Data Protection Impact Assessment verstandig?

Iedere organisatie die persoonsgegevens verwerkt, moet dat doen met grote zorg en volgens de richtlijnen van de privacywetgeving. Met een Data Protection Impact Assessment krijgt een organisatie in een tijdig stadium zicht op de privacyrisico’s die een project met zich meebrengt. De uitkomsten van zo’n onderzoek helpen om tijdig aanpassingen te doen. Dat kan kosten besparen, want is gemakkelijker en daardoor goedkoper dan het achteraf aanpassen van methoden en werkwijzen die niet in pas blijken te lopen met de wetgeving.
Is een Data Protection Impact Assessment altijd verplicht?
Nee. Op dit moment is voor alle organisaties een Data Protection Impact Assessment bij risicovolle verwerkingen wel aanbevolen, maar in geen enkel geval verplicht. Een uitzondering vormt de Rijksoverheid. Risicovolle dataverwerkingen moeten door de Rijksoverheid al wel vooraf onderzocht worden middels een Data Protection Impact Assessment.

Wanneer moet een Data Protection Impact Assessment wel worden uitgevoerd?

Het vrijblijvende karakter van een DPIA verandert vanaf mei 2018. Dan gaat de nieuwe Europese privacywetgeving van kracht, de AVG, ofwel GDPR. Vanaf dat moment is het uitvoeren van een Data Protection Impact Assessment verplicht in een aantal situaties.

Over het algemeen kun je stellen dat een Data Protection Impact Assessment altijd verplicht is wanneer de verwerking grote risico’s voor de privacy van betrokkenen met zich meebrengt.

Moet een externe verwerker ook een Data Protection Impact Assessment uitvoeren?

Nee. Het kan zijn dat de verantwoordelijke externe partijen inschakelt voor de verwerking van persoonsgegevens. Denk aan een externe ICT-beheerder, salarisadministratiekantoor of cloudprovider. De verantwoordelijke, dus de initiator van een verwerking van persoonsgegevens, is verantwoordelijk voor de privacy van de betrokkene. En dus ook verantwoordelijk voor het uitvoeren van een Data Protection Impact Assessment.

Wat is het verschil met een Privacy Impact Assessment?

Niets. Onder de AVG/GDPR verandert de term ‘Privacy Impact Assessment’ in ‘Data Protection Impact Assessment’ (DPIA). Exact dezelfde betekenis heeft de Nederlandse term gegevensbeschermingseffectbeoordeling.

Wat moet ik met de uitkomsten van een Data Protection Impact Assessment doen?

De vervolgstappen na een assessment hangen natuurlijk geheel samen met de uitkomsten ervan. Zo kan de verantwoordelijke besluiten om versleuteling toe te passen. Ook het verscherpen van de toegang tot de gegevens via een strenger account/toegangsbeheer is een logische stap. Het kan zijn dat de organisatie meer persoonsgegevens verwerkt dan strikt noodzakelijk. In zo’n geval kan besloten worden om een deel van de persoonsgegevens te verwijderen. We noemen dat ‘dataminimalisatie’. De AVG/GDPR verbiedt namelijk om meer persoonsgegevens te verwerken dan strikt noodzakelijk voor het beoogde doel.

Een andere mogelijke maatregel is het versterken van de technische beveiligingslaag. Denk daarbij aan de aanschaf van een nieuwe firewall of systeem voor netwerkmonitoring.

Alle berichten

Ja! Ik wil meer weten
over YourSafetynet

Laat je gegevens achter en ontvang de brochure met meer informatie over YourSafetynet per e-mail of maak een afspraak.



    Akkoord metPrivacyverklaring