Met de komst van de AVG per 25 mei 2018 kunnen organisaties verplicht zijn om een data protection impact assessment uit te voeren, ook wel de DPIA genoemd. Hiermee kun je vooraf de privacy risico’s van gegevensverwerking in kaart brengen. Hierna kun je als organisatie maatregelen nemen om de risico’s te verkleinen.
Voor wie?
Je dient een DPIA uit te voeren wanneer je gegevensverwerking een hoog privacy risico oplevert. Dit dien je zelf te bepalen. Er zijn wel richtlijnen voor opgesteld om te beoordelen of je gegevensverwerking een hoog privacyrisico loopt of niet. Deze kun je terugvinden op de website van de autoriteit persoonsgegevens.
De 5 tips om snel en pragmatisch een succesvolle DPIA op te stellen
1. Begin op tijd
Het is aan te raden om zo snel mogelijk te starten met het uitvoeren van een DPIA, zelfs wanneer nog niet alle details bekend zijn over de gegevensverwerking in de organisatie.
Hierdoor kunnen de privacyregels al in de ontwerpfase worden meegenomen. De DPIA is een doorlopend proces wat je regelmatig moet controleren op wijzigingen van de risico’s. Hierna zal de DPIA aangepast moeten worden. Als organisatie hoef je de DPIA niet zelf uit te voeren, maar ben je natuurlijk wel verantwoordelijk.
2. Betrek de Functionaris Gegevensbescherming
Wanneer je als organisatie verplicht een functionaris gegevensbescherming hebt moeten aanstellen dan dien je deze altijd om advies te vragen bij een uit te voeren DPIA. In het DPIA-rapport moet vervolgens ook beschreven worden welke adviezen wel en niet zijn verwerkt. Indien adviezen niet zijn verwerkt dient de reden hiervan duidelijk beschreven te staan.
3. Beschrijf de doeleinden
Beschrijf systematisch de doeleinden waarvoor je bedrijf gegevensverwerking toepast. Ook dien je het gerechtvaardigd belang hierin op te nemen.
4. Beoordeel de noodzaak van de verwerkingen
Neem de beoordeling van de noodzaak en proportionaliteit van de verwerkingen op in de DPIA. Dit wil zeggen dat je beschrijft of het verwerken van persoonsgegevens op de manier zoals je dat doet noodzakelijk is. Stel jezelf hierbij de vraag of de mogelijke privacy schending in verhouding is tot het doel waarom je de gegevens verzamelt.
5. Beschrijf je preventiemaatregelen
Stel als bedrijf regels op om de veiligheidsrisico’s tot een minimum te beperken. Zorg dat je hierbij de risico’s in kaart brengt en daaraan bijbehorende maatregelen koppelt om de risico’s te voorkomen.
