Leestijd: 2 minuten

In 5 stappen naar een succesvolle DPIA

Op 25 mei 2018 is de nieuwe AVG wet van kracht. In dit artikel lees je er alles over.

Privacy Shield VS-EU
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Met de komst van de AVG per 25 mei 2018 kunnen organisaties verplicht zijn om een data protection impact assessment uit te voeren, ook wel de DPIA genoemd. Hiermee kun je vooraf de privacy risico’s van gegevensverwerking in kaart brengen. Hierna kun je als organisatie maatregelen nemen om de risico’s te verkleinen.

Voor wie?

Je dient een DPIA uit te voeren wanneer je gegevensverwerking een hoog privacy risico oplevert. Dit dien je zelf te bepalen. Er zijn wel richtlijnen voor opgesteld om te beoordelen of je gegevensverwerking een hoog privacyrisico loopt of niet. Deze kun je terugvinden op de website van de autoriteit persoonsgegevens.

De 5 tips om snel en pragmatisch een succesvolle DPIA op te stellen

1. Begin op tijd

Het is aan te raden om zo snel mogelijk te starten met het uitvoeren van een DPIA, zelfs wanneer nog niet alle details bekend zijn over de gegevensverwerking in de organisatie.

Hierdoor kunnen de privacyregels al in de ontwerpfase worden meegenomen. De DPIA is een doorlopend proces wat je regelmatig moet controleren op wijzigingen van de risico’s. Hierna zal de DPIA aangepast moeten worden. Als organisatie hoef je de DPIA niet zelf uit te voeren, maar ben je natuurlijk wel verantwoordelijk.

2. Betrek de Functionaris Gegevensbescherming

Wanneer je als organisatie verplicht een functionaris gegevensbescherming hebt moeten aanstellen dan dien je deze altijd om advies te vragen bij een uit te voeren DPIA. In het DPIA-rapport moet vervolgens ook beschreven worden welke adviezen wel en niet zijn verwerkt. Indien adviezen niet zijn verwerkt dient de reden hiervan duidelijk beschreven te staan.

3. Beschrijf de doeleinden

Beschrijf systematisch de doeleinden waarvoor je bedrijf gegevensverwerking toepast. Ook dien je het gerechtvaardigd belang hierin op te nemen.

4. Beoordeel de noodzaak van de verwerkingen

Neem de beoordeling van de noodzaak en proportionaliteit van de verwerkingen op in de DPIA. Dit wil zeggen dat je beschrijft of het verwerken van persoonsgegevens op de manier zoals je dat doet noodzakelijk is. Stel jezelf hierbij de vraag of de mogelijke privacy schending in verhouding is tot het doel waarom je de gegevens verzamelt.

5. Beschrijf je preventiemaatregelen

Stel als bedrijf regels op om de veiligheidsrisico’s tot een minimum te beperken. Zorg dat je hierbij de risico’s in kaart brengt en daaraan bijbehorende maatregelen koppelt om de risico’s te voorkomen.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Meer weten over ISO 27001?

Download de handige informatiegids!

  • Alles over informatiebeveiliging
  • Stap voor stap inzicht
  • Antwoord op al je vragen

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields