Nieuws
DPIA
Gepubliceerd op 8 mrt. 2018
De Gegevensbeschermingseffectbeoordeling (DPIA)
Met de komst van de Algemene Verordening Gegevensbescherming is de Nederlandse taal een woord rijker: ‘de Gegevensbeschermingseffectbeoordeling’. Het woord is geschikt voor het spelletje Galgje, maar wat minder voor Scrabble en het is ook nog niet ingeburgerd in het dagelijkse taalgebruik. De Gegevensbeschermingseffectbeoordeling wordt vaak aangeduid als DPIA (de afkorting van Data Protection Impact Assessment), en in dit artikel zal die afkorting ook worden gebruikt. In dit artikel zal worden uitgelegd waarom de DPIA is ingevoerd en wanneer de DPIA moet worden uitgevoerd. Ook zal kort worden stilgestaan bij de rol van de Functionaris Gegevensbescherming (hierna: ‘de FG’) bij de DPIA en bij de uitvoering van de DPIA.
Waarom?
Eén van de verplichtingen uit de AVG is het beheren van de risico’s die verbonden zijn met de verwerking van persoonsgegevens. Als een DPIA wordt uitgevoerd, worden de risico’s in kaart gebracht. Dat wordt gedaan vóórdat een aanvang wordt gemaakt met de verwerking van de persoonsgegevens. Door de risico’s vooraf in kaart te brengen, worden de risico’s mogelijk beperkt en kunnen er voor aanvang van de gegevensverwerking extra maatregelen worden genomen.Wanneer?
Wanneer moet een organisatie een DPIA uitvoeren? Uit artikel 35 van de AVG blijkt het antwoord. De DPIA moet worden uitgevoerd als een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene. Uit de wet volgt dat er in ieder geval sprake is van een hoog risico als:- Bijzondere persoonsgegevens op grote schaal worden verwerkt;
- Er stelselmatige en grootschalige monitoring plaatsvindt in openbaar toegankelijke ruimten; en
- als er systematisch en uitgebreid persoonlijke aspecten van natuurlijke personen worden geëvalueerd.
De FG
Als er eenmaal geconcludeerd is dat de DPIA moet worden uitgevoerd, moet de FG (waarover we in de vorige nieuwsbrief schreven) worden ingeschakeld. Uit artikel 39 van de AVG blijkt dat een FG desgevraagd advies mag verstrekken met betrekking tot de DPIA en dat de FG moet toezien op de uitvoering van de DPIA.De uitvoering
Vervolgens moet de DPIA worden uitgevoerd. De DPIA bevat ten minste:- een beschrijving van de beoogde verwerkingen en de doelen die met de verwerkingen worden nagestreefd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen;
- een beoordeling van de risico’s voor de betrokkenen;
- de maatregelen die worden genomen om risico’s aan te pakken.
Tot slot
De DPIA is één van de nieuwe verplichtingen onder de AVG. Een verplichting die niet per se negatief hoeft te zijn. Door de DPIA uit te voeren, kunt u al vroegtijdig risico’s in kaart brengen. U kunt op die manier al in een vroeg stadium aanpassingen verrichten en de privacy binnen uw organisatie verbeteren. Neem voor meer informatie contact op met een van onze privacy specialisten of meld u hier aan voor de subsessie hierover op het congres Business Ethics & Legal. Lees ook onze artikelen over de betekenis van de AVG/GDPR voor werkgevers, het verwerkingsregister en de rol van de OR bij de AVG/GDPR.Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.