Gebruikt u persoonsgegevens van klanten en is er een hoog privacyrisico? Dan moet u een DPIA uitvoeren. Lees hier meer.
Gebruikt, verzamelt of deelt u persoonsgegevens van uw klanten? En is hierbij de kans op een hoog privacyrisico? Dan moet u volgens de Algemene Verordening Gegevensbescherming (AVG) eerst een data protection impact assessment (DPIA) uitvoeren.
Wat is een DPIA?
Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacyrisico's ontstaan als u persoonsgegevens gebruikt. Een data protection impact assessment laat ook zien waar u maatregelen moet nemen om de risico’s te verkleinen of te voorkomen. U doet een DPIA voordat u begint met het bewaren, gebruiken en delen van persoonsgegevens.
Is de uitkomst van de DPIA dat er een hoog risico is? En lukt het u niet om dat risico te verkleinen of te voorkomen? Dan moet u eerst overleggen met de toezichthouder op de privacywet in Nederland, de Autoriteit Persoonsgegevens (AP).
Is een DPIA verplicht?
Een DPIA is alleen verplicht als u persoonsgegevens verwerkt waarbij een grote kans bestaat op een hoog privacyrisico voor de mensen van wie die persoonsgegevens zijn. U moet een data protection impact assessment doen als uw verwerking van persoonsgegevens voldoet aan 2 of meer van de criteria van de Europese privacytoezichthouders. Bijvoorbeeld als u de gegevens van kinderen gebruikt, of gegevens gebruikt om mensen te beoordelen.
De Autoriteit Persoonsgegevens heeft een lijst met situaties waarin een DPIA verplicht is.
Eisen voor een DPIA
U mag zelf bepalen hoe u een data protection impact assessment uitvoert, maar de DPIA moet in ieder geval aan de eisen van de Autoriteit Persoonsgegevens voldoen. Zo geeft u aan welke gegevens u gaat gebruiken en het doel. En u maakt een inschatting van de privacyrisico’s en hoe u die tegengaat.
Opnieuw een DPIA uitvoeren
Wanneer u de persoonsgegevens bijvoorbeeld voor een ander doel gaat gebruiken of wanneer u een nieuwe technologie gaat gebruiken, moet u bekijken of u opnieuw een DPIA moet uitvoeren.
Functionaris voor de gegevensbescherming (FG)
In sommige situaties moet u een functionaris voor de gegevensbescherming (FG) hebben. De functionaris voor de gegevensbescherming houdt in de gaten dat uw organisatie zich houdt aan de AVG. U moet de FG aanmelden bij de Autoriteit Persoonsgegevens. Overheidsinstanties en publieke organisaties moeten altijd een FG hebben, behalve rechtbanken.
