DPIA (Data Protection Impact Assessment)

Een DPIA is een instrument om de privacyrisico’s van een gegevensverwerking in kaart te brengen om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Een DPIA geeft dus inzicht in

• de risico’s van de verwerking voor de betrokkenen

• de maatregelen die moeten worden uitgevoerd om de risico’s te dekken

Soms is een DPIA verplicht

Wanneer een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, kan een DPIA verplicht zijn. Dit laatste is bijna altijd het geval indien een organisatie met meerdere medewerkers (grote schaal) gestructureerd of systematisch (volgens beleid) cliëntgegevens (bijzondere persoonsgegevens) invoert in TriasWeb. De verwerkingsverantwoordelijke bepaalt of een DPIA wordt uitgevoerd.

Met wie voer je een DPIA uit?

• De verwerkingsverantwoordelijke (verantwoordelijk voor uitvoering)

• De verwerker (informatieverstrekking over dienst of systeem)

• De Functionaris Gegevensbescherming van verwerkingsverantwoordelijke (moet advies geven bij uitvoering)

Hoe ziet een DPIA eruit?

Open

(bron afbeelding: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp248_rev.01_nl.pdf)

Uitvoering DPIA

Het ICT-Institute heeft Triaspect toestemming gegeven hun DPIA-template aan te bieden als leidraad voor het uitvoeren van een DPIA. Het document is hier te downloaden: Template-DPIA-gegevensbeschermingseffectbeoordeling versie 1.1 (www.softwarezaken.nl)

Onze FG helpt u graag bij het uitvoeren van bovenstaande of uw eigen DPIA.