Waar moet een Data Protecting Impact Assessment (DPIA) aan voldoen? Hoe kom je er achter komt of je een DPIA uit moet voeren?
De Data Protection Impact Asessment (DPIA) is in het Nederlands een Gegevensbeschermingseffectbeoordeling. Dit is meteen de reden waarom meestal de Engelse term als afkorting wordt gebruikt: de DPIA. In de voertaal kom je dit begrip ook wel eens tegen als PIA.
De AVG geeft een vrij open norm wanneer je een DPIA uit moet voeren. Als een verwerking een hoog risico inhoudt oor de rechten en vrijheden van natuurlijke personen is een DPIA verplicht. Bepalend daarvoor zo zegt de AVG zijn:
- het gebruik van nieuwe technologieën
- de aard van de verwerking
- de context van de verwerking
- de doeleinden van de verwerking
De Autoriteit Persoonsgegevens heeft een lijst opgesteld wanneer een DPIA in ieder geval verplicht is. Maar ook voor verwerkingen die niet op deze lijst staan, kan het soms raadzaam zijn een DPIA uit te (laten) voeren.
Bij het uitvoeren van de DPIA wordt het advies van de Functionaris Gegevensbescherming (FG) ingewonnen zo staat in de AVG. In kleinere organisaties zal het de FG zelf zijn die in samenwerking met betrokken andere functionarissen zelf de DPIA maakt. Hoe het ook zij: er is uitdrukkelijk een rol voor de FG weg gelegd.
Waar moet een DPIA aan voldoen? In dit filmpje laten we je zien waar een DPIA aan moet voldoen en hoe er achter komt voor welke verwerkingen een DPIA verplicht is.