Data Protection Impact Assessment

De AVG wetgeving kent de "Gegevens­beschermingseffectbeoordeling". Middels een Data Protection Impact Assessment (DPIA) wordt beoordeeld welke persoonsgegevens aanwezig zijn en wat de bijbehorende risico's zijn. Tegelijkertijd kan in een DPIA worden nagegaan hoe deze risico's dat de verwerking van persoonsgegevens met zich mee brengt, kan worden ingeperkt.

Wanneer een DPIA?

Een DPIA is verplicht in het geval van verwerking van persoonsgegevens met hoog privacy­risico voor de betrokkenen. Dit is van toepassing als een organisatie:

• systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
• op grote schaal bijzondere persoonsgegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

De website van de Autoriteit Persoonsgegevens geeft meer criteria prijs voor de boordeling van de noodzaak van een DPIA als ook opstellen van een DPA.

Opstellen van een Data Protection Impact Assessment

Het voldende dient in een DPIA op zijn minst terug te komen:

• beschrijving van de persoonsgegevens, doeleinden ervan en de gerechtvaardigde belangen;
• beoordeling van noodzaak en evenredigheid van verwerking van persoonsgegevens in verhouding tot de belangen;
• de beoogde maatregelen om het risico in te perken.

DPIA: risico's inperken

Voor gevoelige data zoals een BSN nummer, dat benodigd is om data met bijvoorbeeld verzekeringsmaatschappijen of uitzendbureau's te kunnen synchroniseren, zou bijvoorbeeld gekozen kunnen worden voor alternatieve identificatiemethoden. Is een BSN toch benodugd? Kies dan voor gepaste technische maatregelen (pseudo­nimiseren) als ook organisatorische maatregelen (alleen inzage door de juiste personen).