Wat is een DPIA?

Afvinken check invullen adviesjurist

Een DPIA, voluit: een data protection impact assessment. Of in het Nederlands: gegevensbeschermingseffectbeoordeling. Dat is nog eens een mooi woord voor galgje. Maar dat niet alleen! Het is een instrument uit de privacywet om vooraf privacyrisico’s in kaart te brengen.

Het uitvoeren van een DPIA is verplicht

Als je een risicovolle gegevensverwerking gaat doen, is een DPIA verplicht. Wanneer gegevensverwerking risicovol is, verschilt nogal eens. Om die reden is er een overzicht gemaakt van verwerkingen waarvoor een DPIA altijd verplicht is.

Hieronder vind je een aantal onderdelen uit die lijst:

  • Cameratoezicht in openbare ruimten.
  • Het doen van heimelijk onderzoek, bijvoorbeeld naar de overtreding van auteursrechten.
  • Het monitoren of controleren van werknemers, bij een vermoeden van diefstal of fraude.
  • Het bijhouden van een zwarte lijst, bijvoorbeeld van wanbetalers.
  • Het doen van DNA-analyses.
  • Het grootschalig verwerken van gezondheidsgegevens, bijvoorbeeld het uitwisselen ervan.
  • Het delen van gegevens tussen samenwerkingsverbanden.
  • Profilering op grote schaal.
  • En nog een aantal meer grootschalige verwerkingsvormen.

Een DPIA uitvoeren kan op allerlei manieren

Er zijn vragenlijsten beschikbaar die invulling geven aan de DPIA. En er zijn online tools ontwikkeld die je door een aantal stappen heen leiden. Je kunt ook een uitgebreid (juridisch) adviesrapport op laten stellen door een privacy professional. De manier waarop je een impact assessment doet maakt niet uit. Maar jouw manier moet wel voldoen aan de minimumeisen uit de wet.
 
Het is in elk geval aan te bevelen om de DPIA niet enkel te zien als administratieve plicht. Gebruik het liever als een methode om jouw bedrijfsplannen goed te analyseren. Niet alleen vanuit privacyperspectief, maar ook uit commercieel perspectief.
 

Een voorbeeld:

Stel dat je jouw bedrijfseigendommen beter wilt beschermen. Je besluit daarom de beveiliging aan te scherpen. Je neemt een pakket af bij een dienstverlener. In dat pakket krijg je een nieuw alarmsysteem, camerabeveiliging in het hele pand en een beveiliger op afroep.
 
Voor het gebruik van camerabeveiliging op de werkvloer is een DPIA verplicht. Daarom besluit je van de nood een deugd te maken. Je neemt het hele beveiligingspakket onder de loep.
 
Bij de uitvoering van de DPIA zie je dat 5 van de 20 camera’s continu direct gericht zijn op de werknemers. Dat betekent een grote inbreuk op de privacy van de werknemers. Maar eigenlijk heb je die 5 camera’s ook helemaal niet nodig. Je wilde immers in het algemeen je bedrijfspand en bedrijfseigendommen beschermen. Daarvoor is het niet nodig om continu de werknemers in het oog te houden.
 
Deze DPIA heeft je dus geholpen om in te zien dat je de kosten van de bedrijfsbeveiliging kunt reduceren. En dat simpelweg door 5 camera’s niet te laten installeren.
 

Zorg daarom dat jouw DPIA-methode voldoet aan de eisen

En bovenal: zet de methode praktisch in om de bedrijfsvoering en kostbare plannen te toetsen. Of neem het mee in bestaande methoden voor het indienen van een business case.

Vragen? AdviesJurist helpt je graag op weg met praktisch juridisch advies waar je direct in de praktijk me aan de slag kunt!
Demi Grandiek Adviesjurist en Privacy Professional

AdviesJurist
&
Privacy Professional

Demi Grandiek

Het overbrengen van kennis op een manier die past bij de organisatie, zorgt ervoor dat organisaties zelf tot inzichten komen.

UITGELICHTE BLOGPOSTS
ADVIESPAKKETTEN

Kies een van de adviespakketten

Klik hier
WAT ZEGGEN KLANTEN?

Duidelijke voorwaarden en afspraken met klanten vind ik belangrijk. Dat is gelukt met de laagdrempelige algemene voorwaarden van AdviesJurist. Zo weet ik waar ik aan toe ben en mijn klanten ook.

logo rootjes hoveniers

Martijn Rootjes