Menu

Wat is een DPIA

Een Data Protection Impact Assessment (DPIA) is een instrument om (voorafgaand aan de verwerking van persoonsgegevens) privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat een organisatie passende maatregelen kan nemen om de privacyrisico’s te verkleinen.

Ik wil meer weten!

DPIA en de AVG

Een DPIA, ook wel gegevensbeschermingseffectbeoordeling, is tevens een belangrijk instrument voor zorgorganisaties om aan te kunnen tonen dat zij voldoen aan de verplichtingen van de Algemene Verordening Gegevensbescherming (AVG). Het is daarbij van belang dat bij het uitvoeren van een DPIA de gevolgde methodiek en de uitkomsten worden vastgelegd in een document. Daarmee kunnen organisaties aantonen dat ze een deugdelijke DPIA hebben uitgevoerd, als bijvoorbeeld de Autoriteit Persoonsgegevens (AP) daar om vraagt.

In de AVG is de DPIA opgenomen in artikel 35 ‘Gegevensbeschermingseffectbeoordeling’. Dergelijke privacy risicoanalyse zijn niet nieuw. Ook onder de voorganger van de AVG, de Wet bescherming persoonsgegevens (Wbp), werden door organisaties die bewust met privacy bezig waren risicoanalyse uitgevoerd op hun (belangrijke) processen.

Wat is de functie van een DPIA?

Een zorgorganisatie moet inzicht hebben in de (privacy)risico’s van processen waarin data worden verwerkt. Dit is noodzakelijk om de (privacy)belangen van betrokkenen (cliënten, patiënten, leerlingen, medewerkers etc.) te kunnen beschermen. Maar ook om de eigen belangen te waarborgen. Denk hierbij aan informatiediefstal, reputatieschade, of aantasting van relaties met partners door privacy inbreuken. Dit inzicht wordt alleen verkregen door een inventarisatie en risicoanalyse van die processen. Dát is de functie van een DPIA. Daarmee verkrijg je inzicht en grip op de privacy risico’s van betrokkenen en de organisatie in die processen.

DPIA verplicht bij een hoog risicoverwerking

Onder de AVG, kunnen zorgorganisaties verplicht zijn om een DPIA uit te voeren. Bij processen met hoge privacy risico’s voor betrokkenen is het uitvoeren van een DPIA geen keuze maar een wettelijke verplichting. Niet nakoming van de DPIA-verplichting kan leiden tot een boete van de AP. In de boete beleidsregels van de AP is de basisboete voor het niet uitvoeren van een DPIA (terwijl deze wel verplicht is) € 310.000,-.

Maak een afspraak

Voetnoten

  1. Zie ook de richtsnoeren van de WP29 WP 248 van 4 april 2017 (en laatstelijk gewijzigd en vastgesteld op 4 oktober 2017), pagina 4: “Een DPIA is een proces dat is bedoeld om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico’s in te schatten en maatregelen te bepalen om ze aan te pakken. DPIA zijn belangrijke verantwoordingsinstrumenten omdat ze verwerkingsverantwoordelijken niet alleen helpen om aan de eisen van de AVG te voldoen, maar ook om aan te tonen dat passende maatregelen zijn genomen teneinde ervoor te zorgen dat de verordening wordt nageleefd (zie ook artikel 24 AVG)”.
  2. Een belangrijk onderscheid tussen de AVG en de vervallen Wet bescherming persoonsgegevens (Wbp), is de documentatieplicht ofwel de aantoonbaarheidsverplichting: zie artikel 5 lid 2 en artikel 24 AVG. Dit betreft de ‘compliance’ omtrent de verwerking van persoonsgegevens. Daarnaast geldt de verplichte PDCA-cyclus (Plan, Do, Check, Act): organisaties zullen continue moeten kunnen aantonen dat ze voldoen aan de verplichtingen van de AVG. Het is dus geen eenmalige implementatie.
  3. In overweging 84 van de AVG staat vermeld dat de verwerkingsverantwoordelijke of verwerker verantwoordelijk is voor het verrichten van een DPIA om met name de oorsprong, de aard, het specifieke karakter en de ernst van de risico’s te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen. Op deze wijze kan worden aangetoond dat bij de verwerking van persoonsgegevens de AVG wordt nageleefd.
Geverifieerd door MonsterInsights