Vanuit de AVG zijn organisaties in sommige gevallen verplicht een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een activiteit in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.
Een DPIA is verplicht is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.
Dit moet de als verwerkingsverantwoordelijke zelf bepalen. Is er waarschijnlijk een hoog privacyrisico? Dan mag je niet beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd.
De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:
ACA kan je ondersteunen met het uitvoeren van een DPIA. Wij hebben templates en tooling en de kennis om dit op de juiste manier voor jouw organisatie uit te voeren.