'Bouwen op een stevig fundament
geeft vertrouwen in de toekomst'

Vanuit de AVG zijn organisaties in sommige gevallen verplicht een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een activiteit in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Verplichte DPIA

Een DPIA is verplicht is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt.

Dit moet de als verwerkingsverantwoordelijke zelf bepalen. Is er waarschijnlijk een hoog privacyrisico? Dan mag je niet beginnen met het verwerken van gegevens voordat je een DPIA hebt uitgevoerd.

Risico bepalen

De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie:

• systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
• op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
• op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Hulp nodig?

ACA kan je ondersteunen met het uitvoeren van een DPIA. Wij hebben templates en tooling en de kennis om dit op de juiste manier voor jouw organisatie uit te voeren.