Een Data Protection Impact Assessment (DPIA) is verplicht onder de Algemene verordening gegevensbescherming (AVG) wanneer gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Scholen, zorginstellingen, bedrijven en andere organisaties moeten hiermee risico’s voor betrokkenen in kaart brengen. Bij dit proces speelt de Functionaris Gegevensbescherming (FG) een belangrijke rol. In deze blog lees je wat een DPIA inhoudt, wanneer deze verplicht is en hoe de FG hierbij adviseert.
Wat is een DPIA?
Een DPIA analyseert privacyrisico’s bij gegevensverwerking. Het doel is om tijdig maatregelen te nemen en zo de rechten van betrokkenen te beschermen. De Autoriteit Persoonsgegevens (AP) beschrijft in haar richtlijnen drie situaties waarin een DPIA verplicht is:
- Geautomatiseerde verwerking van persoonlijke aspecten.
Bijvoorbeeld profilering of besluitvorming gebaseerd op algoritmes. - Op grote schaal verwerking van bijzondere persoonsgegevens.
Denk aan gegevens over gezondheid, etniciteit of strafrechtelijke zaken. - Systematische monitoring van mensen in openbare ruimtes.
Zoals cameratoezicht in winkels of op stations.
De AP heeft daarnaast een lijst opgesteld met verwerkingen waarvoor een DPIA verplicht is. Deze lijst is echter niet uitputtend.
De verantwoordelijkheid van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke moet samen met stakeholders beoordelen of een DPIA nodig is. Als dit het geval is, moet hij of zij de DPIA laten uitvoeren. De AVG schrijft ook voor dat de verwerkingsverantwoordelijke hierbij advies vraagt aan de Functionaris Gegevensbescherming (FG).
Belangrijke vragen die de FG kan beantwoorden zijn:
- Is een DPIA nodig?
- Welke onderzoeksmethode is geschikt?
- Moet een externe partij worden ingeschakeld?
- Welke waarborgen zijn nodig om risico’s te beperken?
- Voldoet het resultaat aan de AVG?
Door deze vragen te stellen, zorgt de verwerkingsverantwoordelijke dat het proces zorgvuldig verloopt.
Hoe ondersteunt de FG bij een DPIA?
De FG heeft een adviserende rol. Dat betekent dat de FG de verwerkingsverantwoordelijke helpt om:
- Privacyrisico’s te identificeren.
- De juiste maatregelen te nemen om risico’s te beperken.
- Te voldoen aan de wettelijke eisen van de AVG.
Het is van belang dat de verwerkingsverantwoordelijke het advies van de FG serieus neemt. Volgens de AVG moet de verwerkingsverantwoordelijke in het DPIA-rapport vermelden welk advies de FG heeft gegeven. Ook moet de organisatie documenteren wat zij met dat advies heeft gedaan.
DPIA publiceren
Je bent wettelijk niet verplicht om een DPIA te publiceren, maar het wordt wel aanbevolen. Dit draagt bij aan transparantie en versterkt het vertrouwen in jouw gegevensverwerkingen. Bovendien toon je hiermee verantwoording.
De gepubliceerde DPIA hoeft niet de volledige beoordeling te bevatten. Bepaalde informatie, zoals gegevens over IBP of concurrentiegevoelige details, wil je mogelijk niet openbaar maken. In dat geval volstaat een samenvatting met de belangrijkste resultaten.
Waarom is de FG belangrijk bij een DPIA?
De FG is een belangrijke privacy-expert van de organisatie. Dit maakt hem of haar onmisbaar bij het uitvoeren van een DPIA. De FG bewaakt niet alleen de privacyrechten van betrokkenen, maar zorgt er ook voor dat de organisatie voldoet aan de AVG. Dit verkleint het risico op boetes van de Autoriteit Persoonsgegevens en voorkomt reputatieschade.
Daarnaast biedt de FG onafhankelijk advies. Dit betekent dat de FG altijd objectief blijft, zelfs als dit advies niet aansluit bij de voorkeuren van het management.
Ben je p zoek naar een ervaren externe Functionaris Gegevensbescherming (FG)?
Kies voor een externe FG met veel ervaring.
- Direct inzetbaar
- Volledig onafhankelijk
- Specialist in afhandeling van privacyvraagstukken
🔎 Meer weten?
Wil je vrijblijvend advies over de beste FG-oplossing voor jouw organisatie?
Neem dan vrijblijvend contact met ons op. We helpen je graag!
