Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling is noodzakelijk indien de gegevensverwerking een hoog risico voor de vrijheid en rechten van natuurlijke personen zou kunnen opleveren.
DPIA - Data Protection Impact Assessment
Binnen AVG moeten controllers (= verantwoordelijke persoon) zorgen voor de bescherming van de persoonlijke gegevens die ze verwerken. Als een verwerkingsactiviteit een hoog risico op kan leveren voor de persoonlijke rechten en vrijheden van de natuurlijke personen, dan moet u een risicobeoordeling doen voor deze verwerkingsactiviteit.
Binnen deze DPIA moet er een risicoanalyse worden uitgevoerd met betrekking tot de waarschijnlijkheid en impact van een datalek. U zult maatregelen moeten nemen om de waarschijnlijkheid en impact te verminderen, zodat het risico van de verwerkingsactiviteiten wordt geminimaliseerd. Als er hierna nog steeds een hoog risico bestaat, dan moet u de toezichthoudende autoriteiten op de hoogte brengen.
De Groep Gegevensbescherming artikel 29 heeft richtlijnen gepubliceerd voor het doen van een DPIA en is niet noodzakelijk voor alle verwerkingsactiviteiten. Een DPIA kan ook meerdere gelijksoortige operaties tegelijkertijd beoordelen.
In dezelfde verklaring (2017, p. 9-11) heeft de groep ook negen criteria voor verwerkingsactiviteiten genoemd die kunnen leiden tot een beoordeling - als aan ten minste twee criteria wordt voldaan:
- Evaluatie of scoren
- Geautomatiseerde besluitvorming met legaal of vergelijkbaar significant effect
- Systematische monitoring
- Gevoelige gegevens of gegevens van zeer persoonlijke aard
- Gegevens op grote schaal verwerkt
- Combineren of combineren van datasets
- Gegevens over kwetsbare datasubjecten
- Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen
- op zichzelf verwerken "verhindert dat betrokkenen een recht uitoefenen of een dienst of een contract gebruiken"
Overweeg dat de DPIA moet worden uitgevoerd vóór de eerste start van de gegevensverwerkingsactiviteit of -toepassing. DPIA is een handige manier om het risico en de impact van uw gegevensverwerking te bepalen en of uw activiteiten AVG-compatibel zijn (Artikel 35 AVG).