Data protection impact assessment

Een data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en te beoordelen. Door het uitvoeren van een DPIA kunnen organisaties proactief anticiperen op mogelijke risico's en zorgen voor een effectieve bescherming van de rechten en vrijheden van natuurlijke personen.^[1]^[2] Een DPIA wordt ook wel een 'gegevensbeschermingseffectbeoordeling' (GEB) genoemd.

Organisaties moeten een DPIA uitvoeren wanneer een gegevensverwerking waarschijnlijk "een hoog risico" inhoudt voor de rechten en vrijheden van natuurlijke personen.^[3]

De verplichting om een DPIA uit te voeren is vastgelegd in verschillende wettelijke kaders, waaronder:

Algemene verordening gegevensbescherming (AVG);
Wet politiegegevens (Wpg);
Wet justitiële en strafvorderlijke gegevens (Wjsg).

In richtsnoeren voor gegevensbeschermingseffectbeoordelingen zijn negen criteria vermeld die in aanmerking moeten worden genomen bij de beoordeling of een gegevensbeschermingseffectbeoordeling (DPIA) moet worden uitgevoerd: ^[4]

Evaluatie of scoretoekenning
Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
Stelselmatige monitoring
Gevoelige gegevens of gegevens van zeer persoonlijke aard
Op grote schaal verwerkte gegevens
Matching of samenvoeging van datasets
Gegevens met betrekking tot kwetsbare betrokkenen
Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst";

Een PIA (privacy-effect-beoordeling) is een bredere beoordeling van privacy-impact, terwijl een DPIA specifiek gericht is op het beoordelen van het risico met betrekking tot de verwerking van persoonsgegevens, vaak in overeenstemming met wettelijke vereisten. Beide instrumenten zijn bedoeld om ervoor te zorgen dat organisaties de privacy van individuen respecteren en beschermen.

Zie ook bewerken

Algemene verordening gegevensbescherming (AVG)
Privacy Impact Assessment (PIA)

Bronnen, noten en/of referenties

↑ Data protection impact assessment bij autoriteit Persoonsgegevens
↑ (en) DPIA bij GDPR.eu
↑ DPIA (data protection impact assessment) uitvoeren bij Ondernemersplein KvK
↑ Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens. bij Overheid.nl

[1] Data protection impact assessment bij autoriteit Persoonsgegevens

[2] (en) DPIA bij GDPR.eu

[3] DPIA (data protection impact assessment) uitvoeren bij Ondernemersplein KvK

[4] Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens. bij Overheid.nl

[1]

[2]

[3]

[4]