Uitleg over de DPIA
Persoonsgegevens worden op vele manieren en op vele plekken verwerkt. Onze maatschappij is daar voor een belangrijk deel van afhankelijk. Echter, het verwerken daarvan neemt ook risico's voor de betrokkenen met zich mee. Een goede manier om deze risico's inzichtelijk te maken, is door het uitvoeren van een Data Protection Impact Assessment (DPIA).
Een DPIA is een aanpak waarin door middel van kritische vragen wordt nagegaan of u op een goede en respectvolle wijze omgaat met de gegevens van de betrokkenen. Een DPIA helpt u bij het leren inrichten van verwerkingen volgens het privacy by design principe. Het resultaat van privacy by design is een verwerking waarbij de inbreuk op de privacy van de betrokkenen minimaal is en de rechten van de betrokkenen worden nageleefd. Dit levert u tegelijkertijd een voordeel op. Iedere overbodige verwerking die geschrapt wordt, scheelt namelijk tijd, geld en moeite voor de bescherming van die gegevens. En gegevens die u niet in huis heeft, kunt u ook niet lekken.
Of het resultaat van een DPIA nuttig zal zijn, hangt vooral af van hoe u deze hanteert. Gebruik een DPIA niet om enkel en alleen uw (geplande) verwerking te rechtvaardigen of om de risico's vanuit de AVG voor uw organisatie in kaart te brengen. Een DPIA is namelijk in de eerste plaats bedoeld ter bescherming van de privacy van de betrokkenen. Hanteer deze daarom ook als zodanig.
Wij realiseren ons dat ook andere DPIA modellen beschikbaar zijn. De meest bekende is het Model Gegevensbeschermingseffectbeoordeling Rijksdienst. Echter, waar dat model geschikt is voor organisaties die beschikken over de benodigde juridische kennis, richt dit DPIA model zich op organisaties die daar niet over beschikken. Dit model is daarom anders van opzet; meer sturend. Bij het opstellen van dit model hebben we zorgvuldig gekeken naar wat artikel 35 en 36 van de AVG daarover zegt.
Voordat u begint
Deze Data Protection Impact Assessment (DPIA) is bedoeld voor gebruik bij de Algemene Verordening Gegevensbescherming (AVG). Het is daarom zeer raadzaam om de AVG bij de hand te hebben tijdens de uitvoering van deze DPIA. U kunt de AVG als PDF downloaden of online bekijken op www.privacy-regulation.eu.
Om de vragen makkelijk leesbaar te maken, wordt u in deze DPIA direct aangesproken. Uiteraard wordt u daarbij niet persoonlijk bedoeld, maar de organisatie waarvoor u de DPIA uitvoert.
De scope van de DPIA is één specifieke verwerking. Voer voor andere verwerkingen een aparte DPIA uit. Beantwoord de vragen zo volledig mogelijk. Geef dus naast een gevraagde 'ja' of 'nee' ook een beargumentatie voor uw antwoord.
Wat kunt u verwachten?
De DPIA bestaat uit een vragenlijst, die opgedeeld is in categorieën. Bij de meeste categorieën heeft u de mogelijkheid om de vragen in die categorie te doorlopen of over te slaan. In dat laatste geval beantwoord u alleen een laatste vraag uit dat hoofdstuk waarin een eindoordeel wordt gevraagd over het onderwerp van die betreffende categorie. Het resultaat van de DPIA is een overzicht van de ingevulde vragen, waarbij de antwoorden die aandacht verdienen gemarkeerd zijn. Met deze punten kunt u aan de slag om de gegevensbescherming binnen uw organisatie te verbeteren.
Disclaimer
- Deze DPIA heeft een bepaalde verwerking als scope. De uitkomst van deze DPIA zegt niets over compliancy of de mate waaraan u in totaliteit aan de AVG voldoet. Deze DPIA geeft alleen invulling aan artikel 35.
- De DPIA geeft u inzicht in risico's. Het is geen beoordeling over de vraag of de verwerking wenselijk is of dat de verwerking is toegestaan. Als u na de uitvoering van deze DPIA van mening bent dat de verwerking geen risico's oplevert, zegt dat niet dat de verwerking een goed idee is onder de AVG.
- Deze DPIA is een hulpmiddel en geen wettekst. De auteurs van deze DPIA beogen u te helpen bij de beoordeling van risico's, niet om de (mede)verantwoordelijkheid te dragen voor uw verwerkingen. Zij zijn dus niet aansprakelijk voor enig gevolg dat voortvloeit uit het gebruik van deze DPIA