Veelgestelde vragen over DPIA

Een DPIA (Data Protection Impact Assessment) is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen, zodat organisaties maatregelen kunnen nemen om deze risico's te verkleinen. Het uitvoeren van een DPIA is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert.

U moet een DPIA uitvoeren als uw gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dit is bijvoorbeeld het geval bij: systematische en uitgebreide beoordeling van persoonlijke aspecten van mensen op basis van geautomatiseerde verwerking (zoals profiling), grote schaal verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens, en systematische monitoring van openbaar toegankelijke ruimten op grote schaal.

Restrisico's zijn de overgebleven risico's die blijven bestaan nadat alle voorzorgsmaatregelen zijn genomen. Bij het uitvoeren van een DPIA moet u deze restrisico's identificeren en beoordelen, en indien nodig aanvullende maatregelen treffen om ze te minimaliseren.

Nee, het uitvoeren van een DPIA is een continu proces. U moet regelmatig evalueren of uw gegevensverwerking is gewijzigd en of de DPIA moet worden bijgewerkt.

Als uw organisatie een FG heeft aangesteld, bent u verplicht deze om advies te vragen bij het uitvoeren van een DPIA. De FG adviseert over de noodzaak van de DPIA, de onderzoeksmethode, de te nemen waarborgen en of de uitkomsten in overeenstemming zijn met de wet.

Nee, u hoeft niet voor elke gegevensverwerking een DPIA uit te voeren. Alleen wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, is een DPIA verplicht. U kunt eerst een QuickRisk (QRA) uitvoeren om te bepalen of een volledige DPIA nodig is.

Een QuickRisk (QRA) is een eerste screening om te bepalen of een volledige DPIA nodig is. Het is een kortere beoordeling die helpt om te identificeren of er sprake is van een hoog risico verwerking. Als de QuickRisk (QRA) uitwijst dat er inderdaad een hoog risico is, moet u een volledige DPIA uitvoeren.

De duur van een DPIA hangt af van de complexiteit van de gegevensverwerking. Een standaard DPIA kan binnen enkele dagen worden afgerond, terwijl complexere verwerkingen weken of zelfs maanden kunnen duren. MijnDPIA versnelt het proces voor ervaren DPIA-makers.

Ja, u moet een DPIA regelmatig evalueren en bijwerken wanneer er wijzigingen zijn in de gegevensverwerking, nieuwe risico's zijn geïdentificeerd, of wanneer de maatregelen niet meer effectief zijn. Ook moet u de DPIA herzien als er nieuwe wet- of regelgeving van kracht wordt.

Een DPIA moet minimaal bevatten: een systematische beschrijving van de gegevensverwerking, een beoordeling van de noodzaak en proportionaliteit, een risicobeoordeling voor de rechten en vrijheden van betrokkenen, en de maatregelen die worden genomen om de risico's te adresseren en te minimaliseren.

Nee, u bent niet verplicht om de DPIA te publiceren. Echter, u moet de DPIA wel kunnen overleggen aan de Autoriteit Persoonsgegevens (AP) indien daarom wordt gevraagd. Soms kan het transparant zijn om een samenvatting te publiceren.

Als u geen DPIA uitvoert wanneer dat verplicht is, kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Bovendien loopt u het risico dat u niet voldoet aan de AVG en mogelijk aansprakelijk bent voor eventuele schade die ontstaat door onvoldoende bescherming van persoonsgegevens.

U kunt een bestaande DPIA als basis gebruiken voor een vergelijkbare verwerking, maar u moet altijd controleren of de DPIA nog actueel is en of deze volledig van toepassing is op de nieuwe verwerking. Elke verwerking is uniek en kan andere risico's met zich meebrengen.

MijnDPIA biedt kant-en-klare modellen, begeleidende vragen en duidelijke rapportages. Zo doorloopt u het gestructureerde DPIA-proces en kunt u aantonen welke maatregelen zijn genomen. Het platform ondersteunt ervaren professionals bij het systematisch uitvoeren van DPIA's en zorgt voor volledige dekking van alle vereisten.

Ja, met MijnDPIA kunt u samenwerken met collega's, de Functionaris Gegevensbescherming en andere betrokkenen. U kunt rollen toewijzen en taken verdelen, zodat iedereen kan bijdragen aan het DPIA-proces.

In MijnDPIA kunt u op elk moment uw DPIA-rapportage exporteren naar verschillende formaten, zoals PDF of Word. Dit maakt het mogelijk om de DPIA te delen met betrokkenen of te archiveren.

Bijzondere persoonsgegevens zijn gegevens over ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gezondheidsgegevens, of gegevens over iemands seksuele leven of seksuele geaardheid. De verwerking van deze gegevens brengt vaak een hoger risico met zich mee.

Ja, ook voor bestaande verwerkingen moet u een DPIA uitvoeren als deze waarschijnlijk een hoog risico met zich meebrengt. Het is belangrijk om ook bestaande verwerkingen te evalueren en waar nodig te verbeteren.

Een verwerking heeft waarschijnlijk een hoog risico als deze bijvoorbeeld: systematisch en uitgebreid persoonlijke aspecten evalueert, grote schaal bijzondere persoonsgegevens verwerkt, systematisch openbaar toegankelijke ruimten monitort, of nieuwe technologieën gebruikt die risico's kunnen opleveren. De Autoriteit Persoonsgegevens heeft richtlijnen gepubliceerd die u hierbij ondersteunen.

Ja. Via het helpcenter vindt u handleidingen, veelgestelde vragen en kunt u contact opnemen met ons team voor aanvullende begeleiding. Ons team staat klaar om u te helpen bij het uitvoeren van uw DPIA.