DPIA — Data Protection Impact Assessment: wanneer wel, wanneer overslaan?
Een DPIA klinkt als iets voor grote enterprises. Voor een MKB is hij zelden nodig, maar wél bij een paar specifieke situaties. Hier de beslisboom.
Een DPIA is een gestructureerde risico-analyse bij verwerkingen met hoog privacy-risico. De AP heeft een lijst van situaties waar een DPIA verplicht is.
Wanneer verplicht?
- Grootschalige verwerking van "bijzondere categorieën" (medische data, etnische afkomst, religie).
- Stelselmatige observatie van openbaar toegankelijke plaats (cameratoezicht centrum-lokatie).
- Profilering met rechtsgevolgen voor betrokkenen (automatische besluitvorming).
- Biometrie voor identificatie (vingerafdruk-lock, gezichtsherkenning).
- Grootschalige locatietracking.
- Verbindingen tussen persoonsgegevens uit verschillende bronnen (data-matching).
Wanneer waarschijnlijk niet?
- Standaard HR-administratie.
- Standaard klant-CRM.
- Facturatie.
- Nieuwsbrief met expliciete consent.
Hoe voer je een DPIA uit?
- Beschrijving van de verwerking: waarom, hoe, welke data.
- Beoordeling noodzakelijkheid en proportionaliteit.
- Risico-identificatie voor betrokkenen.
- Maatregelen die het risico beperken.
- Restrisico en beoordeling.
Met wie overleg je?
- FG indien aanwezig.
- Betrokkenen (werknemersvertegenwoordiging bij HR-verwerkingen).
- Directie tekent af.
Vooroverleg AP
Bij significant restrisico na DPIA: verplicht de AP te raadplegen VOOR je met de verwerking begint. Typisch 6-10 weken doorlooptijd.
Zie ook: AVG-pillar, risicomanagement.
Volledige gids: AVG-compliance voor MKB: het praktische minimum
Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →