Je verwerkt persoonsgegevens en vraagt je af of je een DPIA moet uitvoeren. Of je hoort de term voor het eerst. In dit artikel lees je wat een DPIA is, wanneer het verplicht is en hoe je er een uitvoert.
Wat is een DPIA?
DPIA staat voor Data Protection Impact Assessment – in het Nederlands ook wel gegevensbeschermingseffectbeoordeling. Het is een verplichte risicoanalyse die je uitvoert voordat je start met een verwerking van persoonsgegevens die mogelijk een hoog privacyrisico oplevert.
Een DPIA breng je in kaart:
- Welke persoonsgegevens je verwerkt en waarom
- Welke risico's dit oplevert voor betrokkenen
- Welke maatregelen je neemt om die risico's te beperken
Een DPIA is verplicht vanuit de AVG en moet worden uitgevoerd vóór de verwerking start – niet achteraf.
Wanneer is een DPIA verplicht?
Niet elke verwerking vereist een DPIA. De verplichting geldt wanneer een verwerking waarschijnlijk een hoog risico oplevert. De AVG noemt een aantal situaties waarbij een DPIA sowieso verplicht is:
- Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, religie, etniciteit)
- Systematische en uitgebreide profilering van personen
- Grootschalige monitoring van openbare ruimten (bijv. cameratoezicht)
De Autoriteit Persoonsgegevens heeft daarnaast een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is in Nederland. Twijfel je of jouw verwerking hieronder valt? Dan is het veiliger om een DPIA uit te voeren.
Hoe voer je een DPIA uit?
Een DPIA volgt een vaste opbouw. Je doorloopt de volgende stappen:
- Beschrijf de verwerking – wat, waarom, hoe lang en wie heeft toegang
- Beoordeel de noodzaak – is de verwerking proportioneel en niet meer dan nodig
- Breng risico's in kaart – wat kan er misgaan en hoe groot is de kans
- Bepaal maatregelen – hoe beperk je de risico's tot een aanvaardbaar niveau
- Documenteer alles – de DPIA moet schriftelijk worden vastgelegd
Heeft je organisatie een Functionaris Gegevensbescherming (FG)? Dan moet die worden betrokken bij de DPIA. Bij hoog residueel risico moet je de Autoriteit Persoonsgegevens raadplegen voordat je start.
Wat zijn de gevolgen als je geen DPIA uitvoert?
Een ontbrekende DPIA is een overtreding van de AVG. De Autoriteit Persoonsgegevens kan hiervoor een boete opleggen van tot € 10 miljoen of 2% van de wereldwijde jaaromzet. Naast de boete loop je reputatieschade op als een hoog-risicoverwerking zonder DPIA aan het licht komt.
Een DPIA beschermt niet alleen betrokkenen – het helpt ook je organisatie om bewust en gestructureerd na te denken over privacyrisico's vóór een project live gaat.
Voordelen en nadelen van een DPIA
Voordelen:
- Dwingt je om risico's vroeg in kaart te brengen
- Verplichte documentatie maakt je aantoonbaar AVG-compliant
- Voorkomt dure aanpassingen achteraf
Nadelen:
Veelgestelde vragen
Wat betekent DPIA?
DPIA staat voor Data Protection Impact Assessment. Het is een verplichte risicoanalyse die je uitvoert vóór je start met een verwerking van persoonsgegevens die een hoog privacyrisico kan opleveren.
Wanneer is een DPIA verplicht?
Een DPIA is verplicht bij verwerkingen met een waarschijnlijk hoog risico voor betrokkenen. Denk aan grootschalige verwerking van bijzondere persoonsgegevens, systematische profilering of uitgebreid cameratoezicht.
Wie mag een DPIA uitvoeren?
De verantwoordelijke organisatie voert de DPIA uit. Heeft je organisatie een Functionaris Gegevensbescherming, dan moet die worden betrokken. Je mag ook externe privacy-experts inschakelen.
Hoe lang duurt een DPIA?
Dat hangt af van de complexiteit van de verwerking. Een eenvoudige DPIA kan in een dag worden afgerond; complexe verwerkingen kunnen weken in beslag nemen.
Wat als er na de DPIA nog hoge risico's overblijven?
Als de maatregelen de risico's niet voldoende beperken, moet je de Autoriteit Persoonsgegevens raadplegen voordat je de verwerking start. Zij kunnen advies geven of de verwerking verbieden.
