English English
Nederlands Nederlands
Naar de homepage
7 augustus 2023
Geüpdatet op: 28 januari 2025

 

In een tijdperk waarin data een cruciale rol speelt in bedrijfsactiviteiten, is het waarborgen van privacy van het grootste belang. Organisaties moeten ervoor zorgen dat persoonlijke gegevens op een veilige en ethische manier worden behandeld. 

Een belangrijk hulpmiddel om data op een veilige manier te behandelen, is het uitvoeren van een Data Protection Impact Assessment (DPIA). In dit blog zullen we de essentiële aspecten van een DPIA behandelen en uitleggen wanneer een DPIA verplicht is en hoe deze uitgevoerd kan worden.

Voer een DPIA uit met Base27

Probeer gratis

 

Wat is een DPIA?

Een Data Protection Impact Assessment (DPIA) is het proces waarmee jouw bedrijf systematisch de risico's en gevolgen voor de privacy van individuen kan beoordelen die komen uit de verwerking van persoonlijke gegevens.

Als het uitvoeren van een DPIA voor jouw bedrijf verplicht is, dien je dit te doen voordat je als organisatie start met het bewaren, gebruiken en delen van persoonsgegevens.

Wat is het verschil tussen een PIA en DPIA?

Een PIA (Privacy Impact Assessment) is een breder evaluatie-instrument dat wordt gebruikt om de impact van verschillende projecten of initiatieven op de privacy te beoordelen, zoals nieuwe technologieën of beleidswijzigingen. Het is vaak vrijwillig.

Een DPIA (Data Protection Impact Assessment) is specifiek gericht op de verwerking van persoonsgegevens en is verplicht onder de AVG wanneer deze verwerking een hoog privacyrisico met zich meebrengt. Een DPIA richt zich expliciet op naleving van de wetgeving rondom gegevensbescherming.

Is een DPIA een risicoanalyse? 

Een DPIA is een vorm van risicoanalyse, maar het gaat specifiek om het beoordelen van de privacyrisico's die gepaard gaan met de verwerking van persoonsgegevens. Het doel van een DPIA is om de potentiële impact van gegevensverwerking op de privacy van individuen te identificeren en passende maatregelen te nemen om deze risico's te minimaliseren. 

Hoewel een DPIA een risicobeoordeling omvat, richt het zich specifiek op de privacyaspecten van gegevensverwerking. In tegenstelling tot een algemene risicoanalyse, die een breder scala aan risico's kan omvatten (zoals operationele of veiligheidsrisico's), is een DPIA specifiek gericht op het beschermen van de rechten en vrijheden van betrokkenen met betrekking tot hun persoonsgegevens. Het is dus een gespecialiseerde vorm van risicoanalyse binnen het kader van gegevensbescherming.

Wie voert de DPIA uit?

De verantwoordelijkheid voor het uitvoeren van een Data Protection Impact Assessment (DPIA) ligt bij de verwerkingsverantwoordelijke, oftewel de organisatie of persoon die bepaalt welke persoonsgegevens worden verwerkt en met welk doel. Het is belangrijk dat deze verantwoordelijke ervoor zorgt dat de DPIA op de juiste manier wordt uitgevoerd om te voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG).

Hoewel de eindverantwoordelijkheid bij de verwerkingsverantwoordelijke ligt, wordt het uitvoeren van een DPIA vaak gedelegeerd aan een functionaris voor gegevensbescherming (FG) of een privacy officer binnen de organisatie. Deze personen hebben doorgaans de expertise om de risico's voor de privacy te beoordelen en passende maatregelen te adviseren.

Lees meer over de benodigheden rondom het verwerken van gegevens.

Waarom voer je een DPIA uit?

De reden van een DPIA is om:

  • op tijd potentiële privacy problemen te identificeren;
  • passende maatregelen te nemen om risico's te minimaliseren;
  • te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) of GDPR (General Data Protection Regulation in het Engels). 

Door een grondige DPIA uit te voeren, worden potentiële risico's van tevoren geïdentificeerd en kunnen passende maatregelen genomen worden om ervoor te zorgen dat de gegevensverwerking op een veilige en wettelijke manier plaatsvindt.

dpia

 

Wanneer moet een DPIA uitgevoerd worden?

Als organisatie ben je zelf verantwoordelijk voor het bepalen of het gegevensverwerkingsproces een hoog privacyrisico met zich meebrengt en dus een DPIA zou moeten ondergaan. Verschillende organisaties hebben hiervoor richtlijnen opgesteld, waaronder de Algemene Verordening Gegevensbescherming (AVG), de Autoriteit Persoonsgegevens (AP) en de Europese privacytoezichthouders.

De AVG richtlijnen

  • Volgens de AVG moet je als bedrijf in ieder geval een DPIA uitvoeren in de volgende situaties:
  • Wanneer je systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt, wat je doet op basis van geautomatiseerde verwerking van persoonsgegevens en waarop je besluiten baseert die gevolgen hebben voor mensen.
  • Als je op grote schaal bijzondere persoonsgegevens verwerkt. Bijzondere persoonsgegevens omvatten gevoelige informatie zoals ras, etnische afkomst, politieke opvattingen, religie, gezondheidsgegevens, seksuele geaardheid, et cetera.
  • Als je strafrechtelijke gegevens verwerkt, zoals gegevens over strafbare feiten of veroordelingen.
    Indien je op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld via cameratoezicht of volgtechnieken.

De Autoriteit Persoonsgegeveens (AP)

De AP heeft een lijst opgesteld van de soorten verwerkingen die het uitvoeren van een DPIA verplicht maken. Het doel van deze lijst is om organisaties te helpen bepalen wanneer een DPIA vereist is voor specifieke gegevensverwerkingen. 

Deze lijst omvat de volgende verwerkingssoorten:

  • Heimelijk onderzoek
  • Zwarte lijsten
  • Fraudebestrijding
  • Creditscores
  • Financiële situatie
  • Genetische persoonsgegevens
  • Gezondheidsgegevens
  • Samenwerkingsverbanden
  • (Flexibel) cameratoezicht
  • Controle werknemers
  • Locatiegegevens
  • Communicatiegegevens
  • Internet of things (IoT)
  • Profilering
  • Observatie en beïnvloeding van gedrag
  • Biometrische gegevens

Bekijk hier het overzicht voor meer informatie over de soorten verwerkingen. 

De Europese privacytoezichthouders

De Europese privacytoezichthouders hebben 9 verschillende criteria opgesteld die je kunt gebruiken om in te schatten of jouw bedrijf verplicht is om een DPIA uit te voeren. Als jouw gegevensverwerking aan 2 of meer van deze criteria voldoet, is de kans groot dat je verplicht bent om een DPIA uit te voeren.

  1. Beoordelen van mensen op basis van persoonskenmerken
  2. Geautomatiseerde besluiten
  3. Stelselmatige en grootschalige monitoring
  4. Gevoelige gegevens
  5. Grootschalige gegevensverwerkingen
  6. Gekoppelde databases
  7. Gegevens over kwetsbare personen
  8. Gebruik van nieuwe technologieën
  9. Blokkering van een recht, dienst of contract

Is een pre DPIA verplicht?

Een pre-DPIA, ook wel een vooronderzoek of screening genoemd, is niet verplicht onder de AVG. Het kan echter wel een nuttige tool zijn om te bepalen of een volledige DPIA noodzakelijk is. Een pre-DPIA helpt organisaties om snel in te schatten of een geplande gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt en dus een volledige DPIA vereist. Hoewel het uitvoeren van een pre-DPIA niet verplicht is, wordt het vaak aanbevolen als best practice om vroegtijdig mogelijke privacyrisico's te identificeren en daarop te anticiperen.

Wanneer is er geen DPIA nodig?

Wanneer jouw gegevensverwerking geen hoog privacyrisico met zich meebrengt, ben je als organisatie niet verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Dit geldt ook wanneer je nieuwe gegevens verzamelt, die sterk lijken op andere gegevensverwerkingen binnen jouw organisatie waarvoor al een DPIA is uitgevoerd. 

Bovendien hoef je geen DPIA uit te voeren wanneer jouw gegevensverwerking wordt geregeld door een andere Europese of nationale wet en er bij de totstandkoming van deze wet al een DPIA is uitgevoerd (tenzij de privacytoezichthouders anders oordelen). Of wanneer jouw gegevensverwerking op een lijst staat van verwerkingen waarvoor een DPIA niet verplicht is.

Toch kan deze verplichting voor jou veranderen. Wellicht voldoet jouw organisatie namelijk nu niet aan de criteria, maar op een later moment wel. Denk bijvoorbeeld aan de groei van een kleinschalige gegevensverzameling naar een grootschalige gegevensverzameling of bij het verzamelen van een nieuw soort data. Ons advies is om dit goed in de gaten te houden bij veranderingen in jouw organisatie.

Bekijk hier de checklist van nieuwe verwerkingen van de AP.

Wat moet er in een DPIA staan?

Een DPIA is een gestructureerde beoordeling die helpt bij het identificeren en minimaliseren van de privacyrisico's van gegevensverwerkingen. Een DPIA moet voldoen aan de eisen van de AVG. Volgens artikel 35 van de AVG moet een DPIA de volgende onderdelen bevatten:

De beoordeling bevat ten minste:

  1. een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  3. een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen;
  4. en de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Bron: Verordening (EU) 2016.679 van het Europees Parlement en de Raad

Door op tijd te beginnen, wordt het voor een organisatie makkelijker om te voldoen aan de wettelijk vereiste principes van privacy by design en privacy by default. Zo moet bijvoorbeeld punt A ook weer voldoen aan specifieke eisen in een verwerkersovereenkomst.

Hoe voer je een DPIA uit?

Zoals hierboven vermeld, moet een Data Protection Impact Assessment (DPIA) voldoen aan de basisvereisten van de AVG. Hoewel de basisonderdelen bekend zijn, is er geen specifieke vorm gedefinieerd voor een DPIA. Niettemin is het handig om deze beoordeling uit te voeren aan de hand van verschillende stappen. Als voorbeeld zullen we het uitvoeren van een DPIA illustreren met Base27.

Een voorbeeld van een DPIA in Base27

Base27 - Demo 2023-07-26 11-17-39

Stap 1: Algemene informatie definiëren 

Bij de eerste stap begint het opzetten van de DPIA. Hierbij geef je aan hoe dit assessment heet, wat de scope is, wie verantwoordelijk is voor de uitvoering, en wie eraan deelneemt. Base27 biedt ook de optie om te testen of je verplicht bent om voor deze gegevens een DPIA uit te voeren.

Stap 2: Scope definiëren

De tweede stap biedt je de gelegenheid om de scope verder te beschrijven. Denk hierbij aan het toevoegen van informatiesystemen, processen, leveranciers en onderdelen van de organisatie. 

Mocht je niet direct weten wat er precies moet worden opgenomen, dan ondersteund een ISMS-tool je door suggesties te doen van bestaande informatiesystemen die eerder al zijn verwerkt.

Base27 - Demo 2023-07-26 11-25-44

Stap 3: De reden van de beoordeling toelichten

Bij de derde stap is het raadzaam om te verduidelijken waarom deze beoordeling tot stand is gekomen. Noteer de verantwoordelijke organisatie en de interne verantwoordelijke persoon, evenals het doel van de beoordeling en de specifieke rechtsgrondslag en wetgeving die van toepassing zijn.

Stap 4: Definieer de betrokkenen

Bij stap vier geef je meer uitleg over de betrokkenen bij deze beoordeling. Leg uit om welke groep mensen het gaat en onder welke categorie van betrokkenen ze vallen (zoals leveranciers, studenten, patiënten, verslaafden, etc.). Base27 biedt ook de optie om aan te geven of deze groep kwetsbaar is. De tool brengt direct in kaart wat de mogelijkheden zijn met betrekking tot de rechten van de betrokkenen.

Base27 - Demo 2023-07-26 11-34-42

Stap 5: Persoonsgegevens specificeren

Stap vijf richt zich op het specificeren van de persoonsgegevens die jouw bedrijf gaat verzamelen. Denk hierbij aan NAW-gegevens, maar ook aan bijzondere gegevens zoals allergieën, etnische afkomst of arbo-gegevens. In Base27 bieden we verschillende standaard opties om in te vullen en geven we directe richtlijnen ter ondersteuning, waarmee je rekening moet houden.

Base27 - Demo 2023-07-26 11-40-16

Stap 6: Bewaartermijn

Verschillende wetten vereisen verschillende bewaartermijnen die niet overschreden mogen worden. Dit wordt doorgenomen in de zesde stap van een DPIA. Het is raadzaam om deze termijnen direct aan te geven, zodat je weet wanneer de maximale bewaartijd is bereikt. Om tijd te besparen, bieden wij voorbeelden van deze bewaartermijnen in onze tool aan, maar je kunt ze ook online vinden.

Stap 7: Verwerkersverantwoordelijke 

Bij de zevende stap licht je toe wie er verantwoordelijk is voor het verwerken van deze gegevens. Dit kan een lijst van verschillende personen zijn.

Base27 - Demo 2023-07-26 11-45-05

Stap 8: Risicoanalyse 

Bij de achtste stap wordt uiteindelijk onderzocht waar de risico's en dreigingen liggen tijdens het verwerken van deze gegevens. Dit kan handmatig gebeuren aan de hand van verschillende dreigingsmodellen of met behulp van een tool. Als je alle gegevens correct hebt ingevuld in Base27, zal het automatisch potentiële risico's voorstellen.

Base27 - Demo 2023-07-26 11-47-18

Stap 9: Vervolgstappen 

Om de DPIA succesvol af te ronden, is het belangrijk om de vervolgstappen voor het beheersen van potentiële risico's te definiëren en te organiseren. Via Base27 worden deze stappen (deels) automatisch op een rij gezet, waardoor het eenvoudig is om ze te koppelen aan de verantwoordelijke persoon. Het is van cruciaal belang om deze risico's regelmatig te evalueren en aan te pakken, om zo de kans op dreigingen te verminderen.

Wat kost een DPIA? 

Aan het uitvoeren van een DPIA zit een kostenplaatje verbonden. De kosten en tijd die een DPIA in beslag neemt, zijn nauw met elkaar verbonden en hangen af van de complexiteit van de gegevensverwerking en de beschikbare expertise binnen de organisatie. Hoe complexer en uitgebreider de gegevensverwerking, hoe meer tijd en middelen er nodig zijn om de DPIA zorgvuldig uit te voeren. Dit betekent dat de kosten kunnen variëren van enkele duizenden euro's voor eenvoudige DPIA's tot tienduizenden euro's voor meer complexe en tijdrovende assessments.

Voorbeeld: Stel dat een middelgrote organisatie een DPIA uitvoert voor een nieuw klantbeheersysteem dat gevoelige gegevens verzamelt. Als de organisatie interne medewerkers inzet, kan de DPIA enkele weken duren, met geschatte kosten van €10.000 tot €20.000, inclusief werkuren van personeel en eventuele externe advieskosten. Dit bedrag kan oplopen als er meer complexe analyses of externe consultants nodig zijn, bijvoorbeeld als de DPIA maanden in beslag neemt vanwege de complexiteit van de verwerking en de noodzaak om extra maatregelen te implementeren.

Na het uitvoeren van een DPIA

Na het voltooien van een DPIA dienen de resultaten gedocumenteerd en beoordeeld te worden door de verantwoordelijke voor gegevensbescherming. Indien de risico's als hoog worden beoordeeld en niet kunnen worden geminimaliseerd, is overleg met de toezichthoudende autoriteit (AP in Nederland) vereist alvorens de verwerking voortgezet kan worden.

Is een DPIA openbaar? 

Een DPIA is in principe niet openbaar en hoeft niet standaard gedeeld te worden met het publiek. De resultaten van een DPIA zijn bedoeld voor intern gebruik binnen de organisatie om privacyrisico's te identificeren en te mitigeren. Echter, als een toezichthoudende autoriteit zoals de Autoriteit Persoonsgegevens (AP) daarom vraagt, moet de DPIA wel worden overlegd. Het kan ook strategisch zijn om bepaalde delen van de DPIA openbaar te maken om transparantie te tonen, vooral richting betrokkenen wiens gegevens worden verwerkt, maar dit is geen verplichting onder de AVG.

Voer een DPIA uit met behulp van Base27.

PROBEER NU GRATIS

Wij helpen bedrijven met hun digitale veiligheid