DPIA’s uitvoeren, hoe doe je dat?

DPIA’s uitvoeren, hoe doe je dat?
 

Het uitvoeren van een DPIA is in bepaalde gevallen verplicht, bijvoorbeeld in het kader van camerabeveiliging of profilering in een webshop. Maar hoe werkt dat precies? Wat is het nut? En wat heeft dat te maken met Privacy Verified?

Risico’s in kaart brengen

Een DPIA (voluit: Data Protection Impact Assessment, en in het Nederlands: gegevensbeschermingseffectbeoordeling) is een onderzoek en beoordeling van de privacy-effecten van bepaalde privacygevoelige processen. Een DPIA voert een organisatie uit met het doel om risico’s ten aanzien van privacyrechten van personen in een vroeg stadium (het liefst vooraf) in kaart te brengen. Vaak wordt dit uitgevoerd in het kader van een nieuw project of bij een impactvolle verwerking van persoonsgegevens.

Het uitvoeren van een DPIA is vormvrij en kan dus op allerlei manieren. De uitkomst ervan is vaak wel dezelfde: ergens (op papier, in een bestandje of in bepaalde software) wordt de uitkomst van de beoordeling op schrift gesteld en bewaard. Deze ‘administratie’ moet volgens de AVG bepaalde aspecten bevatten, namelijk:

  1. een duidelijke, systematische beschrijving van de beoogde verwerkingen;
  2. beschrijving van de verwerkingsdoeleinden die horen bij de beoogde verwerking;
  3. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  4. een beoordeling van de privacyrisico’s voor de rechten en vrijheden van betrokkenen;
  5. de beoogde maatregelen om de risico’s aan te pakken, zoals veiligheidsmaatregelen of dataminimalisatieprocessen, om de bescherming van persoonsgegevens te garanderen en aan te tonen.

Privacytoets

Door middel van een DPIA kan een organisatie aantonen dat, met betrekking tot dat project of die software, aan de AVG is voldaan. Ook wordt in de DPIA beschreven hoe precies rekening is gehouden met de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. Hierdoor is de DPIA niet alleen een administratieve tijger, maar ook een hulpmiddel om het belang van bepaalde interne processen te meten en een controle uit te voeren op afgevinkte privacyprocessen in de organisatie.

In wezen betekent dit dus dat je voor een klein stukje binnen je organisatie een privacytoets uitvoert en opschrijft op welke wijze dit proces binnen je organisatie AVG-compliant kan worden uitgevoerd. En dat is precies het raakvlak met Privacy Verified. Privacy Verified is immers een AVG toets op bepaalde onderdelen van een organisatie. De website, een proces of bepaalde software of de volledige organisatie. Het verschil met een DPIA is echter dat bij het succesvol uitvoeren van de toets en het adequaat doorvoeren van alle voorgestelde maatregelen, met het certificaat in een oogopslag duidelijk is dat rekening is gehouden met de AVG en dat er een AVG toets heeft plaatsgevonden. Het Privacy Verified certificaat kan tevens goed worden ingezet voor een proces waarop een DPIA is uitgevoerd en waaruit een positieve uitkomst is gekomen.

Gerelateerde blogs