Euroforum Blog Het kennis blog van Euroforum
Een DPIA staat voor ‘Data Protection Impact Assessment’. Het is een instrument om (voorafgaand aan de verwerking van persoonsgegevens) privacy risico’s van gegevensverwerking in kaart te brengen.
Tevens kun je met een DPIA aantonen dat de organisatie voldoet aan de verplichtingen van de AVG. Het is belangrijk dat je, bij het uitvoeren van een DPIA, de gevolgde methodiek en de uitkomsten vastlegt in een document. Daarmee kun je aantonen dat je een deugdelijke DPIA hebt uitgevoerd als bijvoorbeeld de Autoriteit Persoonsgegevens daarom vraagt.
Verplichting bij grote hoeveelheden gegevens
Een DPIA is verplicht wanneer er sprake is van een hoog risico verwerking.
Er is sprake van een hoog risico indien er door een verwerkingsverantwoordelijke bijvoorbeeld op grote schaal bijzondere persoonsgegevens worden verwerkt, systematisch en uitgebreid beoordelen van persoonlijke aspecten (profiling) wordt toegepast of bij het matchen of samenvoegen van datasets.
Binnen de zorgsector en het onderwijs is er al snel sprake van een ‘hoog risico verwerking’ omdat er veel bijzondere of gevoelige persoonsgegevens van (kwetsbare) mensen worden verwerkt. Denk hierbij aan het patiëntendossier, of het (live)streamen van onderwijs.
Ook binnen het bedrijfsleven zijn er voorbeelden van hoog risicoverwerkingen. Denk aan het toepassen van moderne technologieën voor het maken van profielen van klanten, het gebruik van biometrie, het inzetten van digitale technieken en toepassingen (BI – en analyse van data) en Artificial Intelligence.
Ook is de corona App een goed voorbeeld van een toepassing waarbij de hoge privacyrisico’s beoordeeld dienen te worden in het licht van de beginselen van de AVG.
Tijdens de Opleiding Data Protection Officer leer je veel over de DPIA. We gaan in op hoe je een DPIA uitvoert en welke voordelen kan het je opleveren.
Meer weten? Opleiding Data Proteciton officer
