DPIA OF DATA PROTECTION IMPACT ASSESSMENT
Het doel van een DPIA of gegevensbescherming- effectenbeoordeling is om risico’s in kaart te brengen waarbij er verlies of diefstal zou kunnen optreden bij de verwerking van persoonsgegevens binnen een organisatie.
Het verlies of diefstal van gegevens kent oorzaken zoals bij het versturen van informatie naar foutieve ontvangers, het verlies van een computer, een inbraak of een hacking.
Voor het uitvoeren van een DPIA wordt er een scope gemaakt over het type en gevoeligheid van persoonsgegevens die een organisatie verwerkt, de manier en termijn van bewaring, met wie en hoe deze data gedeeld wordt en hoe persoonsgegevens vernietigd worden.
Het resultaat van deze assessment leert ons welke acties er dienen ondernomen te worden om zowel het verlies als diefstal van data te minimaliseren in de context van verwerking van persoonsgegevens.
Een DPIA uitvoeren is geen eenmalige opdracht, maar een continu proces. We evalueren voortdurend relevante nationale- en Europese wetgevingen.
Verplicht ?
Wanneer gegevensverwerking een hoog risico kan opleveren voor inbreuken op de “rechten en vrijheden” van de mens kan u zelf als verwerkingsverantwoordelijke bepalen om een assessment wel of niet uit te voeren.
Echter in sommige gevallen is het verplicht een assessment uit te voeren zoals bij de implementatie van nieuwe IT-systemen, het monitoren van ruimtes met camera’s, de verwerking van persoonsgegevens naar derde landen en bij de verwerking van gevoelige persoonsgegevens.