Data Protection Impact Assessment 

Komen er camera’s op kantoor of in het magazijn? Krijgen bedrijfswagens een gps-tracker? Of gaat je organisatie een nieuw ICT-systeem opzetten? In sommige gevallen is een organisatie verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Wat een DPIA is lees je in deze factsheet.

Meer informatie

Wat is een DPIA?

Aan de hand van een DPIA doet een organisatie voorafgaand onderzoek naar de privacyrisico’s die spelen bij een bepaalde gegevensverwerking. Het is de bedoeling om de risico’s in kaart te brengen en maatregelen te bedenken waarmee de risico’s uiteindelijk verkleind kunnen worden.

ICTRECHT iconen petrol 2022 RGB_Checklist

Wanneer is een DPIA verplicht?

Een DPIA is verplicht in situaties waarin de gegevensverwerking waarschijnlijk een hoog risico oplevert voor de privacy van betrokkenen. In de Algemene verordening gegevensbescherming (AVG) zijn enkele voorbeelden opgenomen van situaties waarin een DPIA verplicht is:

  • Grootschalige besluiten worden genomen gebaseerd op geautomatiseerde verwerkingen van persoonsgegevens, zoals bij profilering.
  • Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens.
  • Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Daarnaast heeft de Autoriteit Persoonsgegevens een DPIA-lijst gepubliceerd waarin staat in welke situaties een DPIA verplicht is.

In onderstaande gevallen dient jouw organisatie een DPIA uit te (laten) voeren:

  • Samenwerkingsverbanden waarin overheden met andere publieke of private organisaties bijzondere persoonsgegevens of gevoelige gegevens delen (bijv. gegevens over armoede, gezondheid, werkloosheid en sociale problematiek).
  • Stelselmatige monitoring, zoals door cameratoezicht of het gebruik van (tracking) cookies die de betrokken personen blijven volgen.
  • Grootschalige verwerkingen van (bijzondere) persoonsgegevens en/of stelselmatige monitoring in het kader van fraudebestrijding.
  • Grootschalige verwerkingen en/of stelselmatige monitoring van financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van mensen valt af te leiden.
  • Combineren van databases en het uitvoeren van big data-analyses.
  • Ontwikkeling van een nieuw project of nieuwe software waarmee persoonsgegevens worden verwerkt.
Lees meerLees minder

Door wie wordt een DPIA uitgevoerd?

Een DPIA wordt uitgevoerd door de verwerkingsverantwoordelijke (de organisatie die het doel en de middelen bepaalt). In sommige gevallen voert een verwerker een DPIA doet. Aan de hand daarvan kan een verwerker namelijk aantonen dat bijvoorbeeld haar software/ IT-systeem privacyvriendelijk is ingericht.

Twijfel je of een DPIA verplicht is? Hulp nodig bij het uitvoeren van een DPIA? Wij hebben veel ervaring met het uitvoeren van DPIA’s.

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

Laat je gegevens achter

Vul hier je gegevens in en we nemen zo snel mogelijk contact met je op. 
ICTRecht B.V.

info@ictrecht.nl

Amsterdam
T +31 (0)20 663 1941

Enschede
T +31 (0)50 209 34 99

Eindhoven
T +31 (0)20 66 31 941

Groningen
T +31 (0)50 209 34 99

Maastricht
T +31 (0)6 81034433
Meer informatie

Juridisch advies
Detachering
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures
Referenties

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals contracteren, informatiebeveiliging, innovatie, marketing, cloud, e-commerce, privacy en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22-Twitter SM 22_Instagram