DPIA

DPIA staat voor Data Protection Impact Assessment, in het Nederlands een ‘Gegevensbeschermingseffectbeoordeling’(GBE), is een instrument om voorafgaand aan het verwerken van persoonsgegevens inzichtelijk te maken welke privacy risico’s hieraan verbonden zijn. De DPIA beschrijft welke mitigerende maatregelen de organisatie neemt om die risico’s te beperken. De DPIA dient te worden uitgevoerd voordat gestart wordt met die verwerking van persoonsgegevens.

Op deze pagina leggen we uit wat het doel is van een DPIA, wanneer dit verplicht is en geven we aan hoe een DPIA eruit ziet. Mocht uw vraag nog niet zijn beantwoord in onderstaande veelgestelde vragen, stel uw vraag dan aan onze experts en wij beantwoorden deze binnen twee werkdagen.

Meer weten

Heeft u een vraag over een DPIA?

Bekijk de veelgestelde vragen of stel uw vraag aan onze experts.

Stel uw vraag

Veelgestelde vragen

Wat is het doel van een DPIA?

Het doel van het uitvoeren van een DPIA is meerledig;

De organisatie is gedwongen de belangen van de betrokkene en die van de organisatie zorgvuldig af te wegen.
De organisatie moet goed afwegen en beschrijven hoe de risico’s van de verwerking beperkt kunnen worden en de maatregelen beschrijven.
De organisatie bepaalt op basis van de DPIA of zij voorafgaande raadpleging bij de Autoriteit Persoonsgegevens moet aanvragen.
De organisatie slaat het document op als onderdeel van haar verantwoording in geval van een controle door een autoriteit of bijvoorbeeld in geval van een audit of andere controle.

Wanneer is een DPIA verplicht?

Dit is het geval wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog privacy risico oplevert voor de mensen van wie de organisatie gegevens verwerkt. De AP geeft aan dat een DPIA in ieder geval moet worden uitgevoerd als een organisatie:

systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling en daarop besluiten baseert die gevolgen hebben voor mensen;
op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Hoe ziet een DPIA eruit?

Start zo vroeg mogelijk met de uitvoering van de DPIA, bij voorkeur in de ontwerpfase. Dan bent u meteen goed bezig als het gaat om privacy by design & default (ook een verplichting uit de AVG). Onze DPIA checklist geeft aan of u een DPIA moet uitvoeren en zo ja wat er in de DPIA moet staan.

Is uw vraag nog niet beantwoord?

Stel uw vraag over een DPIA aan onze experts.

Stel uw vraag