Is een Data Privacy Impact Assessment (DPIA) verplicht?

Publicatiedatum 5 november 2019

Is sinds de invoering van de AVG een Data Privacy Impact Assessment (DPIA) voor mijn organisatie verplicht?

Een Data Privacy Impact Assessment (DPIA) moet vooraf worden uitgevoerd bij verwerkingen met een potentieel hoog risico voor de betrokkenen. Maar hoe weet u nu of er sprake is van een potentieel hoog risico?

Criteria bij de verwerking

Uiteraard kunt u, als u zelf vindt dat er sprake van een potentieel hoog risico is, een DPIA uitvoeren. Denkt u zelf dat het wel meevalt, controleer dan voor de zekerheid toch nog onderstaande lijst. Tel hoeveel criteria een rol spelen bij de verwerking waar u aan wilt beginnen.

  • Is er meer dan 1 criterium aanwezig? Dan is het uitvoeren van een DPIA verplicht.
  • Is er één of géén criterium aanwezig? Dan is het uitvoeren van een DPIA niet verplicht.

Gegevensverwerking in uw organisatie

De te onderzoeken situatie van gegevensverwerking betreft:

  • Evaluatie of scoretoekenning van betrokkenen
  • Geautomatiseerde besluitvorming met (mogelijk negatief) rechtsgevolg
  • Stelselmatige monitoring
  • Gevoelige gegevens of gegevens van zeer gevoelige aard
  • Op grote schaal verwerkte gegevens
  • Matching of samenvoegen van databases
  • Gegevens met betrekking tot kwetsbare betrokkenen, zoals:
    • Kinderen
    • Patiënten
    • Werknemers
    • Bejaarden
    • Innovatief gebruik of toepassing van nieuwe technologische of organisatorische oplossingen
    • Als door de verwerking een betrokkene een recht niet kan uitoefenen, of geen beroep kan doen op een dienst of overeenkomst