Data Protection Impact Assessment (DPIA)

Verzamel je gegevens van bijvoorbeeld klanten, leveranciers en andere stakeholders? Dan wil je er als organisatie alles aan doen om de privacy van deze personen te waarborgen. Organisaties denken in sommige gevallen dat ze er met een ISO 27001 certificaat zijn, maar privacy is breder dan alleen het veilig verzamelen en beheren van informatie. Het gaat er namelijk ook om dat je ook voorafgaand van het verzamelen van informatie en gegevens van derden, inzichtelijk maakt wat de risico's zijn. Je doet dat met een DPIA (Data Protection Impact Assessment). Want hoe weet je of het verzamelen van bepaalde gegevens niet in tegenstrijd is met de privacywet? En wat zijn de doeleinden? Vragen die worden beantwoord met een DPIA. En wist je dat sommige organisaties - sinds de invoering van de AVG in 2018 - verplicht zijn een DPIA uit te laten voeren?

Ons aanbod in informatie- beveiliging

Certificeringsadvies

Audits (intern en extern)

Nulmeting

Pentesten

Vulnerabilitytest

IT en privacy audits

RI&E informatiebeveiliging

GDPR en AVG

DPIA (Data Protection Impact Assessment)

Security As A Service

Wat houdt een DPIA in?

Je mag als organisatie zelf weten in welke vorm je een DPIA laat uitvoeren, maar er zijn minimale vereisten. Het is in ieder geval belangrijk dat je in kaart brengt welke gegevens je van plan bent te verzamelen, wat de doeleinden van de verwerking zijn en wat de risico's zijn voor de betrokkenen. Mag je deze gegevens verzamelen? Oftewel, heb je een gerechtvaardigd belang? Dan moet dat ook worden meegenomen in een DPIA.

Het gaat er in essentie om dat je als organisatie beoordeelt of de verwerking noodzakelijk is en of de belangen van de organisatie opwegen tegen de inbreuk op de privacy van bijvoorbeeld je klanten of leveranciers. Als laatste is het belangrijk dat de getroffen maatregelen worden beschreven en moet je aantonen dat je aan de AVG voldoet. 

Is een DPIA verplicht?

In een DPIA geeft de organisatie aan wie als verwerkersverantwoordelijke, welke gegevens mag verzamelen en voor welke doeleinden. Een verwerkersverantwoordelijke is een persoon of organisatie die vaststelt wat het doel van de verzameling is en welke middelen daarvoor worden gebruikt om zo de privacy van derden te waarborgen. 

De Autoriteit Persoonsgegevens (AP) geeft aan dat je als organisatie zelf moet bepalen of gegevensverwerking een hoog risico oplevert, waarvoor je dus een DPIA moet uit (laten) voeren. Maar de AVG heeft de DPIA verplicht gemaakt voor organisaties die:

  1. Op basis van geautomatiseerde verwerking van persoonsgegevens (waaronder profiling) systematisch en uitgebreid persoonlijke aspecten van mensen beoordelen en hierop besluiten maken.
  2. Op grote schaal bijzondere persoonsgegevens verwerken.
  3. Strafrechtelijke gegevens verwerken.
  4. Op grote schaal en systematisch mensen volgen in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

De AP heeft daarbij ook een lijst opgesteld met soorten verwerkingen waarvoor het uitvoeren van een DPIA verplicht is voordat je begint met verwerken. Wil je weten of jij verplicht een DPIA uit moet voeren? 

Wie mag een DPIA uitvoeren?

Een organisatie die aan gegevensverwerking doet, moet sinds de invoering van de AVG een Functionaris Gegevensbescherming hebben. Dit is tevens de persoon die een DPIA uit kan voeren. Je kunt er ook voor kiezen de functie als Functionaris Gegevensbescherming extern te beleggen of om een DPIA door een externe partij uit te laten voeren.

QVOX heeft de juiste middelen en tools om een DPIA uit te voeren en weet welke vervolgstappen je kunt ondernemen om informatiebeveiliging en privacy naar een volgend level te tillen. 

Alles over informatiebeveiliging

In deze aflevering hebben we het over informatiebeveiliging. Een verzamelterm voor het veilig verzamelen, verwerken, beheren en delen van informatie. Wat houdt informatiebeveiliging in en wat zijn dé tips voor goed beveiligde online en offline processen rondom informatie? Handige handvatten voor ondernemers die niet alleen goed gebruik willen maken van informatie, bijvoorbeeld in hun business model, maar ook informatie op een juiste manier willen beheren. Luister snel naar QTALK!

Luister de podcast

Alles over informatiebeveiliging

Hoe wil je aan de slag?
Opleidingen
Opleidingen:

In de QVOX Academy bieden we vakspecifieke opleidingen en trainingen aan om zo je kennis te vergroten en competenties te ontwikkelen. 

Projecten
Projecten:

In samenwerking met de specialisten van QVOX werk je projectmatig toe naar een certificering of realiseren we de gewenste verandering. 

Services
Services:

Hercertificering of onderhoud van het kwaliteitssysteem kun je aan ons uitbesteden. Met ons service contract houden we je scherp en brengen we in kaart waar kansen liggen. Zonder zorgen en met zekerheid van de kwaliteit zoals je die van ons bent gewend. 

Neem contact op met een van onze experts en volg ons spoor naar certificering en compliance. 

Deze organisaties hebben gekozen voor QVOX