Data Protection Impact Assessment (DPIA)

Verzamel je persoonsgegevens van klanten, leveranciers of andere stakeholders? Dan wil je zeker weten dat je daar zorgvuldig en volgens de regels mee omgaat. Privacy gaat namelijk niet alleen over “goed beveiligen”, maar ook over bewuste keuzes maken vóórdat je gegevens gaat verzamelen.

Veel organisaties denken dat een ISO 27001-certificaat voldoende is. ISO 27001 helpt enorm bij informatiebeveiliging: denk aan toegangsbeheer, incidentmanagement en technische maatregelen. Maar privacy is breder dan beveiliging. Het gaat óók om vragen als: hebben we deze gegevens echt nodig, mogen we ze überhaupt verzamelen, en wat betekent dit voor de persoon om wie het gaat?

Daarom is er de DPIA (Data Protection Impact Assessment): een privacy-risicoanalyse waarmee je vooraf inzichtelijk maakt wat je precies gaat doen met persoonsgegevens en welke risico’s dat oplevert voor betrokkenen.

Een DPIA helpt je onder andere om antwoord te geven op dit soort vragen:

  1. Welke gegevens willen we verzamelen (en waarom precies deze)?

  2. Wat is het doel van de verwerking, en is dat doel duidelijk en gerechtvaardigd?

  3. Is het noodzakelijk om deze gegevens te verwerken, of kan het ook met minder?

  4. Mag dit volgens de AVG, bijvoorbeeld op basis van toestemming of gerechtvaardigd belang?

  5. Welke privacyrisico’s ontstaan er voor klanten, leveranciers of medewerkers?

  6. Welke maatregelen nemen we om die risico’s te verkleinen?

De kern: je laat zien dat je als organisatie niet zomaar gegevens verzamelt “omdat het kan”, maar dat je een bewuste afweging maakt tussen jouw bedrijfsbelang en de privacy van mensen.

En nog iets belangrijks: sinds de invoering van de AVG in 2018 zijn sommige organisaties (en verwerkingen) verplicht om een DPIA uit te voeren, bijvoorbeeld bij grootschalige verwerking, profiling of het verwerken van bijzondere persoonsgegevens. In die gevallen is een DPIA niet alleen verstandig, maar ook een harde eis.

Met een DPIA voorkom je verrassingen achteraf, maak je risico’s zichtbaar vóórdat je start, en laat je zien dat je privacy serieus neemt. Dat is niet alleen goed voor compliance, maar ook voor vertrouwen.

Hulp nodig? Schakel een expert in!

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Pentesten Security As A Service Trainingen en opleidingen informatiebeveiliging Nulmeting Phishing Campagne Aim2Secure: de tool voor verbeterde security awareness International Standard on Assurance Engagements (ISAE) Network and Information Security (NIS2) directive
Ons aanbod in informatie- beveiliging

Certificeringsadvies

Audits (intern en extern)

Nulmeting

Pentesten

Vulnerabilitytest

IT en privacy audits

RI&E informatiebeveiliging

GDPR en AVG

DPIA (Data Protection Impact Assessment)

Security As A Service

MOVE4MOBILE en QVOX

"Naast kwaliteit, is ook de mate van betrouwbaarheid essentieel in de samenwerkingen die we hebben. We willen die koploper zijn die aan klanten laat zien: onze producten en processen zijn dusdanig ingericht dat jij je nergens zorgen om hoeft te maken. Zo werken we bijvoorbeeld voor veel banken en verzekeraars die veel met privacygevoelige informatie werken. Dan moet je bepaalde processen ingericht hebben waarmee je laat zien dat je werk maakt van informatiebeveiliging. QVOX heeft ons geholpen aan de hand van de ISO 27001 en NEN 7510.’’ 

Wat houdt een DPIA in?

Je mag als organisatie zelf kiezen hoe je een DPIA uitvoert, maar je moet wel aan minimale eisen voldoen. In een DPIA beschrijf je in ieder geval:

  1. welke persoonsgegevens je wilt verzamelen;

  2. waarom je die gegevens nodig hebt (doel);

  3. welke privacyrisico’s dit geeft voor betrokkenen.

Je beoordeelt ook of je de gegevens mag verwerken, bijvoorbeeld omdat je een gerechtvaardigd belang hebt. Daarbij kijk je of de verwerking echt nodig is en of jouw belang zwaarder weegt dan de privacy van bijvoorbeeld klanten of leveranciers.

Tot slot beschrijf je welke maatregelen je neemt om risico’s te beperken en laat je zien dat je voldoet aan de AVG.

Is een DPIA verplicht?

In een DPIA beschrijft de organisatie wie verantwoordelijk is voor de verwerking van persoonsgegevens, welke gegevens worden verzameld en waarom. Volgens de Autoriteit Persoonsgegevens (AP) moet je als organisatie zelf beoordelen of een verwerking een hoog privacyrisico heeft. Bij een hoog risico is een DPIA verplicht. Dit geldt in ieder geval als je:

  1. automatisch persoonsgegevens verwerkt en daarmee mensen beoordeelt of beslissingen neemt (bijv. profiling);
  2. op grote schaal bijzondere persoonsgegevens verwerkt;
  3. strafrechtelijke gegevens verwerkt;
  4. mensen op grote schaal en systematisch volgt in openbare ruimtes (bijv. cameratoezicht).

De AP heeft ook een lijst met verwerkingen waarvoor een DPIA verplicht is vóórdat je start.

Twijfel je of je een DPIA moet doen?

Neem contact op
Wie mag een DPIA uitvoeren?

Sinds de AVG moet een organisatie die persoonsgegevens verwerkt een Functionaris Gegevensbescherming (FG) hebben. De FG kan ook een DPIA uitvoeren. Je kunt deze rol intern regelen, maar ook extern uitbesteden. Je kunt er ook voor kiezen om de DPIA door een externe partij te laten doen.

QVOX heeft de juiste kennis, middelen en tools om een DPIA uit te voeren. We helpen je ook met de vervolgstappen om informatiebeveiliging en privacy naar een hoger niveau te brengen.

Klantcases
alle klantcases
Alles over informatiebeveiliging

In deze aflevering hebben we het over informatiebeveiliging. Een verzamelterm voor het veilig verzamelen, verwerken, beheren en delen van informatie. Wat houdt informatiebeveiliging in en wat zijn dé tips voor goed beveiligde online en offline processen rondom informatie? Handige handvatten voor ondernemers die niet alleen goed gebruik willen maken van informatie, bijvoorbeeld in hun business model, maar ook informatie op een juiste manier willen beheren. Luister snel naar QTALK!

Luister de podcast

Alles over informatiebeveiliging

Podcast #2 - Informatiebeveiliging
Deze organisaties hebben gekozen voor QVOX