Data Protection Impact Assessment (DPIA)

Verwerkt uw organisatie gevoelige persoonsgegevens of politiegegevens? Als deze gegevens in verkeerde handen vallen, dan kunnen de gevolgen voor klanten of medewerkers groot zijn. Dan is een DPIA verplicht.

Een DPIA is een onderbouwing van de verwerking van persoons- of politiegegevens: mag het, welke gegevens, hoe, wie en is het goed beveiligd. Het laat zien wat de risico’s zijn en welke verbeteringen nog nodig zijn. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd.

Een DPIA is verplicht als de verwerking van persoons- of politiegegevens een hoog risico kan opleveren voor de personen van wie de gegevens zijn. Er is bijvoorbeeld een hoog risico als:

• Er bijzondere persoonsgegevens, strafrechtelijke of politiegegevens worden gebruikt.
• Het gaat om kwetsbare groepen personen.
• Er persoons- of politiegegevens op grote schaal worden gebruikt.
• Het gaat om monitoring van personen, bijvoorbeeld cameratoezicht.
• Automatische besluitvorming.
• Gegevens uit verschillende bestanden (systemen) worden samengevoegd, die voor verschillende doelen zijn verzameld, bijvoorbeeld data-analyse of business intelligence.