Gegevensbeschermingseffectbeoordeling
Privacy Management
Say what? Inderdaad. Dit is een onderdeel van het Privacy management dat in veel gevallen straks binnen de uitvoering van de AVG van u wordt verwacht. Een meer gebruikte term is Data Protection Impact Assessment (DPIA). Ziet u de bomen nog?
Verwerkingsregister
De AVG verwacht straks van u als verwerker van persoonsgegevens dat u deze verwerkingen allemaal bijhoudt in een verwerkingsregister. Dat legt nogal een beslag op de organisatie, waarmee de AVG strikt genomen onuitvoerbaar is. Het niet uitvoeren van een DPIA kan evenwel verstrekkende gevolgen hebben.
Juist om die reden is , zoals ik eerder al eens aangaf, de 'AVG' goed om eens de eigen situatie te beschouwen om te zien welke (persoons)gegevens u eigenlijk verwerkt.
Wanneer u zelf op de hoogte bent van de mate van gegevensverwerking binnen uw organisatie, is het ook mogelijk om de risico's die gepaard gaan daarmee in kaart te brengen.
DPIA verplicht?
Een DPIA moet worden uitgevoerd in het geval sprake is van hoge risico's voor de betrokkene. Dit wordt nader ingevuld in de AVG. Een DPIA is in ieder geval verplicht wanneer u systematisch, uitgebreid en geautomatiseerd persoonlijke aspecten van betrokkenen beoordeelt en dit kan leiden tot ingrijpende maatregelen over hen. Maar ook wanneer sprake is van grootschalige verwerking van bijzondere of strafrechtelijke gegevens, dan wel stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Een leverancier van IT diensten, met opslag in een door haar geleverde cloud waarin de gegevens van een klant die actief is in salaris- of pensioen verwerking worden opgeslagen, moet zelf ook deze risico analyse uitvoeren.
Een DPIA is trouwens onder de AVG geen eenmalige actie; wanneer de risico's wijzigen zult u de DPIA moeten actualiseren naar deze risico's. Bij twijfel of u gehouden bent een DPIA moet uitvoeren, kunt u intern uw Functionaris Gegevensverwerking (daarover in een later artikel meer) raadplegen of met de Autoriteit Persoonsgegevens (AP) contact opnemen.
Inhoudelijk
Een DPIA rapport moet een aantal specifieke onderdelen bevatten, onder meer de systematische beschrijving van de verwerking en van de doeleinden, beoordelingen van proportionaliteit en noodzaak, risico's en de maatregelen om de risico's aan te pakken. Het DPIA zal met in acht nemen van al deze elementen in feite aangeven hoe de verwerking in de toekomst vorm zal krijgen.
Belang DPIA?
Het uitvoeren van een DPIA is niet alleen van belang bij een controle door de AP. Het stelt de organisatie in staat om te beoordelen in hoeverre sprake is van risicovolle gegevensverwerking en daaruit volgende maatregelen kunnen bijvoorbeeld het risico van een datalek beperken.
Contact?
Als u meer wilt weten over dit verwerkingsregisters, DPIA of andere AVG onderwerpen, aarzel dan niet om contact op te nemen via ernstjan@dubbs.nl of 043-8526110.